Đề tài Nghiên cứu bảo đảm an toàn thông tin bằng kiếm soát lỗ hổng trong dịch vụ web

ì thế một vài ứng dụng sẽ kiểm tra thành phần này trong header để đảm bảo rằng nó được gửi từ trang web của ứng dụng đó. Việc làm này dùng để ngăn chặn hacker lưu lại trang web xuống máy, chỉnh sửa thuộc tính form, phá hoại bằng cách nhằm vào CSV hay SSI, sau đó gửi đi. Phương pháp kiểm tra này thất bại khi hacker có thể sửa lại Referer header, giống như được gửi từ trang web hợp lệ: Referer: www.redhat.com/login.asp Biện pháp khắc phục + Không tin tưởng vào HTTP header nếu chưa có các biện pháp an toàn. + Với các header gửi từ trình chủ thì có thể được mã hoá. + Với các header gửi từ trình khách thì không nên dùng các tham số như referer,… để thực hiện các biện pháp an toàn. 2.1.2. Chỉnh sửa địa chỉ URL (URL Malipulation) Khái niệm: Khi nhập một form HTML thì kết quả sẽ được gửi đi theo hai cách: GET hay POST. Nếu dùng GET, thì tất cả các tên biến và giá trị của nó sẽ xuất hiện trong chuỗi URL. Ví dụ 3: Có một trang web ứng dụng cho phép thành viên được thay đổi mật khẩu. Với: + username là tên người cần thay đổi mật khẩu. + newpass là mật khẩu mới cho username Tuy nhiên, bằng cách thay đổi tham số như sau: Hacker đã có thể thay đổi mật khẩu của admin bằng một mật khẩu mới bất kì, trong ví dụ này là ‘111111’ Biện pháp khắc phục: Để chống lại kiểu thay đổi nội dung một chuỗi URL, ứng dụng có thể áp dụng biện pháp sau: Ứng dụng sử dụng cơ chế bảng băm (hash table). Sau khi người dùng chứng thực thành công với một username, ứng dụng sẽ sinh ra một khoá tương ứng. Khoá này sẽ được lưu trên server cùng với biến username trong đối tượng bảng băm. Mỗi khi người dùng kết nối đến ứng dụng, khoá và username này sẽ được gửi đi và được so sánh với khoá và username trong bảng băm. Nếu tương ứng với bản ghi trong dữ liệu thì hợp lệ. Còn nếu không thì server biết rằng người dùng đã thay đổi URL. Ngoài ra, với những thông tin có giá trị, cần mã hoá chúng trước khi cho hiển thị trên trình duyệt để tránh hacker có thể sửa đổi tùy ý. 2.1.3. Chỉnh sửa trường ẩn Form (Hidden Form Field Malipulation) Khái niệm Thông tin có thể được chuyển đổi thông qua một trường ẩn của form, gọi là Hidden Form Field. Trường ẩn form không hiển thị trên màn hình trình duyệt nhưng người dùng có thể tìm thấy nội dung của nó trong “view source”, đây là điểm yếu để hacker lợi dụng bằng cách lưu nội dung trang web xuống trình duyệt, thay đổi nội dung trang và gửi đến trình chủ. Ví dụ 4: Form gốc có nội dung như sau: ... ... Nếu không có sự thay đổi nào thì yêu cầu đến trình chủ có nội dung : POST /cuahang.pl HTTP/1.0 ... giaca=99.99 Nhưng nếu hacker gán một giá trị khác cho trường “giaca” : ... ... thì yêu cầu sẽ thay đổi: POST /cuahang.pl HTTP/1.0 ... giaca=0.99 Biện pháp khắc phục Chỉ nên sử dụng trường ẩn của form để hiển thị dữ liệu trên trình duyệt, không được sử dụng giá trị của biến để thao tác trong xử lí ứng dụng. Dùng biến HTTP_REFERER để kiểm tra nguồn gốc của yêu cầu gửi đến, tuy nhiên hacker có thể sử dụng Proxy để che dấu nguồn gốc thực của nó, vì vậy cũng không nên quá tin tưởng biến HTTP_REFERER để kiểm tra. Ghép tên và giá trị của biến ẩn thành một chuỗi đơn. Sử dụng thuật toán mã hoá hoặc một kiểu hash một chiều khác để tổng hợp chuỗi đó và lưu nó vào một hidden field gọi là “Chuỗi mẫu”. Khi giá trị trong form được gửi đi, các thao tác như trên được thực hiện lại với cùng một khoá mà ta định trước. Sau đó đem so sánh với “Chuỗi mẫu”, nếu chúng không khớp nhau thì chứng tỏ giá trị trong biểu mẫu đã bị thay đổi. Dùng một sessionID để tham chiếu đến thông tin được lưu trữ trên CSDL. 2.1.4. Thao tác trên Cookie a) Khái niệm: Cookie là những phần dữ liệu nhỏ có cấu trúc được chia sẻ giữa trình chủ và trình duyệt của người dùng. Cookie lưu trữ dưới những file dữ liệu nhỏ dạng text, được ứng dụng tạo ra để lưu trữ/truy tìm/nhận biết các thông tin về người dùng đã ghé thăm trang Web và những vùng mà họ đi qua trong trang. Những thông tin này bao gồm tên/định danh người dùng, mật khẩu, sở thích, thói quen...cookie được trình duyệt của người dùng chấp nhận lưu trên đĩa cứng của máy mình, tuy nhiên không phải lúc nào trình duyệt cũng hỗ trợ cookie, mà còn tùy thuộc vào người dùng có chấp nhận chuyện lưu trữ đó hay không. Ở những lần truy cập sau đến trang Web đó, ứng dụng có thể dùng lại những thông tin trong cookie, người dùng không phải làm lại thao tác đăng nhập hay phải cung cấp lại các thông tin khác. Cookie được phân làm 2 loại secure/non-secure và persistent/non-persistent do đó ta sẽ có 4 kiểu cookie là: Persistent và Secure Persistent và Non-Secure Non-Persistent và Secure Non-Persistent và Non-Secure + Persistent cookies được lưu trữ dưới dạng tập tin .txt (ví dụ trình duyệt Netscape navigator sẽ lưu các cookie thành một tập tin cookie.txt còn Internet Explorer sẽ lưu thành nhiều tập tin *.txt trong đó mỗi tập tin là một cookie) trên máy khách trong một khoảng thời gian xác định. + Non-persistent cookie thì được lưu trữ trên bộ nhớ RAM của máy khách và sẽ bị hủy khi đóng trang web hay nhận được lệnh hủy từ trang web. + Secure cookie chỉ có thể được gửi thông qua HTTPS (trình chủ sẽ cung cấp chế độ truyền bảo mật.). + Non-Secure cookie được gửi qua hai giao thức HTTPS hoặc HTTP. Ví dụ 5: chuỗi lệnh trong HTTP header dưới đây sẽ tạo một cookie: Set-Cookie:Apache="64.3.40.151.16018996349247480"; path="/"; domain="www.redhat.com"; path_spec; expires="2006-07-2719:39:15Z"; version=0 + Các cookie của Netscape (NS) đặt trong một tập tin Cookies.txt, với đường dẫn là: C:\Program Files\Netscape\Users\UserName\Cookies.txt. + Các cookies của IE được lưu thành nhiều tập tin, mỗi tập tin là một cookie và được đặt trong [C:]\Documents and Setting\[username]\Cookies (Win2000), đối với win9x, thư mục cookies nằm trong thư mục [C:]\Windows\cookies. Kích thước tối đa của cookie là 4kb. Số cookie tối đa cho một tên miền là 20 cookie. Cookie bị hủy ngay khi đóng trình duyệt gọi là “session cookie”. Vì cookie là thành phần lưu trữ thông tin bảo mật nhất nên Cookie thường được dùng để lưu giữ trạng thái cho giao thức HTTP hơn là trường ẩn form và biến trên URL. Nó còn được dùng để lưu trữ những thông tin của người dùng khi sử dụng ứng dụng và những dữ liệu khác của session. Tất cả các loại cookie như persistent hay non-persistent, secure hay insecure đều có thể bị thay đổi bởi người dùng và được gửi về cho trình chủ. Do đó hacker có thể thay đổi nội dung cookie để phá hoại ứng dụng. Với công cụ miễn phí như Winhex thì non-persistent cookie có thể bị thay đổi nội dung. SSL chỉ có thể bảo vệ cookie trong quá trình truyền. Ví dụ 6: Cookie: lang=en-us; ADMIN=no; y=1 ; time=10:30GMT ; Cookie xác định người dùng này không phải là Admin (ADMIN=no), nhưng nếu hacker thay đổi thành: Cookie: lang=en-us; ADMIN=yes; y=1 ; time=12:30GMT ; Hacker lúc này mang vai trò là một nhà quản trị của ứng dụng. Biện pháp khắc phục Sử dụng đối tượng session lưu trữ thông tin quan trọng trên trình chủ. Khi ứng dụng cần kiểm tra thông tin của một người dùng, ứng dụng sẽ dùng sessionID của người dùng để chỉ đến thông tin của người dùng đó trong cache hay cơ sở dữ liệu. Xây dựng một cơ chế kiểm tra nội dung của cookie để tìm ra những giá trị không hợp lệ từ đó biết được cookie đó là giả. Ví dụ là nếu biến cờ “người quản trị” được được thiết lập là đúng trong cookie, nhưng giá trị của số thứ tự người dùng trong cookie lại không giống như giá trị số thứ tự của “người quản trị” được lưu trữ trên server. Phương pháp cuối cùng là mã hoá cookie. Một số phương pháp mã hoá như symmetric (dùng 1 khóa duy nhất cho cả mã hóa và giải mã) hay asymmetric (mã hóa dùng 2 khóa riêng biệt, một khóa dùng chung cho mã hóa và một khóa riêng để giải mã) 2.2. TẤN CÔNG “CHÈN MÃ LỆNH TRÊN TRÌNH DUYỆT” (Cross Site Scripting -XSS) 2.2.1. Phương pháp tấn công XSS Phương pháp “Cross Site Scripting” (XSS) là phương pháp tấn công, bằng cách chèn thêm những đoạn mã có khả năng đánh cắp hay thiết lập được những thông tin quan trọng như cookies, mật khẩu,… vào mã nguồn ứng dụng web, để từ đó chúng được chạy như là một phần của ứng dụng Web, và có khả năng cung cấp hoặc thực hiện những điều hacker muốn. Phương pháp này không nhằm vào máy chủ hệ thống, mà chủ yếu tấn công vào máy người dùng. Hacker lợi dụng sự kiểm tra lỏng lẻo từ ứng dụng và hiểu biết hạn chế của người dùng, biết đánh vào sự tò mò của họ dẫn đến người dùng bị mất thông tin một cách dễ dàng. Thông thường hacker lợi dụng địa chỉ URL, để đưa ra những liên kết là tác nhân kích hoạt những đoạn chương trình viết bằng ngôn ngữ máy khách như VBScript, JavaScript… thực thi trên chính trình duyệt của nạn nhân. Ví dụ 7: alert(document.cookie); hay %3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E Phần in đậm là đoạn mã được thêm vào với mục đích đánh cắp cookies của nạn nhân. Trong 2 ví dụ trên, hầu hết những tiền tố URL là địa chỉ của những ứng dụng Web có thật Ví dụ trên chỉ minh họa việc thêm đoạn mã của mình vào trang Web thông qua URL. Nhưng thực sự thì có nhiều cách để thêm đoạn mã JavaScript với mục đích tấn công kiểu XSS. Hacker có thể lợi dụng Document Object Model (DOM), để thay đổi ngữ cảnh và nội dung Web ứng dụng. Sau đây là danh sách nơi có thể chèn đoạn mã: &[code] &{[code]}; ... Các bước thực hiện XSS truyền thống: Hình 4: Quá trình thực hiện XSS Bước 1: Hacker biết được người dùng đang sử dụng một ứng dụng Web có lỗ hổng XSS. Bước 2: Người dùng nhận được 1 liên kết thông qua email hay trên chính trang Web (như trên guestbook, banner dễ dàng thêm 1 liên kết do chính hacker tạo ra…). Bước 3: Chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ của hacker. Bước 4: Hacker tạo một chương trình hoặc một trang Web để ghi nhận những thông tin đã đánh cắp vào 1 tập tin Bước 5: Sau khi nhận được thông tin cần thiết, hacker có thể sử dụng để thâm nhập vào tài khoản của người dùng. Ví dụ 8: Khi đang đọc thư mà chuyển sang website khác, có thể bị mất mật khẩu. Trước đây, hàng loạt hộp thư của Yahoo bị mất mật khẩu hay bị đọc trộm thư mà không rõ nguyên nhân, đó là do lỗi XSS. Hacker đã sử dụng đoạn mã sau để đánh cắp cookie: <img border="0" onmouseover="window.document.XSS.cookie.value = document.cookie; window.document.XSS.submit();" src="none.jpg"> Khi nhận thư, nếu vô tình đưa con chuột qua bức ảnh gửi kèm, người dùng sẽ bị lấy mất cookie. Và với cookie lấy được, các hacker có thể login hòm thư mà không cần biết mật khẩu. Ví dụ 9: Nếu như gặp một liên kết có dạng:   Người dùng phải xem xét kĩ trước khi click vào, vì có khả năng sẽ mất cookies. Do đó nên tắt JavaScript cho trình duyệt trước khi click vào, hay ít nhất cũng có một chút cảnh giác. Nhưng nếu gặp liên kết: ] Đó thực chất chính là liên kết ban đầu, nhưng chỉ khác nó được mã hoá. Một phần kí tự của liên kết đã được thay thế bởi mã HEX của nó, tất nhiên trình duyệt của bạn vẫn hiểu địa chỉ đó thực sự là gì. 2.2.2. Biện pháp phòng tránh: OWASP nói rằng để có thể xây dựng các website bảo mật cao, đối với các dữ liệu của người dùng nên:  + Chỉ chấp nhận những dữ liệu hợp lệ.  + Từ chối nhận các dữ liệu hỏng.  + Liên tục kiểm tra và thanh lọc dữ liệu.  Tuy nhiên trên thực tế, một số trường hợp phải chấp nhận cả dữ liệu hợp lệ, không hợp lệ hay dữ liệu hỏng vì không có một bộ lọc phù hợp. Chính vì vậy phải có những cách riêng để giải quyết.  Một trong những cách hay dùng là mã hoá các kí tự đặc biệt trước khi in ra website, nhất là những gì có thể gây nguy hiểm cho người dùng. Trong trường hợp mã hóa thẻ thành . Như vậy nó sẽ vẫn được in ra màn hình mà không hề gây nguy hiểm cho người dùng. Cần cấu hình lại trình duyệt để nhắc nhở người dùng có cho thực thi ngôn ngữ kịch bản trên máy của họ hay không? Tùy vào mức độ tin cậy mà người dùng sẽ quyết định. 2.3. TẤN CÔNG KIỂU “CHÈN CÂU LỆNH TRUY VẤN” (SQL Injection) SQL Injection là cách lợi dụng những lỗ hổng trong quá trình lập trình Web về phần truy xuất CSDL. Đây không chỉ là khuyết điểm của riêng SQL Server, mà nó còn là vấn đề chung cho toàn bộ các CSDL khác như Oracle, MS Access hay IBM DB2. Khi hacker gửi dữ liệu (thông qua các form), ứng dụng Web sẽ thực hiện và trả về cho trình duyệt kết quả câu truy vấn hay thông báo lỗi có liên quan đến CSDL. Và nhờ những thông tin này, hacker biết được nội dung CSDL, và từ đó có thể điều khiển hệ thống ứng dụng. Các dạng tấn công bằng SQL Injection: Có bốn dạng thông thường bao gồm: Vượt qua kiểm tra lúc đăng nhập (authorization bypass) Sử dụng câu lệnh SELECT Sử dụng câu lệnh INSERT Sử dụng các stored-procedure 2.3.1. Tấn công vượt qua kiểm tra đăng nhập Với dạng tấn công này, tin tặc có thể vượt qua các trang đăng nhập, nhờ vào lỗi khi dùng các câu lệnh SQL, thao tác trên CSDL của ứng dụng web. Xét ví dụ điển hình, thông thường để cho phép người dùng truy cập vào các trang web được bảo mật, hệ thống có trang đăng nhập để người dùng nhập tên đăng nhập và mật khẩu. Hệ thống sẽ kiểm tra tên đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay từ chối thực hiện tiếp. Có thể dùng hai trang, một trang HTML để hiển thị form nhập liệu và một trang ASP dùng để xử lí thông tin nhập từ phía người dùng. Ví dụ 11: login.htm Username: Password: execlogin.asp <% Dim vUsrName, vPassword, objRS, strSQL vUsrName = Request.Form("fUSRNAME") vPassword = Request.Form("fPASSWORD") strSQL= "SELECT * FROM T_USERS WHERE USR_NAME=' " & vUsrName & " ' and USR_PASSWORD=' " & vPassword & " ' " Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." If (objRS.EOF) Then Response.Write "Invalid login." Else Response.Write "You are logged in as " & objRS("USR_NAME") End If Set objRS = Nothing %> Đoạn mã “execlogin.asp” dường như không chứa một lỗ hổng về an toàn. Người dùng không thể đăng nhập mà không có tên đăng nhập và mật khẩu hợp lệ. Tuy nhiên, đoạn mã này thực sự không an toàn và là tiền đề cho một lỗi SQL injection. Sơ hở nằm ở dữ liệu nhập vào từ người dùng được dùng để xây dựng trực tiếp câu lệnh SQL. Chính điều này cho phép những kẻ tấn công có thể điều khiển câu truy vấn sẽ được thực hiện. Nếu người dùng nhập chuỗi sau vào trong cả 2 ô nhập liệu username và password của trang “login.htm” là: ' OR ' ' = ' ' Lúc này, câu truy vấn sẽ được gọi thực hiện là: SELECT * FROM T_USERS WHERE USR_NAME ='' OR ''='' and USR_PASSWORD= '' OR ''='' Câu truy vấn này là hợp lệ, và sẽ trả về tất cả các bản ghi của T_USERS, câu lệnh so sánh luôn luôn đúng (vì‘’luôn bằng‘’), nên câu điều kiện trong mệnh đề WHERE luôn đúng, và thực hiện phép logic “OR” giữa giá trị bất kì với dữ liệu trong T_USERS, giá trị tên người sử dụng của dòng đầu tiên trong bảng sẽ được chọn, xử lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ. 2.3.2. Tấn công sử dụng câu lệnh SELECT Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống, để dò tìm các điểm yếu khởi đầu cho việc tấn công. Xét ví dụ thường gặp trong các website về tin tức. Có một trang nhận ID của tin cần hiển thị, sau đó truy vấn nội dung của tin có ID này. Ví dụ 12: Mã nguồn cho chức năng này thường được viết theo dạng: <% Dim vNewsID, objRS, strSQL vNewsID = Request("ID") strSQL = "SELECT * FROM T_NEWS WHERE NEWS_ID =" & vNewsID & " Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." Set objRS = Nothing %> Trong tình huống thông thường, đoạn mã này hiển thị nội dung của tin có ID trùng với ID đã chỉ định, và hầu như không thấy có lỗi. Tuy nhiên, giống như ví dụ 11, đoạn mã này để lộ sơ hở cho một lỗi SQL injection khác. Kẻ tấn công có thể thay thế ID hợp lệ bằng cách gán ID cho một giá trị khác, và khởi đầu cho cuộc tấn công bất hợp pháp. Ví dụ 13: 0 OR 1=1 (nghĩa là, or 1=1). Câu truy vấn SQL lúc này sẽ trả về tất cả các article từ bảng dữ liệu vì nó sẽ thực hiện câu lệnh: SELECT * FROM T_NEWS WHERE NEWS_ID=0 or 1=1 Ví dụ về trang tìm kiếm. Trang này cho phép người dùng nhập vào các thông tin tìm kiếm như Họ, Tên, … Đoạn mã thường gặp là: <% Dim vAuthorName, objRS, strSQL vAuthorName = Request("fAUTHOR_NAME") strSQL="SELECT * FROM T_AUTHORS WHERE AUTHOR_NAME =' " vAuthorName & " ' " Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." … Set objRS = Nothing %> Tương tự như trên, tin tặc có thể lợi dụng sơ hở trong câu truy vấn SQL để nhập vào trường tên tác giả bằng chuỗi giá trị: ' UNION SELECT ALL SELECT OtherField FROM OtherTable WHERE ' '=' Lúc này, ngoài câu truy vấn đầu thành công, chương trình sẽ thực hiện thêm lệnh tiếp theo sau từ khóa UNION nữa. Có thắc mắc là làm thế nào có thể biết được tên của bảng dữ liệu để thực hiện các thao tác phá hoại khi ứng dụng web bị lỗi SQL injection. Đơn giản vì trong SQL Server, có hai đối tượng là sysobjects và syscolumns cho phép liệt kê tất cả các tên bảng và cột có trong hệ thống. Ta chỉ cần chỉnh lại câu lệnh SELECT: ' UNION SELECT name FROM sysobjects WHERE xtype = 'U' là có thể liệt kê được tên tất cả các bảng dữ liệu. 2.3.3. Tấn công sử dụng câu lệnh INSERT Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản để tham gia. Sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình. SQL injection có thể được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhập vào. Ví dụ 14: câu lệnh INSERT có cú pháp dạng: INSERT INTO TableName VALUES('Value One', 'Value Two', 'Value Three'). Nếu đoạn mã xây dựng câu lệnh SQL có dạng: <% strSQL = "INSERT INTO TableName VALUES(' " & strValueOne & " ', ' " & strValueTwo & " ', ' " & strValueThree & " ') " Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." … Set objRS = Nothing %> thì chắc chắn sẽ bị lỗi SQL injection, khi ta nhập: ' + (SELECT TOP 1 FieldName FROM TableName) + ' Lúc này câu truy vấn sẽ là: INSERT INTO TableName VALUES(' ' + (SELECT TOP 1 FieldName FROM TableName) + ' ', 'abc', 'def') Khi đó, lúc thực hiện lệnh xem thông tin, thì xem như đã yêu cầu thực hiện thêm một lệnh nữa, đó là: SELECT TOP 1 FieldName FROM TableName 2.3.4. Dạng tấn công sử dụng Stored-Procedures “Stored Procedure” được dùng trong lập trình Web với mục đích giảm sự phức tạp trong ứng dụng và tránh bị tấn công bằng kĩ thuật SQL Injection. Tuy nhiên hacker vẫn có thể lợi dụng “Stored Procedure” để tấn công vào hệ thống. Việc tấn công bằng “stored-procedures” sẽ gây tác hại lớn, nếu ứng dụng được thực thi với quyền quản trị hệ thống 'sa'. Ví dụ 15: nếu ta thay đoạn mã dạng: '; EXEC xp_cmdshell ‘cmd.exe dir C:'. Hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại kiểu nào tuỳ thuộc vào câu lệnh đằng sau cmd.exe. Ví dụ 16: Stored procedure sp_login gồm hai tham số là username và password. Nếu nhập: Username: nhimmap Password: ‘;shutdown-- Lệnh gọi stored procedure như sau: exec sp_login ‘nhimmap’,‘’;shutdown--’ Dấu chấm phẩy (;) kết thúc truy vấn SQL và cho phép thi hành lệnh SQL mới. Lúc này, “Shutdown” không còn là password, nó trở thành lệnh thực thi dừng SQL, dấu “--” thông báo không làm gì tiếp theo. 2.3.5. Biện pháp phòng tránh: Lỗi SQL injection khai thác những bất cẩn của lập trình viên phát triển ứng dụng web, khi xử lí các dữ liệu nhập vào để xây dựng câu lệnh SQL. Tác hại từ lỗi SQL injection tùy thuộc vào môi trường và cách cấu hình hệ thống. Nếu ứng dụng sử dụng quyền “dbo” (quyền của người sở hữu CSDL) khi thao tác dữ liệu, nó có thể xóa toàn bộ các bảng dữ liệu, tạo các bảng dữ liệu mới, … Nếu ứng dụng sử dụng quyền “sa” nó có thể điều khiển toàn bộ hệ quản trị CSDL, và với quyền hạn rộng như vậy, nó có thể tạo ra các tài khoản người dùng bất hợp pháp để điều khiển hệ thống. Để phòng tránh, ta có thể thực hiện ở hai mức: 1/ Kiểm soát chặt chẽ dữ liệu nhập vào Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh SQL bằng cách kiểm soát chặt chẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request (Request, Request.QueryString, Request.Form, Request.Cookies, and Request.ServerVariables). Ví dụ 17: có thể giới hạn chiều dài của chuỗi nhập liệu, hoặc xây dựng hàm EscapeQuotes để thay thế các dấu nháy đơn bằng 2 dấu nháy đơn <% Function EscapeQuotes(sInput) sInput = replace(sInput, " ' ", " ' ' ") EscapeQuotes = sInput End Function %> Trong trường hợp dữ liệu nhập vào là số, lỗi xuất phát từ việc thay thế một giá trị được tiên đoán là dữ liệu số bằng chuỗi chứa câu lệnh SQL bất hợp pháp. Để tránh điều này, đơn giản hãy kiểm tra dữ liệu có đúng kiểu hay không bằng hàm IsNumeric(). Ngoài ra có thể xây dựng hàm loại bỏ một số kí tự và từ khóa nguy hiểm như: ;, --, select, insert, xp_, … ra khỏi chuỗi dữ liệu nhập từ phía người dùng để hạn chế các tấn công dạng này: <% Function KillChars(sInput) dim badChars dim newChars badChars = array("select", "drop", ";", "--", "insert", "delete", "xp_") newChars = strInput for i = 0 to uBound(badChars) newChars = replace(newChars, badChars(i), "") next KillChars = newChars End Function %> 2/ Thiết lập cấu hình an toàn cho hệ quản trị CSDL Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người dùng mà ứng dụng web đang sử dụng. Các ứng dụng thông thường nên tránh dùng đến các quyền như dbo hay sa. Quyền càng bị hạn chế, thiệt hại càng ít. Ngoài ra để tránh các nguy cơ từ SQL Injection attack, nên chú ý loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyển xuống cho người dùng khi ứng dụng có lỗi. Các thông báo lỗi thông thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn công biết được điểm yếu của hệ thống. 2.4. TẤN CÔNG DỰA VÀO “KIỂU QUẢN LÝ PHIÊN LÀM VIỆC” (SessionID Management) HTTP là giao thức hướng đối tượng tổng quát, phi trạng thái, nghĩa là HTTP không lưu trữ trạng thái làm việc giữa trình duyệt với trình chủ. Thiếu sót này gây khó khăn cho một số ứng dụng Web, bởi vì trình chủ không biết được trước đó trình duyệt đã có những trạng thái nào. Vì thế, để giải quyết vấn đề này, ứng dụng Web đưa ra một khái niệm phiên làm việc (Session). Còn SessionID là một chuỗi để chứng thực phiên làm việc. Một số trình chủ sẽ cung cấp một SessionID cho người dùng khi họ xem trang web trên trình chủ. Để duy trì phiên làm việc thì sessionID thường được lưu vào : Biến trên URL Trường ẩn form Cookie Phiên làm việc chỉ tồn tại trong khoảng thời gian cho phép, thời gian này được cấu hình qui định tại trình chủ hoặc bởi ứng dụng thực thi. Trình chủ sẽ tự động giải phóng phiên làm việc để khôi phục lại tài nguyên của hệ thống. Sau khi người dùng được xác thực dựa trên thông tin cá nhân như tên/mật khẩu, session ID được xem như mật khẩu tĩnh tạm thời cho những lần yêu cầu tiếp theo. Điều này đã khiến cho Session ID là mục tiêu lớn cho những hacker. Nhiều trường hợp, hacker giành được session ID hợp lệ của người dùng, để từ đó đột nhập vào phiên làm việc của họ. Tấn công vào một phiên làm việc thường được thực hiện theo 2 kiểu chính sau: + Ấn định phiên làm việc (Session Fixation). + Đánh cắp phiên làm việc (Session Hijacking). 2.4.1. Tấn công kiểu “Ấn định phiên làm việc” Trong kiểu tấn công “ấn định phiên làm việc”, hacker ấn định sẵn session ID cho nạn nhân, trước khi họ đăng nhập vào hệ thống. Sau đó, hacker sử dụng session ID này để buớc vào phiên làm việc của nạn nhân đó. Quá trình tấn công như sau: Bước 1: Thiết lập session ID. Hệ thống quản lí session theo 2 hướng: + Hướng tự do: chấp nhận bất kì một session ID, nếu chưa tồn tại session thì tạo mới một session ID. + Hướng giới hạn: chỉ chấp nhận session ID nào đã đăng kí trước đó. Với hệ thống hướng tự do, hacker chỉ cần thiết lập một session ID bất kì, nhớ và sau đó sử dụng lại session ID này. Ở hướng giới hạn, hacker phải đăng kí một session ID với ứng dụng. Phụ thuộc vào qui trình quản lí phiên làm việc, hacker lưu trữ “thời gian sống” (Time To Live) của phiên làm việc cho đến khi nạn nhân đăng nhập vào hệ thống. Thông thường một phiên làm việc không tồn tại vô hạn. Hệ thống sẽ tự động hủy bỏ phiên làm việc, nếu nó không thực hiện một thao tác nào (thời gian nhàn rỗi) hoặc hết hạn định. Hình 5: Sơ lược quá trình tấn công người dùng bằng kĩ thuật ấn định session Bước 2: Gửi ID này đến trình duyệt nạn nhân. Hacker gửi session ID vừa tạo đến người dùng, việc trao đổi ID session còn tùy vào ứng dụng, có thể qua parameter URL, trường ẩn form hay cookie. Các cách tấn công thông dụng gồm có: Tấn công sessionID trên tham số URL (SessionID parameter URL). Tấn công sessionID trên trường ẩn form (SessionID hidden Form Field). Tấn công sessionID trong cookie. a/ Tấn công sessionID trên tham số URL (SessionID parameter URL) Hacker gửi một liên kết yêu cầu người dùng đăng nhập vào hệ thống máy đích với sessionID đã được ấn định sẵn trên URL. Ví dụ 18: 1) Hacker mở dịch vụ trực tuyến của ngân hàng thông qua địa ch