Giáo trình mô đun Bảo mật web và cơ sở dữ liệu - Nghề: Quản trị mạng máy tính
BỘ CÔNG THƢƠNG
TRƢỜNG CAO ĐẲNG CÔNG NGHIỆP VÀ THƢƠNG MẠI
GIÁO TRÌNH
MÔ ĐUN: BẢO MẬT WEB VÀ CƠ SỞ DỮ LIỆU
NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH
TRÌNH ĐỘ: CAO ĐẲNG NGHỀ
(Ban hành kèm theo Quyết định số: /QĐ-CDCN&TM ngày tháng năm 2018
của Hiệu trưởng Trường Cao đẳng Công nghiệp và Thương Mại
Vĩnh phúc, năm 2018
Tên mô đun: Bảo mật Website và cơ sở dữ liệu
Mã số mô đun: MDCC13030191
Thời gian thực hiện mô đun: 75h (Lý thuyết:15; Thực hành: 57; Kiểm tra: 3)
I. Vị trí, tính chất của mô đun:
- Vị trí của mô đun: Mô đun này giúp ngƣời học có các kiến thức, kỹ năng về
kiểm tra và thực hiện phòng chống sự tấn công vào Website và CSDL trên máy
chủ.
- Tính chất của mô đun: là mô đun chuyên môn bắt buộc.
II. Mục tiêu mô đun:
+ Kiến thức:
- Trình bày đƣợc các trƣờng hợp phổ biến gây mất an ninh, an toàn
Website và CSDL.
- Trình bày đƣợc các phƣơng pháp bảo mật website và CSDL
+ Kỹ năng:
- Tổ chức thực hiện tấn công để kiểm tra bảo mật của website
- Áp dụng các kỹ thuật phòng chống tấn công Website
- Sao lƣu và phục hồi dữ liệu Website và CSDL
+ Về năng lực tự chủ và trách nhiệm: Ngƣời học có thái độ đúng đắn cẩn thận,
chủ động trong việc lĩnh hội kiến thức
III. Nội dung mô đun:
1. Nội dung tổng quát và phân phối thời gian:
Thời gian (giờ)
Kiểm
Thực
tra*
TT
Nội dung mô đun
Tổng Lý
số
hành
tập
38
(LT
hoặcT
H)
thuyết Bài
1
2
Bài 1: Một số kỹ thuật tấn công và bảo
mật Website
Bài 2: Bảo mật CSDL
50
10
2
25
5
19
57
1
3
Tổng cộng
75
15
MỤC LỤC
1.1.1 SQL injection ..................................................................................................... 1
1.1.4 BOTNET LÀ GÌ?.................................................................................................. 5
1.1.5 Phòng Chống Dos - Ddos - Botnet......................................................................... 6
1.1.6 PHISHING............................................................................................................ 8
1.2 CÀI KALI LINUX..................................................................................................... 23
FULL........................................................................................................................... 23
BÀI 2 : TẤN CÔNG VÀ BẢO MẬT CSDL...................................................................... 51
2.1.1Tổng quan về SQL Injection..................................................................................... 51
Khái niệm .................................................................................................................... 51
Nguyên nhân................................................................................................................ 51
Tính nguy hiểm của tấn công SQL Injection................................................................. 52
2.1.2 Phân loại các kiểu tấn công SQL Injection............................................................... 52
BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE
1. 1. MỘT SỐ PHƢƠNG PHÁP TẤN CÔNG WEBSITE: SQL
INJECTION, XSS, DDOS, PHISING, COOKIE THEFT, VIRUSES
AND MALICIOUS CODE,..
1.1.1 SQL injection
* Khái niệm:
SQL injection là kĩ thuật cho phép các kẻ tấn công thực hiện các lệnh thực
thi SQL bất hợp pháp (mà ngƣời phát triển không lƣờng trƣớc đƣợc), bằng cách
lợi dụng các lỗ hổng bảo mật từ dữ liệu nhập vào của các ứng dụng.
* Cách thức hoạt động của Sql injection
Lỗi Sql injection thƣờng xảy ra do sự thiếu kiểm tra dữ liệu truyền
vào, điều này gây ra những tác động không mong muốn ngoài mục đích chính
của câu truy vấn. Ta hãy xem xét câu truy vấn sau:
Selected_user = "SELECT * FROM users WHERE name = '" + userName + "';"
Ta thấy rằng, mục đích chính của câu truy vấn này là lục tìm trong
bảng users những dòng dữ liệu nào mà trƣờng name có giá trị bằng với tham số
userName đã truyền vào.
Thoạt nhìn thì câu truy vấn này là đúng cấu trúc và không có bất cứ
vấn đề gì, thế nhƣng ta hãy thử phân tích một tình huống sau đây: giả sử ngƣời
gọi câu truy vấn này truyền vào tham số userName có giá trị:
a' or 't'='t
Nhƣ vậy câu truy vấn của ta có đƣợc hiểu nhƣ sau:
SELECT * FROM users WHERE name = 'a' or 't'='t';
Câu truy vấn trên có ý nghĩa là gì? Mệnh đề WHERE của câu truy vấn trên luôn
đúng, lí do là vì „t‟=‟t‟ luôn cho ra giá trị đúng. Nhƣ vậy, thay vì trả về kết quả
của 1 dòng dữ liệu mong muốn, câu truy vấn này trả về kết quả là toàn bộ dữ
liệu của bảng users.
Nguyên nhân chính của việc truy vấn sai này chính là do dữ liệu
của tham số truyền vào. Hãy tƣởng tƣợng rằng toàn bộ dữ liệu này bị sử dụng
nhằm mục đích không tốt, hậu quả thật khó lƣờng phải không nào?
1
* Các trƣờng hợp thƣờng bị tấn công Sql injection
Bất cứ thao tác nào của ứng dụng có thực hiện truy vấn tới cơ sở dữ
liệu đều có thể bị lợi dụng để tấn công Sql injection. Các thao tác cơ bản với
CSDL là: select, insert, update đều có thể bị tấn công. Có thể kể ra vài thao tác
phổ biến có thể tấn công nhƣ:
Kiểm tra đăng nhập ứng dụng.
Thao tác lƣu comment của user xuống DB.
Thao tác truy vấn thông tin user.
…
* Cách phòng tránh lỗi Sql injection
Nhƣ đã phân tích ở trên: điểm để tấn công chính là tham số truyền
vào câu truy vấn. Do vậy phải thực hiện các biện pháp phòng chống để đảm bảo
việc kiểm tra dữ liệu truyền vào không thể gây ra sai lệch khi thực hiện truy vấn.
Giải pháp cho việc kiểm tra này là sử dụng “chuỗi escape”. Khi
thực hiện escape một chuỗi, tức là mã hoá các kí tự đặc biệt của chuỗi (nhƣ kí tự
„, &, |, …) để nó không còn đƣợc hiểu là 1 kí tự đặc biệt nữa. Mỗi ngôn ngữ lập
trình đều cung cấp các hàm để thực hiện escape chuỗi, với PHP ta sẽ sử dụng
hàm mysqli_real_escape_string() hoặc cũng có thể dùng addslashes() để thực
hiện điều này.
Ví dụ về hàm addslashes(): kí tự nháy kép lúc này không còn đƣợc
hiểu là kí tự điểu khiển nữa.
1
2
$str = addslashes('What does "yolo" mean?');
//$str = 'What does \"yolo\" mean?'
1.1.2 TẤN CÔNG XSS (CROSS-SITE SCRIPTING)
* Khái niệm
XSS là một kĩ thuật tấn công, trong đó kẻ tấn công sẽ chèn các
đoạn mã client-script độc (thƣờng là javascript hoặc HTML) vào trang web, các
đoạn mã này sẽ đƣợc thực thi khi ngƣời dùng truy cập và load trang có chứa mã
độc.
Khác với Sql injection nơi mà mã độc đƣợc thực thi ở server, XSS
là một dạng tấn công trong đó mã độc đƣợc thực thi ở máy client. Bởi vì mã độc
đƣợc chứa ở server nhƣng lại đƣợc thực thi ở client, do đó kĩ thuật này đƣợc gọi
là “cross-site” là vì vậy.
2
* Cách thức hoạt động của XSS
Có thể chia XSS thành 2 loại: Stored-XSS và Reflected-XSS. Cả 2
đều là đƣa những đoạn mã độc tới máy client để thực thi, cụ thể là việc hiển thị
các nội dung đƣợc sinh ra trong quá trình trang web hoạt động, tuy nhiên cách
thức có đôi chút khác biệt nhƣ sau:
* Stored-XSS
Loại tấn công XSS này lợi dụng các lỗ hổng bảo mật của trang web
để lƣu trữ các đoạn mã độc trên server, mỗi khi ngƣời dùng tải trang về thì các
đoạn mã độc này sẽ đƣợc thực thi. Điển hình nhất của loại tấn công này là lợi
dụng các điểm chứa dữ liệu nhập vào từ ngƣời dùng nhƣ: các ô comment trong
trang blog, các ô điền nội dung của thông tin tài khoản công khai, …
Giả sử trang web của chúng ta có ô nhập nội dung comment nhƣ
sau:
Cài đặt và sử dụng Kali Linux
Kiểm tra bảo mật và các biện pháp phòng chống tấn công
Thay vì nhập comment nhƣ bình thƣờng, kẻ tấn công sẽ chèn mã độc, ví dụ nhƣ
đoạn script sau:
1
<script>alert("XSS");</script>
Khi đó, nếu một ngƣời dùng khác truy cập vào trang web này, đoạn script sẽ
đƣợc kích hoạt, và kết quả của nó nhƣ sau:
3
Trên đây chỉ là 1 ví dụ đơn giản về kĩ thuật tấn công XSS, tất nhiên
là kẻ tấn công hoàn toàn có thể chèn vào các đoạn mã nguy hiểm hơn để khai
thác thông tin của ngƣời dùng. Ta thấy rằng, mặc dù đoạn mã độc này đƣợc lƣu
ở server, nhƣng nó lại đƣợc thực thi tại máy tính của client, do đó nó đƣợc gọi là
stored-XSS.
* Reflected-XSS
Ở kĩ thuật tấn công này, mã độc đƣợc gắn trực tiếp vào link trang
web, một khi bạn truy cập vào đƣờng link có chứa mã độc, thì đoạn mã độc sẽ
đƣợc thực thi.
Giả sử ta có link trang web sau:
xyz.abc.vn/xss/reflected/index?qid=alert(„XSS‟);
Nếu nhƣ trang web này dùng giá trị của tham số qid để hiển
thị, thì khi truy cập vào đƣờng link này, ta sẽ bị lỗi XSS.
* CÁC PHÒNG TRÁNH XSS
Nhƣ đã đề cập ở trên, mấu chốt của kĩ thuật tấn công này
nằm ở chỗ hiển thị các nội dung được nhập vào ở client, do vậy để phòng tránh
thì ta sẽ kiểm soát chặt chẽ các nơi có thể hiển thị nội dung.
Cũng tƣơng tự nhƣ cách phòng chống Sql injection, mỗi khi
nhận vào dữ liệu, ta sẽ thực hiện kiểm tra và mã hoá các kí tự đặc biệt và các kí
tự điều khiển có nguy cơ gây hại cho chƣơng trình. Khi đó những kí tự đặc biệt
sẽ đƣợc biến đổi một cách tƣơng tự nhƣ sau:
<script> sẽ đƣợc đổi thành <script>
Để làm đƣợc điều này, trƣớc khi hiển thị thông tin nào đó ra một
thẻ HTML, ta luôn thực hiện escape trƣớc ở server để biến đổi các kí tự đặc biệt
thành html entity (trong PHP ta có thể sử dụng hàm htmlentities() để làm việc
này).
1.1.3 DDOS
Dos là viết tắt của "Denial Of Service" nghĩa là "Tấn công từ từ chối dịch
vụ", là kiểu thƣờng đƣợc sử dụng để tấn công vào các máy chủ, web server
4
nhằm mục đích làm tắc nghẽn, gián đoạn kết nối giữa ngƣời dùng và máy chủ
gây cạn kiệt tài nguyên. Kiểu tấn công cơ bản thƣờng dùng nhất là Attacker sẽ
gửi liên tục các yêu cầu đến máy chủ và yêu cầu nào cũng mang dung lƣợng lớn.
Do phải xử lý lƣợng yêu cầu này mà máy chủ không còn đủ tài nguyên để
xử lý các yêu cầu từ ngƣời dùng khác gây nên tình trạng gián đoạn kết nối.
"Ddos" tên đầy đủ là "Distributed Denial Of Service" hay "Tấn công từ
từ chối dịch vụ phân tán"
Tƣơng tự nhƣ Dos nhƣng lần này Attacker tấn công từ nhiều luồng khác nhau
với nhiều IP và dãy IP khác nhau. Họ có thể gửi nhiều lƣợt truy cập vào một
máy chủ trong cùng thời điểm, làm máy chủ không phân tán rất nhiều tài nguyên
để xử lý đồng thời các yêu cầu đó. Gây ra tình trạng quá tải và đó là điều mà
Attacker đang mong muốn. Cách tất công này khiến máy chủ khó phát hiện và
ngăn chặn hơn Dos.
Để mọi ngƣời có thể dễ hình dung hơn thì mình xin phép lấy kẹt xe đặc
sản của Sài Gòn làm ví dụ:
Bạn đang trên con đƣờng "băng thông" đến công ty bạn làm tên là "máy chủ"
bình thƣờng vẫn không đông ngƣời lắm trên con đƣờng bỗng hôm nay có 1 đoàn
xe tải của nhà xe "Dos" nối đuôi dài bất tận chạy chiếm hết cả con đƣờng khiến
không ai có thể lƣu thông đƣợc nữa. Nhận thấy sự cố ý phá hoại đến từ nhà xe
"Dos" công ty của bạn đã đặt biển cấm đối với mọi xe của "Dos" bằng cách đó
là Ban IP của Attacker.
Thì đối với Ddos Attacker đó thể tấn công từ nhiều luồng, nhiều địa chỉ khác
nhau cũng nhƣ sử dụng nhiều xe, đi tới từ nhiều hƣớng nên rất khó xác định
đƣợc xuất phát từ đâu. Vậy làm sao mà Attacker có thể sử dụng nhiều IP nhƣ thế
trong cùng lúc để thực hiện hành vi của mình ? Có khác nhiều cách khác nhau
nhƣ sử dụng server ảo, thay đổi IP liên tục qua các proxy và Botnet.
1.1.4 BOTNET LÀ GÌ?
BotNet là thuật ngữ viết ngắn của "Bots Network". Chỉ mạng lƣới các
máy tính nhiễm mã độc (Bots/Zombie) và bị chi phối bởi một máy tính khác.
Mạng lƣới Botnet càng lớn thì độ nguy hiểm càng cao. Có những mạng lƣới
Botnet có thể liên đến hàng ngàn hoặc trăm ngàn máy zombie Hiện nay có 2
hình thức cấu trúc mạng lƣới Botnet là client/server botnet model và peer-to-
peer botnet model.
Client/server botnet model
5
Với mô hình này các máy bot/zombie kết nối với máy chủ hoặc cụm máy
chủ thông qua tên mình hoặc kênh IRC để nhận lệnh của Botmaster. Mô hình
này thƣờng phổ biến và dễ dàng sử dụng hơn.
Các máy zombie thƣờng bị chi phối ngầm mà ngƣời sử dụng máy zombie
không hay biết hoặc rất khó nhận ra. Thông qua sự chi phối của Botmaster
ngƣời điều khiển của thể phát tán các mã độc khác để tạo ra một mạng lƣới
Botnet càng lớn mạnh. Phƣơng thức phát tán thƣờng thấy nhất là ẩn các mã độc
vào các các phần mềm miễn phí quen thuộc rồi rồi phát tán link tải trên internet.
Botmaster có thể điều khiển máy zombie thực hiện nhiều yêu cầu khác
nhau cho nhiều mục đích khác nhau của Attacker bao gồm cả Ddos. Ngƣời sử
dụng có thể điều khiển các máy bot tấn công vào web server thông qua giao diện
điều khiển đặc biệt của họ, lập tức các máy bot đang online trong mạng lƣới dù
có ở khắp thế giới cùng lúc truy cập đến trang mục tiêu.
Mô hình ngày cũng có một nhƣợc điểm, do các máy bị nhiễm mã độc điều
kết nối tới 1 máy chủ duy nhất nên có thể tìm ra đƣợc máy chủ ngày trong quá
trình phân tích mã độc. Chỉ cần máy chỉ bị phá hủy và ngƣng hoạt động thì các
máy bots cũng không còn.
Peer-to-peer botnet model
Mô hình Bonet kết nối ngang hàng. Mô hình này đƣợc sinh ra để khắc
phục điểm yếu của client/server ở trên. Thay vì kết nối tập trung vào một máy
chủ thì các máy bots kết nối ngang hàng và chia sẻ với nhau. Thêm chức năng
điều khiển vào mỗi máy bots để các máy này có thể dễ dàng giao tiếp, chia sẻ và
điều khiển lẫn nhau nhằm mục đích cản trở nỗ lực tìm ra máy chủ.
Trong cấu trúc này máy chủ lẫn máy bots đều chỉ có thể kết nối qua các
nút lân cận để truyền dữ liệu cho nhau. Để duy trì ổn định cấu trúc này các máy
đều có một danh sách các máy tin cậy để kết nối với nhau. Mô hình này nguy
hiểm hơn rất nhiều so với client/server, rất khó khăn để tìm ra nguồn gốc ngăn
để ngăn chặn và phá hủy hoàn toàn bởi mỗi máy trong mạng lƣới điều có khả
năng là máy điều khiển.
Nhƣng mô hình này lại lộ ra một nhƣợc điểm vì chức năng điều khiển ở
mỗi máy bots nên ngƣời tạo ra chúng có khả năng mất quyền kiểm soát. Để hạn
chế điều này các mã độc này thƣờng đƣợc mã hóa rất kỹ lƣỡng.
1.1.5 Phòng Chống Dos - Ddos - Botnet
Đối với phòng chống Ddos thì hiện tại chƣa có cách phòng chống triệt để
rõ ràng nào hiện nay. Vì đây là kiểu tấn công chủ động nhƣ đã nêu ở trên, vì thế
6
để bảo mật website cần phải có kế hoạch cụ thể. LP Tech sẽ giới thiệu một số
cách phòng chống Ddos và Botnet nhƣ sau:
Định tuyến hố đen (black hole)
Đây là cách làm khá phổ biến đối với các quản trị viên trong làm bảo mật
website. Khi phát hiện lƣợng lớn các truy cập bất thƣờng, các truy cập sẽ đƣợc
chuyển vào đây mất kể là truy cập bình thƣờng hay ác ý, nhằm giảm thiểu thiệt
hại cho máy chủ. Hiện nay các nhà cung cấp dịch vụ internet ISP đang cung cấp
dịch vụ này. Tuy nhiên để thiết lập cần tốn khá nhiều thời gian và thiết bị.
Giới hạn truy cập
Tự thiết lập số lƣợng truy cập cho máy chủ, website trong cùng một lúc.
Cách này nhằm ổn định kết nối với cho những ngƣời đang sử dụng hệ thống khi
xảy ra tấn công. Sau khi đạt đƣợc số lƣợng giới hạn truy cập cho phép thì mọi
truy cập sau đó đều bị chặn lại và phải chờ. Tuy nhiên biện pháp này cũng có
những rủi ro nhất định, nhất là đối với website đang làm SEO, Nếu bạn đang
chạy Dịch Vụ SEO mà chặn hay giới hạn truy cập thì quả là nguy hiểm đấy.
Chặn IP
Ngăn chặn các IP đáng ngờ đang truy cập liên tục vào website của bạn.
Đối với Dos thì cách này tuy đơn giản nhƣng rất hiệu quả. Cách này đƣợc sử
dụng hầu hết ở các trang web PHP bằng cách cấu hình ở file .htaccess Ở ví dụ
mình cũng đã nhắc tới. Tuy nhiên việc chặn IP bằng phần mềm cũng có góp
phần vào việc bảo mật website khỏi tấn công DDOS nhƣng đó chỉ có thể chặn
các cuộc tấn công nhẹ mà thôi.
Các cuộc tấn công lớn thì để Bảo mật website tốt cần phải ngăn chặn các
Request ở Layer đầu tiên, chứ nếu vào tới các server là đã vào đến Layer-7 theo
Mô Hình OSI rồi, việc này sẽ giảm hiệu quả bảo mật website.
Sử dụng Firewall
Đây là khái niệm rất quen thuộc với chúng ta khi làm bảo mật website.
Tƣờng lửa hoạt động nhƣ một rào chắn và lọc các kết nối không an toàn cả 2
chiều ra và vào hệ thống. Nó có thể giúp lọc ra các truy cập bị nghi ngờ là bots
đang tấn công giúp hạn chế nguồn tài nguyên tiêu hao và ổn định chất lƣợng
ngƣời dùng bên trong.
Sử dụng Cloudflare
Dịch vụ Cloudflare là một DNS trung gian giúp điều phối lƣợng truy cập
vào máy chủ. Thay vì truy cập trực tiếp thông quan DNS thì ngƣời dùng truy
cập thông qua máy chủ DNS của Cloudflare. Đây cũng là một hình thức bảo mật
website hiệu quả, tuy nhiên nếu sử dụng gói miễn phí thì có khá nhiều vấn đề
nhƣ thời gian Down-Time và tốc độ cũng bị ảnh hƣởng.
7
Máy chủ Cloudflare sẽ điều tiết lƣợng truy cập vào website của bạn và lọc
các kết nối độc hại. Bên cạnh đó Cloudflare còn giúp tăng tốc độ tải trang bằng
cách lƣu lại cache và nén các CSS, hình ảnh của web và lƣu lại trên máy chủ của
Cloudflare.
Đối với ngƣời dùng
Để tránh bị kẻ gian lợi dụng đánh cắp thông tin, phát tán mã độc và vô
tình trở thành zombie trong một mạng BotNet nào đó, ngƣời dùng cần lƣu ý các
vấn đề bảo mật website nhƣ sau:
Không mở những tập tin không rõ nguồn gốc.
Không nên sử dụng cái phần mềm lậu, path crack.
Không mở nhử tập tin tự động tải xuống mà mình không mong
muốn.
Khi tải phần mềm nào đó hãy chú ý đến tên miền của trang web
có phải là trang chủ của phần mềm mà mình muốn tải hay
không.
Thường xuyên cập nhật những bản vá lỗi của hệ điều đang
dùng
Cập nhật phần mềm diệt antivirus
Không sử dụng các phần mềm diệt virus không rõ nguồn gốc vì
rất có thể bản thân nó là virus/mã độc
1.1.6 PHISHING.
* PHISHING LÀ GÌ?
8
Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công
giả mạo thành một đơn vị uy tín để lừa đảo ngƣời dùng cung cấp thông tin cá
nhân cho chúng.
Thông thƣờng, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch
trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa ngƣời dùng chia sẻ các
thông tin nhạy cảm nhƣ: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch,
thẻ tín dụng và các thông tin quý giá khác.
Phƣơng thức tấn công này thƣờng đƣợc tin tặc thực hiện thông qua email
và tin nhắn. Ngƣời dùng khi mở email và click vào đƣờng link giả mạo sẽ đƣợc
yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có đƣợc thông tin ngay tức khắc.
Phƣơng thức phishing đƣợc biết đến lần đầu tiên vào năm 1987. Nguồn
gốc của từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông
tin) và phreaking (trò lừa đảo sử dụng điện thoại của ngƣời khác không trả phí).
Do sự giống nhau giữa việc “câu cá” và “câu thông tin ngƣời dùng”, nên thuật
ngữ Phishing ra đời.
* CÁC PHƢƠNG THỨC TẤN CÔNG PHISHING
Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công
Phishing.
Giả mạo email
Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo
email. Tin tặc sẽ gửi email cho ngƣời dùng dƣới danh nghĩa một đơn vị/tổ chức
uy tín, dụ ngƣời dùng click vào đƣờng link dẫn tới một website giả mạo và “mắc
câu”.
9
Những email giả mạo thƣờng rất giống với email chính chủ, chỉ khác một
vài chi tiết nhỏ, khiến cho nhiều ngƣời dùng nhầm lẫn và trở thành nạn nhân của
cuộc tấn công.
Để làm cho nội dung email giống thật nhất có thể, kẻ tấn công luôn cố
gắng “ngụy trang” bằng nhiều yếu tố:
Chèn Logo chính thức của tổ chức để tăng độ tin cậy
Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font
chữ,…)
Sử dụng kĩ thuật giả mạo đƣờng dẫn (link) để lừa ngƣời dùng (VD: text
là vietcombank.com.vnnhƣng khi click vào lại điều hƣớng
tới vietconbank.com.vn)
Sử dụng hình ảnh thƣơng hiệu của các tổ chức trong email giả mạo để
tăng độ tin cậy.
Mánh
khóe tinh vi của kẻ tấn công Phishing khiến nạn nhân dễ dàng tin tƣởng và đăng
nhập.
10
GIẢ MẠO WEBSITE
Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả
một Landing page chứ không phải toàn bộ website. Trang đƣợc làm giả thƣờng
là trang đăng nhập để cƣớp thông tin của nạn nhân. Kỹ thuật làm giả website có
một số đặc điểm sau:
Thiết kế giống tới 99% so với website gốc
Đƣờng link (url) chỉ khác 1 ký tự duy nhất. VD: reddit.com (thật)
vs redit.com (giả); google.com vs gugle.com; microsoft.com vs mircoso
ft.com hoặc verify-microsoft.com.
Luôn có những thông điệp khuyến khích ngƣời dùng nhập thông tin cá
nhân vào website (call-to-action).
VƢỢT QUA CÁC BỘ LỌC PHISHING
Hiện nay, các nhà cung cấp dịch vụ email nhƣ Google hay Microsoft đều
có những bộ lọc email spam/phishing để bảo vệ ngƣời dùng. Tuy nhiên những
bộ lọc này hoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát
hiện xem email đó có phải phishing hay không. Hiểu đƣợc điều này, những kẻ
tấn công đã cải tiến các chiến dịch tấn công Phishing lên một tầm cao mới.
Chúng thƣờng sử dụng ảnh hoặc video để truyền tải thông điệp lừa đảo thay vì
dùng text nhƣ trƣớc đây. Ngƣời dùng cần tuyệt đối cảnh giác với những nội
dung này.
* CÁCH PHÒNG CHỐNG PHISHING
ĐỐI VỚI CÁ NHÂN
Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet,
thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn. Hãy lƣu ý những điểm sau
:
Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin
nhạy cảm. Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn
nên kiểm tra kỹ càng. VD: bạn mới mua sắm online, đột nhiên có email
từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ
đã dùng để thanh toán. Có tin đƣợc không ?!
Không click vào bất kỳ đƣờng link nào đƣợc gửi qua email nếu bạn
không chắc chắn 100% an toàn.
Không bao giờ gửi thông tin bí mật qua email.
Không trả lời những thƣ lừa đảo. Những kẻ gian lận thƣờng gửi cho
bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh. Họ sử
11
dụng công nghệ Voice over Internet Protocol. Với công nghệ này, các
cuộc gọi của họ không bao giờ có thể đƣợc truy tìm.
Sử dụng Tƣờng lửa và phần mềm diệt virus. Hãy nhớ luôn cập nhật
phiên bản mới nhất của các phần mềm này.
Hãy chuyển tiếp các thƣ rác đến spam@uce.gov. Bạn cũng có thể gửi
email tới reportphishing@antiphishing.org Tổ chức này giúp chống lại
các phishing khác.
ĐỐI VỚI CÁC TỔ CHỨC, DOANH NGHIỆP
Training cho nhân viên để tăng kiến thức sử dụng internet an toàn.
Thƣờng xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả
mạo
Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng
dịch vụ Gmail miễn phí vì dễ bị giả mạo.
Triển khai bộ lọc SPAM để phòng tránh thƣ rác, lừa đảo
Luôn cập nhật các phần mềm, ứng dụng để tránh các lỗ hổng bảo mật
có thể bị kẻ tấn công lợi dụng.
* CÁCH XÁC ĐỊNH MỘT EMAIL LỪA ĐẢO
Thoạt nhìn, email giả mạo trông không khác gì “chính chủ”
Đây là một số cụm từ thƣờng gặp nếu bạn nhận đƣợc một email hay tin nhắn là
lừa đảo
12
“Xác thực tài khoản của bạn” / “Verify your account” – Các website hợp
pháp sẽ không bao giớ bắt bạn gửi password, tên tài khoản hay bất cứ thông tin
cá nhân nào của bạn qua email.
“Nếu bạn không phản hồi trong vòng 48h, tài khoản của bạn sẽ bị ngừng
hoạt động” / “If you don’t respond within 48 hours, your account will be
closed.” – Đây là một tin nhắn truyền tải một thông điệp cấp bách để bạn trả lời
ngay mà không cần suy nghĩ
“Dear Valued Customer.” / “Kinh thƣa quí khách hàng” – Những tin nhắn
từ các email lừa đảo thƣờng xuyên gửi đi với số lƣợng lớn và thƣờng sẽ không
chứa first name và last name của bạn.
“Nhấp chuột vào link bên dƣới để truy cập đến tài khoản của bạn” / “Click
the link below to gain access to your account.” –Các thông điệp HTML có thể
chứa các liên kết hay các form nhập liệu mà bạn có thể điền các thông tin vào
giống nhƣ khi các form trên một website. Những đƣờng dẫn đó có thể chứa tất
cả hoặc một phần thông tin của các công ty thực sự và thƣờng “đeo mặt nạ”, có
nghĩa là các đƣờng dẫn mà bạn thấy không đƣa bạn đến website mà bạn nghĩ,
ngƣợc lại nó sẽ đƣa bạn đến những website lừa đảo.
* CÁC CÔNG CỤ HỮU ÍCH GIÚP PHÒNG CHỐNG PHISHING:
Internet Explorer. SpoofGuard đặt một “cảnh báo” trên thanh công cụ
của trình duyệt. Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vô
tình vào trang web giả mạo Phishing. Nếu bạn cố nhập các thông tin
nhạy cảm vào một mẫu từ trang giả mạo, SpoofGuard sẽ lƣu dữ liệu
của bạn và cảnh báo bạn.
Anti-phishing Domain Advisor: bản chất là một toolbar (thanh công
cụ) giúp cảnh báo những trang web lừa đảo, dựa theo dữ liệu của công
ty Panda Security.
cấp các dịch vụ bảo mật bao gồm nhiều dịch vụ. Trong số đó, tiện ích
mở rộng chống Phishing của Netcraft đƣợc đánh giá khá cao với nhiều
tính năng cảnh báo thông minh.
1.1.5 COOKIE THEFT
13
Cookies giúp cho trải nghiệm lướt web của bạn thuận lợi và nhanh
chóng hơn. Nhưng nếu xét về khía cạnh bảo mật, cookies có thể làm rò rỉ một
số thông tin của bạn. Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải
nghiệm duyệt web nhanh chóng vừa có thể giữ an toàn bảo mật cho các thông
tin quan trọng của mình.
Bạn đã bao giờ thắc mắc tại sao các quảng cáo Google có thể quảng cáo
đúng sản phẩm mà bạn đang định mua, tại sao các trang web luôn đƣợc đăng
nhập sẵn tên bạn dù bạn chỉ đăng nhập đúng một lần? Vâng đó chính là cơ chế
hoạt động của cookies trên trình duyệt web của bạn.
Cookie lƣu trữ thông tin duyệt web, chẳng hạn nhƣ các tùy chọn cho trang
web hoặc thông tin hồ sơ của bạn. Nhờ đó, trình duyệt sẽ cung cấp những thông
tin phù hợp nhất cho bạn, từ quảng cáo đến những thông tin lƣớt web đăng nhập.
Có thể nói cookies sẽ giúp cho trải nghiệm lƣớt web của bạn thuận lợi và nhanh
chóng hơn.
Nhƣng nếu xét về khía cạnh bảo mật, cookies có thể làm rò rỉ một số
thông tin của bạn. Bởi nếu hacker có thể lấy đƣợc những cookies này, hacker
hoàn toàn có thể biết đƣợc thói quen, lịch sử duyệt web và dựa vào đó tấn công
bạn.
Thƣờng thì cookies sẽ đƣợc lƣu trữ trên máy tính của bạn cho đến khi
chúng hết hạn hoặc bạn xóa chúng. Thời gian lƣu trữ của chúng từ khoảng 30
ngày đến 60 ngày. Với lƣợng thời gian này, hacker hoàn toàn có thể lấy đƣợc
nhiều thông tin từ bạn.
14
Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải nghiệm duyệt web
nhanh chóng vừa có thể giữ an toàn bảo mật cho các thông tin quan trọng của
mình.
Bạn có thể quản lý cookies ngay trên trình duyệt web của mình, chính là
xóa những đoạn cookies định kỳ hoặc thiết lập cho trình duyệt tự động làm điều
đó cho bạn và giữ thông tin của bạn luôn đƣợc bảo mật.
Đối với trình duyệt Google Chrome
Hãy nhấp vào biểu tƣợng menu ở góc trên bên phải cửa sổ trình duyệt và
chọn Cài đặt >> Hiển thị cài đặt nâng cao… >> Cài đặt nội dung.
Trong phần Cookies, chọn Chỉ lƣu dữ liệu trên máy cho đến khi bạn thoát trình
duyệt của mình.
Chọn Chặn dữ liệu trang Web và cookied của bên thứ ba.
15
Quản lý cookies trên trình duyệt Mozilla Firefox
Hãy nhấp vào biểu tƣợng menu ở góc trên bên phải cửa sổ trình duyệt và chọn
Cài đặt.
Chọn Privacy (thiết lập Bảo mật) ở menu bên trái.
Dƣới mục History, chọn Use custom settings for history trong mục xổ
xuống, sau đó nhấn chọn Never by Accept third-party cookies.
Và đánh vào ô Keep until to I close Firefox.
Có một vấn đề bạn nên lƣu ý: Khi bạn xóa Cookies trên trình duyệt Web,
bạn cũng hủy luôn cả lệnh “Remember me” (Ghi nhớ tôi) mà bạn đã từng chọn –
kèm theo các thiết lập lƣu trữ đăng nhập bạn đã lƣu khi đăng nhập bằng bảo mật
2 lớp. Có thể điều này khiến bạn cảm thấy rất phiền, nhƣng rõ ràng để đƣợc bảo
mật thì cái giá này không hề mắc tẹo nào.
Ngoài ra, để tăng tính bảo mật an toàn thông tin cá nhân, bạn nên sử dụng
một giải pháp bảo mật nhƣ phần mềm bảo mật Kaspersky Internet Security 2017
có tích hợp tính năng vừa diệt virus vừa phát hiện và kịp thời ngăn chặn các
trang web có dấu hiệu ngấm ngầm theo dấu thông tin dữ liệu cá nhân của bạn
trên trình duyệt web.
VIRUSES AND MALICIOUS CODE
* Mã độc là gì? Tổng quan về mã độc
Mã độc hay “Malicious software” là một loại phần mềm đƣợc tạo ra và
chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống
hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và
tính sẵn sàng của máy tính nạn nhân.
Mã độc đƣợc phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm,
phá hoại: virus, worm, trojan, rootkit…
16
Mọi ngƣời hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính. Thực
tế, virus máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu
đơn thuần cũng là một dạng mã độc nhƣng sự khác biệt ở chỗ virus máy tính có
khả năng tự lây lan.
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phƣơng
pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các
loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp
lẫn nhau để hiệu quả tấn công là cao nhất.
Sau đây, tôi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính:
chức năng, đối tƣợng lây nhiễm, đặc trƣng của mã độc.
* LOẠI MÃ ĐỘC PHỔ BIẾN
BOOT VIRUS
Boot virus hay còn gọi là virus boot, là loại virus lây vào boot sector hoặc
master boot record của ổ đĩa cứng. Đây là các khu vực đặc biệt chứa các dữ liệu
để khởi động hệ thống, nạp các phân vùng.
Boot virus đƣợc thực thi trƣớc khi hệ điều hành đƣợc nạp lên. Vì vậy, nó
hoàn toàn độc lập với hệ điều hành. B-virus có nhƣợc điểm là khó viết do không
thể sử dụng các dịch vụ, chức năng có sẵn của hệ điều hành và kích thƣớc virus
bị hạn chế bởi kích thƣớc của các sector (mỗi sector chỉ có 512 byte).
Ngày nay gần nhƣ không còn thấy sự xuất hiện của Boot Virus do đặc điểm lây
lan chậm và không phù hợp với thời đại Internet.
17
Tải về để xem bản đầy đủ
63 trang
12/04/2022
4360
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình mô đun Bảo mật web và cơ sở dữ liệu - Nghề: Quản trị mạng máy tính", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- giao_trinh_mo_dun_bao_mat_web_va_co_so_du_lieu_nghe_quan_tri.pdf
