+ Dự án OWASP  “Google Hacking” – Christian Heinrich

+ Định hướng bảo mật ứng dụng Web – Joe White

+ Nghiên cứu HTTP Bot – Andre M.DiMin

Các hiểm họa trong môi trường Internet

Chuyên gia Joe White của hãng Cyber | LockSmith nhận định “xu thế phát triển các giải pháp bảo mật cho các ứng dụng Web sẽ thành xu hướng phát triển trong những năm sắp tới ở cả hai lãnh vực: thiết bị phần cứng và phần mềm.”

1. Nhu cầu cấp thiết cho ứng dụng web

Mô hình hoạt động của firewall truyền thống

Hình vẽ trên cho chúng ta thấy rõ một vấn đề lớn của hệ thống: luồng dữ liệu kết nối Web ( sử dụng giao thức HTTP) từ bên ngoài vào bên trong,truy xuất tới hệ thống dữ liệu Database mà không có sự “giám sát nội dung” của Firewall. Tìm hiểu rõ hơn về cơ chế hoạt động của Firewall truyền thống, chúng ta thấy được một điều là các thiết bị này hoạt động chủ yếu ở 4 tầng đầu tiên trong mô hình IOS, trong khi đó hầu hết các ứng dụng được xây dựng trong hệ thống mạng tuân thủ 3 lớp trên cùng. Đây là nguyên nhân khiến Firewall không thể kiểm soát được nội dung của các kết nối từ Web vào Database.

Mô hình ứng dụng OSI

2. Giải pháp Web Application Firewall - WAF

WAF là giải pháp bảo mật toàn diện và mạnh mẽ dành cho các ứng dụng Web.WAF đưa ra một phương thức phòng vệ chống lại các hoạt động như tin tặc, khai thác các lỗ hổng về giao thức. Bên cạnh đó, WAF còn cảnh báo cho bạn về những lỗi ứng dụng mà các hacker có thể khai thác, đánh cắp thông tin, gây lỗi từ chối dịch vụ hoặc làm thay đổi giao diện trang web của bạn.

Mục đích chính của WAF là:

+ Ứng dụng mở rộng hoặc chọn lọc cho máy chủ dịch vụ web nhằm thiết lập các chính sách cho các kết nối người dùng HTTP.

+ Bảo vệ hệ thống trước các loại tấn công phổ biến như: Cross-site Scripting (XSS) and SQL Injection

+ Kiểm tra cả nội dung các truy cập Web sử dụng giao thức HTTP ở lớp ứng dụng

+ Phân tích những yêu cầu và cảnh báo ngay khi có một hoạt động đáng nghi nào đó trên hệ thống.

+ Tăng khả năng hiển thị của lưu lượng website. 

Tiên phong trong lãnh vực này, chúng ta có thể kể đến các sản phẩm của các nhà cung cấp sản phẩm bảo mật nổi tiếng như sau:

+ Citrix Application Firewall - Citrix (www.citrix.com)

+ SecureSphere - Imperva (www.imperva.com)

+ Application Security Manager - F5 (www.f5.com)

+ Web Application Controller - Barracuda  (www.barracudanetworks.com)

+ Application Security Solutions  (www.applicure.com)

+ DenyAll Security Solutions (http://pci.denyall.com)

Xu hướng ứng dụng giải pháp WAF:

+ Bạn không thể bảo vệ những cái bạn không thấy

Mô hình ứng dụng WAF

3. Những rủi ro tiềm ẩn của WAF

Năm 2008 dự án về WAF ra đời tính tới thời điểm này là đã hơn 2 năm (tham chiếu theo website: www.webappsecroadmap.com), có rất nhiều sản phẩm ra đời đáp ứng đầy đủ các nhu cầu mà WAF mong muốn.

Song bên cạnh đó, mạng Internet toàn cầu đang ngày càng phát triển như vũ bão kéo theo rất nhiều rủi ro tiềm ẩn mà các nhà nghiên cứu WAF vẫn chưa tìm ra cách nào ngăn chặn triệt để toàn diện nhất. Trong một cuộc khảo sát tổng hợp các rủi ro xảy ra trong môi trường Internet cho thấy có kết quả như sau:

Bảng đánh giá các kiểu tấn công Website

Năm 2009, tổ chức Positive Technologies – một tổ chức hàng đầu về bảo mật của Nga đã tiến hành một cuộc “kiểm tra chất lượng” về các giải pháp WAF.Sử dụng 2 công nghệ SQL Injection và Cross-site Script, nhóm nghiên cứu đã thử nghiệm thành công phương thức ByPass qua WAF gồm có:

HTTP Parameter Pollution HPP

Cross-site Script HTTP

Path Traversal, Local/Remote File Inclusion

4. Nhận đinh chung về WAF

Việc ứng dụng giải pháp WAF đòi hỏi cả một quá trình triển khai lâu dài vì bản thân môi trường Internet đã luôn chứa đựng nhiều rủi ro: tấn công dịch vụ, mã độc, thư rác,..Ngày nay, cùng với nhu cầu phát triển xã hội, dịch vụ thương mại điện tử mang đến nhiều tiện ích: mua bán hàng trên mạng online, giao dịch chứng khoán, đặt vé khách sạn, sân bay, … Những việc này sẽ tạo cơ hội tốt cho kẻ xấu (hacker) tìm cách tấn công, khai thác thông tin.

Giải pháp WAF được đưa ra đáp ứng được nhu cầu bảo mật các ứng dụng web hiện nay, song bên cạnh đó các nhà cung cấp dịch vụ cũng cần phải biết kết hợp với các giải pháp tường lửa truyền thống nhằm mang lại một giải pháp hoàn chỉnh cho toàn hệ thống – điều nay chính là việc của các nhà tích hợp hệ thống cần làm.

Phần chú thích:

Hai kiểu tấn cống: SQL Injection &Cross-Site Scripting chiếm tỉ lệ rất cao trong các loại tấn công hệ thống trên mạng Internet toàn cầu.

Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiên nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web.Bất kì một website nào cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS.

SQL injection là một kỹ thuật điền vào những đoạn mã SQL bất hợp pháp cho phép khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng. Lỗ hổng bảo mật này có thể xuất hiện khi ứng dụng không có đoạn mã kiểm tra chuỗi ký tự thoát nhúng trong câu truy vấn SQL hoặc do sự định kiểu đầu vào không rõ ràng hay do lỗi cú pháp SQL của lập trình viên khiến cho một đoạn mã ngoại lai có thể được xử lý ngoài ý muốn. Nó là một ví dụ của sự rủi ro khi một ngôn ngữ lập trình hay ngôn ngữ kịch bản được nhúng trong một ngôn ngữ khác. Tấn công SQL injection còn có thể hiểu là hình thức tấn công chèn bất hợp pháp các đoạn mã SQL

Download bài viết tại đây