Luận văn: Tìm hiểu web an toàn và đề xuất giải pháp Firewall (WAF)

Tài liệu nghiên cứu Web An Toàn: Giải Pháp Firewall Cho Ứng Dụng Web Hiệu Quả với phương pháp khoa học, ứng dụng thực tiễn hiệu quả

Người đăng

Ẩn danh

Thể loại

Luận Văn Thạc Sĩ

2018

75
2
0

Phí lưu trữ

30 Point

Tóm tắt

I. Khái Niệm Web An Toàn và Tầm Quan Trọng

Web an toàn là một lĩnh vực quan trọng trong bảo vệ các ứng dụng web khỏi các cuộc tấn công mạng. Ngày nay, với sự gia tăng của các mối đe dọa trực tuyến, việc triển khai các giải pháp bảo mật hiệu quả trở nên cấp thiết hơn bao giờ hết. Các lỗ hỗng bảo mật trong ứng dụng web có thể dẫn đến mất dữ liệu, tổn hại声誉doanh nghiệp, và vi phạm quyền riêng tư của người dùng. Theo OWASP Top 10, có 10 loại lỗ hỗng phổ biến nhất mà các nhà phát triển cần lưu ý. Firewall ứng dụng web (WAF) là giải pháp hàng đầu giúp ngăn chặn các cuộc tấn công này. Việc hiểu rõ các mối đe dọa và triển khai các biện pháp bảo vệ phù hợp là chìa khóa để bảo vệ các ứng dụng web.

1.1. Định Nghĩa Ứng Dụng Web

Ứng dụng web là các chương trình hoạt động trên nền tảng internet thông qua giao thức HTTP/HTTPS. Chúng cho phép người dùng truy cập từ bất kỳ thiết bị nào có kết nối internet. Các ứng dụng web xử lý dữ liệu nhạy cảm như thông tin cá nhân, tài chính, và thông tin y tế. Do đó, việc bảo mật chúng là ưu tiên hàng đầu.

1.2. Tại Sao Cần Firewall Ứng Dụng Web

Firewall ứng dụng web hoạt động ở tầng ứng dụng, cung cấp bảo vệ sâu hơn các tường lửa truyền thống. Nó có khả năng phát hiện và chặn các cuộc tấn công dựa trên nội dung của yêu cầu HTTP, bao gồm SQL Injection, Cross-Site Scripting (XSS), và các lỗ hỗng khác.

II. Các Lỗ Hỗng Bảo Mật Phổ Biến Theo OWASP

OWASP Top 10 liệt kê 10 loại lỗ hỗng nguy hiểm nhất trong các ứng dụng web. Những lỗ hỗng này bao gồm SQL Injection, nơi tin tặc chèn mã SQL độc hại vào trường nhập liệu; Phá vỡ tính xác thực (Broken Authentication), cho phép unauthorized access; và Cross-Site Scripting (XSS), cho phép chèn mã JavaScript độc hại. Ngoài ra còn có XML External Entities (XXE), Broken Access Control, Security Misconfiguration, Insecure Deserialization, và Insufficient Logging & Monitoring. Mỗi lỗ hỗng này đều có tiềm năng gây ra thiệt hại lớn nếu không được khắc phục kịp thời. Hiểu rõ về các lỗ hỗng này là bước đầu tiên để xây dựng các giải pháp bảo vệ hiệu quả.

2.1. SQL Injection và Các Lỗ Hỗng Nhúng Mã

SQL Injection là một trong những lỗ hỗng nguy hiểm nhất. Tin tặc sử dụng các câu lệnh SQL độc hại để truy cập hoặc sửa đổi cơ sở dữ liệu. Ví dụ, nhập ' OR '1'='1 vào trường tìm kiếm có thể bỏ qua xác thực. Điều này cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm hoặc xóa toàn bộ cơ sở dữ liệu.

2.2. Cross Site Scripting XSS và Các Lỗ Hỗng Khác

XSS cho phép tin tặc chèn mã JavaScript vào trang web. Khi người dùng ghé thăm trang web bị lây nhiễm, mã độc hại sẽ được thực thi trong trình duyệt của họ. Các lỗ hỗng khác như Broken Authentication và Sensitive Data Exposure cũng gây ra rủi ro đáng kể cho người dùng và doanh nghiệp.

III. Giải Pháp Firewall ModSecurity

ModSecurity là một giải pháp firewall mã nguồn mở phổ biến và hiệu quả để bảo vệ các ứng dụng web. Nó hoạt động như một mô-đun cho máy chủ web Apache, cung cấp khả năng lọc lưu lượng HTTP chi tiết. ModSecurity sử dụng bộ quy tắc cốt lõi (CRS) được cập nhật thường xuyên để phát hiện các kiểu tấn công mới. Giải pháp này cho phép người quản trị cấu hình chính sách bảo mật linh hoạt theo nhu cầu cụ thể của ứng dụng. Khả năng triển khai dễ dàng và chi phí thấp làm cho ModSecurity trở thành lựa chọn lý tưởng cho các tổ chức mọi quy mô. Nó có thể hoạt động ở chế độ phát hiện (Detection) hoặc chế độ phòng chống (Prevention).

3.1. Tại Sao Chọn Giải Pháp Mã Nguồn Mở

Giải pháp mã nguồn mở như ModSecurity cung cấp nhiều lợi thế: chi phí thấp, tính minh bạch cao, và cộng đồng hỗ trợ lớn. Người dùng có thể tùy chỉnh mã nguồn theo yêu cầu riêng, đảm bảo tính linh hoạt tối đa. Ngoài ra, bộ quy tắc liên tục được cập nhật để ứng phó với các mối đe dọa mới nhất.

3.2. Triển Khai và Hướng Dẫn Cài Đặt

Triển khai ModSecurity bao gồm cài đặt mô-đun, cấu hình bộ quy tắc, và kiểm tra hiệu suất. Quá trình này yêu cầu kiến thức kỹ thuật nhất định nhưng tương đối đơn giản. Sau khi triển khai, cần thực hiện các bài kiểm tra để đảm bảo hiệu quả bảo vệ.

IV. Các Bài Kiểm Tra và Đánh Giá An Toàn

Để xác nhận hiệu quả của firewall ứng dụng web, cần thực hiện các bài kiểm tra khai thác lỗ hỗng (penetration testing). Các bài kiểm tra này bao gồm thử nghiệm SQL Injection, XSS, Broken Authentication, và các lỗ hỗng khác theo danh sách OWASP Top 10. Mục đích là xác định xem WAF có thể ngăn chặn các cuộc tấn công này hay không. Các bài kiểm tra cần được thực hiện trên môi trường thử nghiệm riêng biệt trước khi áp dụng vào production. Kết quả đánh giá sẽ giúp xác định mức độ an toàn của ứng dụng web và những điểm cần cải thiện thêm. Việc thường xuyên kiểm tra và cập nhật các quy tắc bảo mật là cần thiết để duy trì mức độ bảo vệ cao.

4.1. Kịch Bản Thử Nghiệm SQL Injection

Bài kiểm tra SQL Injection mô phỏng các cuộc tấn công thực tế bằng cách chèn các câu lệnh SQL độc hại vào các trường nhập liệu. ModSecurity sẽ phát hiện và chặn các yêu cầu này. Kết quả cho biết liệu firewall có thể bảo vệ cơ sở dữ liệu hay không.

4.2. Đánh Giá Toàn Diện An Toàn Website

Đánh giá an toàn toàn diện bao gồm kiểm tra nhiều loại lỗ hỗng khác nhau. Điều này cung cấp cái nhìn tổng quan về mức độ bảo vệ của ứng dụng web. Dựa trên kết quả, có thể đưa ra khuyến nghị để cải thiện chính sách bảo mật và nâng cao hiệu quả của WAF.

28/12/2025

Trích đoạn nội dung tài liệu

MỞ ĐẦU 1. Lý do chọn dé tai ‘thy trang an toản thông tín tại Việt Nam ngảy cảng điễn biến phức tạp và nguy hiểm. Các cuộc tắn công mạng cỏ quy mô, mức độ phức tạp và được chuẩn bị một cảch kỹ lưỡng. Trong đó, các mục tiêu tân công đang đàn chuyển dịch từ các mnục tiêu cá nhân, sang các mục tiêu lá các tập đoản kinh tế lớn hay nghiệm trọng hơn là các hệ thông thông tin quan trọng của các quốc gia.

Ilàng loạt các hệ thống website của các Ngân hàng lớn, doanh nghiệp lớn đã bị tấn công gây thiệt bại đáng kể [19] Thực tế với tỉnh hình hiện nay, các ứng dung web ngày một nhiễu. Sự thay đối chóng mặt của công nghệ đã giúp ứng đụng web được cải tiến nâng cao rât nhiễu, và vấn đẻ báo mật cho ứng dụng web không ngừng tầng lên. Một khi ứng đụng web bị rò rí lỗ hồng, các tun the sé dé dang chiếm quyền quân trị web, tmg dung va phần mềm của công ty. Nguyên nhân dẫn đểi e ứng dụng web bị rò rỉ thông lim, cáo nguy cơ về lỗ hồng, là do các đoạn mã lệnh, mã code không phủ hợp trong ứng dụng web.

Chỉ cân một lỗ hỗng, tín tặc cũng: có thể xâm nhập và truy cập vào cơ số đữ liệu, thông lu và thực hiện các hành vị sai trái như đánh cấp, thay đổi, chỉnh sửa, ruã hóa đữ Hộu.L11] Dé déi phỏ với các nguy cơ rồi ro đỏ, có rất nhiễu công cụ, giải pháp được phát triển nhằm mục đích bảo về ác Úng dụng web khỏi cáo lỗi bao mal va od ude Lin công. độc tử tin tặc Các giải pháp dỏ được gọi là tưởng lửa ứng dung web (Web Application Firewall 1WAF). WAF lả một thiết bị phẩn cửng hoặc phần mềm được cài lên máy chủ có chức năng theo dõi các thông tin được truyền qua giao thức hifp/https giữa trình duyệt của người đúng vả máy chủ web tại lớp 7. Một WAE có khá năng, thực thị các chính sách bảo mật đựa trên các đầu hiệu tắn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ủng dựng web bắt thường, Dây là điều mả các tường lửa mạng khác không làm được.

'Với mong muén phan tich va tim hiểu sâu hơn vẻ các lỗ hồng trong ứng đụng web cũng như phương thức hoạt động, khả năng ngăn chặn của WAT, học viên đã lựa chọn đẻ tải *“Tìm biểu bài toán Web an toàn và để xuất giải pháp Firewall che cic ing dung Web” làm luận văn tốt nghiệp của mình. Nhiệm vụ đặt ra che dé tai Nhiệm vụ của đề tải này là tìm hiểu cáo lễ hỏng bảo mật trong ứng dung web va dé xuat mội giải pháp WAT để báo vệ ứng đụng web khôi các lỗ hẳng bảo mật đó. Trong đó: Trang 8 LOI CAM ON Em xin chân thánh cảm ơn thấy gido TS.Pham Huy Hoàng đã có những hướng dẫn và góp ý quý báu giúp em hoan thành luận văn của mình. Lm xin gửi lời căm ơn đến các thầy cô giáo viện Công nghệ thông tin và truyền thông trưởng Dai hoc Bach Khoa Ha Nội đã hướng dẫn và đưa ra những lời khuyên bỗ ích.

Cudi cùng, em xin gửi lời cảm ơn đến gia đình, bạn bè, đồng nghiệp và người thân đã động viên, giúp đð trong quá trinh thực hiện đồ án tốt nghiệp. “im chân thành cảm ơn tất cả! Trang 4 LOI CAM DOAN Tôi xin cam đoàn đề tài nghiên cửu cổa tôi hoàn toàn do tôi tự làm đưới sự hưởng dẫn của thầy giáo TS.Phạm Huy Hoàng. Những kết quả tìm hiểu và nghiên cứu lrình bảy trong. luận văn lả hoán toàn trung thực và chưa tùng được công bố trong bãi cứ công Irình nào.

Tếu xây ra bắt cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện vả Nhà trường. Ngày 15 tháng 0Ð năm 2018 Tiọc viên Để Đức Kguyên Trang 3 LOI CAM ON Em xin chân thánh cảm ơn thấy gido TS.Pham Huy Hoàng đã có những hướng dẫn và góp ý quý báu giúp em hoan thành luận văn của mình. Lm xin gửi lời căm ơn đến các thầy cô giáo viện Công nghệ thông tin và truyền thông trưởng Dai hoc Bach Khoa Ha Nội đã hướng dẫn và đưa ra những lời khuyên bỗ ích. Cudi cùng, em xin gửi lời cảm ơn đến gia đình, bạn bè, đồng nghiệp và người thân đã động viên, giúp đð trong quá trinh thực hiện đồ án tốt nghiệp.

“im chân thành cảm ơn tất cả! Trang 4 LOI CAM DOAN Tôi xin cam đoàn đề tài nghiên cửu cổa tôi hoàn toàn do tôi tự làm đưới sự hưởng dẫn của thầy giáo TS.Phạm Huy Hoàng. Những kết quả tìm hiểu và nghiên cứu lrình bảy trong. luận văn lả hoán toàn trung thực và chưa tùng được công bố trong bãi cứ công Irình nào. Tếu xây ra bắt cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện vả Nhà trường.

Ngày 15 tháng 0Ð năm 2018 Tiọc viên Để Đức Kguyên Trang 3 LOI CAM DOAN Tôi xin cam đoàn đề tài nghiên cửu cổa tôi hoàn toàn do tôi tự làm đưới sự hưởng dẫn của thầy giáo TS.Phạm Huy Hoàng. Những kết quả tìm hiểu và nghiên cứu lrình bảy trong. luận văn lả hoán toàn trung thực và chưa tùng được công bố trong bãi cứ công Irình nào. Tếu xây ra bắt cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện vả Nhà trường.

Ngày 15 tháng 0Ð năm 2018 Tiọc viên Để Đức Kguyên Trang 3 DANH MỤC CÁC BẢNG Bang 3.1 So sánh giữa các giải pháp firewall Trang 6 DANH MỤC CÁC BẢNG Bang 3.1 So sánh giữa các giải pháp firewall Trang 6 DANH MỤC CÁC BẢNG Bang 3.1 So sánh giữa các giải pháp firewall Trang 6 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT WAF Web Application Firewall: Tường lửa ứng dụng web FIREWALL Tường lửa WEBAPP Ung dung web HTTP (S) Hypertext Transfer Protocol (Secure): Giao thtre truyén tai siéu van ban (bao mat) OWASP. Open Web Application Security Project: Du an vé bao mat ứng dụng web OWASP TOP 10 Open Web Application Security Project top 10: 10 lỗ hỏng pho bién nhat theo OWASP DATABASE Cơ sở đữ liệu SQL Structured Query Language: ngén ngữ truy vân mang tỉnh cau tric VULNERABILITY Lô hông PROXY May chủ trung gian giữa người dùng và máy chủ web. URL Uniform Resource Locator: Định vị Tài nguyên thông nhat ID Identification: Dinh danh XML eXtensible Markup Language: Ng6n ngit danh dau mo réng BRUTE FORCE Một kiêu tân công bảo mật CRS Core Rule Set: Bộ quy tắc cốt lõi Trang 5 DANH MỤC CÁC HÌNH VẼ a Hinh 2.2 Các tiêu chí đánh giả rủi ro lồ hong 12 Hinh 3.1 Các pha trong hoạt động của ModSecurity 23 Hinh 3.2 M6 hinh tich hop vao web server (embedded) + Hình 3.3 Mô hình tich hop reverse proxy 37 Hình 3.4 Mô hình thử nghiệm.5 Máy chủ web OWASP Mutillidae 30 Hinh 5.1 Giao diện WAF-FLE 53 Hình 52 | Các giải pháp WAF chuyên dung 53 Trang 7 DANH MỤC CÁC HÌNH VẼ a Hinh 2.2 Các tiêu chí đánh giả rủi ro lồ hong 12 Hinh 3.1 Các pha trong hoạt động của ModSecurity 23 Hinh 3.2 M6 hinh tich hop vao web server (embedded) + Hình 3.3 Mô hình tich hop reverse proxy 37 Hình 3.4 Mô hình thử nghiệm.5 Máy chủ web OWASP Mutillidae 30 Hinh 5.1 Giao diện WAF-FLE 53 Hình 52 | Các giải pháp WAF chuyên dung 53 Trang 7 LOI CAM DOAN Tôi xin cam đoàn đề tài nghiên cửu cổa tôi hoàn toàn do tôi tự làm đưới sự hưởng dẫn của thầy giáo TS.Phạm Huy Hoàng. Những kết quả tìm hiểu và nghiên cứu lrình bảy trong.

luận văn lả hoán toàn trung thực và chưa tùng được công bố trong bãi cứ công Irình nào. Tếu xây ra bắt cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện vả Nhà trường. Ngày 15 tháng 0Ð năm 2018 Tiọc viên Để Đức Kguyên Trang 3 [1] Tìm hiểu các lễ hồng báo mật trong img dung web La: tim hiểu về 10 lỗ hỗng tiêu biểu theo tổ chức OW ASP đánh giá vào năm 2017 (OWASP Top 10) [2] Giải pháp WAF được dé xuất cần đạt được các nhiệm vụ sau: -_ Giải pháp có thể ngăn chặn được tin tặc khai thác các lễ hồng tiêu biểu. - _ Giải pháp phải cho phép người quản trị có thể cầu hình chính sách một cách linh hoạt -_ Giải pháp phải có khả năng triển khai và áp đựng vảo thực tế.

Hướng tiếp cận và giải quyết Đầu tiên học viên cần tim hiểu về danh sách các lỗ hẳng bảo mật tiên biểu theo tổ chức OWASP đánh giá. Danh sách đánh giá cân được đảm bảo là mói nhật khi thực hiện đề tài. Để quá trình tìm hiểu được hiệu quả, việo cải đối một máy chủ web chứa các lỗ hẳng để có thể tiễn hành khai thác thứ là cân thiết, Việc năm vững các lỗ hỗng sẽ là diễu kiện tiên quyết dễ học viên có thế thực hiện nhiệm vụ tiếp theo là để xuất một giải pháp WAE, Trong phạm vĩ nghiên cứu luận văn, một giải pháp WAF mã nguồn mở là lựa chọn hợp 1ÿ. Tuy nhiên, giải pháp vẫn cân phải đáp ứng các nhiệm vụ đã đặt ra tại phần 2.

Học viên cần phân tích vả chỉ ra sự khác nhau cũng như lợi ích đem lại của hệ thống trước khi vả sau khi triển khai WAF. Các nội dụng thực biện trong đề tài: - Tim hiểu các lỗ hồng bảo mật trong ứng dung web (OWASP Top 10) -_ Từm hiểu, cài đặt, thử nghiệm một máy chủ web chứa các lỗ hồng và một phan mém mã nguồn mở W AI ModSecurity - _ Xây đng bộ chính sách ngăn chặn khai thác các lễ hồng - _ Thử nghiệm giải pháp bằng cách khai thác cáo lỗ ổng và so sảnh kết quả trước khi và sau khi triển khai W AE. Bồ cục của luận văn Bé cục luận vấn được chữa thành 5 chương như sau Chương 1: Mở đầu: Mô tả chỉ tiết vẻ mục tiêu, nhiệm vụ đê tải và hướng tiếp cận. Chương 2: Ứng dụng web và các lỗ hồng báo mật trong ứng dụng web : Nghiễn cứu cơ số lý thuyết về ứng dụng web và các lỗ hổng bão mật trong ứng dung web theo đánh giả của tổ chức OWASP.

Chương 3: Dé xual piai pháp Lường lửa ứng dụng web: Tìm hiểu và để xuất muội. giải pháp tưởng lửa ứng dụng wcb, bao gồm các nội dung: (1) Giới thiệu giải pháp, (2) Mô hình Trang 9 DANH MỤC CÁC HÌNH VẼ a Hinh 2.2 Các tiêu chí đánh giả rủi ro lồ hong 12 Hinh 3.1 Các pha trong hoạt động của ModSecurity 23 Hinh 3.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ