Web Application Attack & Defense Trình bày : Võ Đỗ Thắng Giám đốc Trung tâm an ninh mạng Athena. A. Web app, Webserver: Các khái niệm và mô hình B. Giới thiệu một số phương pháp attack cơ bản nhắm vào web app/webserver C. Phát hiện và phòng chống ATHENA A. Web app, Webserver: Các khái niệm và mô hình Web application là gì? Web app hay web service là một phần mềm ứng dụng chạy phía server (thuộc layer 7 trong mô hình OSI) User có thể truy xuất web app bằng các trình duyệt (web browser, telnet) hay bằng các giao thức HTTP(s) ATHENA 2001(c)WhiteHat Security, Inc. A. Web app, Webserver: Các khái niệm và mô hình • Một số trình duyệt thông dụng: IE (internet explorer) FF( Mozilla Firefox) Opera • Một số webserver thông dụng IIS : www.microsoft.com Apache : www.apache.org Jrun : www.marcomedia.com Tomcat jakarta.apache.org Iplanet webserver Cold Fusion Webserver ATHENA 2001(c)WhiteHat Security, Inc. Mô hình chuẩn Web App HTTP Firewall request (cleartext SQL Databas e or SSL) Web app Web Web Web app DB Client Server Web app DB Web app HTTP reply (HTML, Javascript, VBscript, etc) •Apache •IIS •Netscape etc… Plugins: •Perl •C/C++ •JSP, etc Database connection: •ADO, •ODBC, etc. ATHENA FIREWALL ATHENA 2001(c)WhiteHat Security, Inc. SSL ATHENA 2001(c)WhiteHat Security, Inc. ATHENA 2001(c)WhiteHat Security, Inc. B. Giới thiệu một số phương pháp attack cơ bản nhắm vào web app/webserver 1. Google attack 2. SQL injection 3. Cross site scripting 4. Hidden form vulnerability 5. Cookies injection 6. Flood database/Flood form 7. LocalAttack 8. Path disclosure/Parsing exploit 9. Dictionary Traversal 10. Remote include file 11. Secured webserver ATHENA 2001(c)WhiteHat Security, Inc. Demo: Website viện kinh tế thành phố Hồ Chí Minh bị tấn công, chiếm quyền kiểm soát ATHENA Google Attack Sử dụng google để hack là một trong những phương pháp phổ biến của hacker nhằm tìm được những thông tin nhạy cảm từ victim Phương pháp Google attack giúp cho hacker có thể tìm ra thông tin những victim đã định trước (mục tiêu đã xác định) hay hack hàng lọat những victim có lỗi tương tự (mục tiêu chưa xác định) ATHENA Google attack (cont) Một số keyword hay được sử dụng: 1.Directory listing: Intitle:index.of/admin 2.CGI scanning: inurl:/iisadmpwd/ inurl://iisadmpwd/achg.htr inurl://iisadmpwd/aexp.htr inurl://iisadmpwd/aexp2.htr inurl://iisadmpwd/aexp2b.htr 3.Port Scanning: "VNC Desktop" inurl:5800 ATHENA Inurl:webmin inurl:10000 Google attack (cont) Tìm link login: Inurl:/admin/login.asp Inurl:/administrator/login.asp Inurl:/admin/admin_login.asp …