cÔng cỤ xÁc ĐỊnh lỖ hỔng...
TRANSCRIPT
![Page 1: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/1.jpg)
SEMINARCÔNG CỤ XÁC ĐỊNH LỖ
HỔNG WEBSITE
Trình bày : Võ Đỗ Thắng và Các cộng sựGiám Đốc Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng ATHENAwww.Athena.Edu.Vn
![Page 2: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/2.jpg)
Company Logo
Nội dung :Tổng Quan Các Lỗ Hổng Web1
Giới thiệu Các Công Cụ Quét Lỗ Hổng Web2
Một Số Demo Khai Thác Lỗ Hổng Web3
Thảo Luận4
![Page 3: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/3.jpg)
Tổng Quan Về Mô Hình Web
![Page 4: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/4.jpg)
Các Nguy Cơ Rủi Ro Đối Với Web
![Page 5: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/5.jpg)
![Page 6: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/6.jpg)
![Page 7: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/7.jpg)
![Page 8: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/8.jpg)
![Page 9: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/9.jpg)
![Page 10: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/10.jpg)
Giới thiệu về Các Công Cụ Quét LổHổng WebSite
![Page 11: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/11.jpg)
Giới thiệu về Các Công Cụ Quét LổHổng WebSite
Acunetix
Paros
Havij
NIKTO
APP SCAN
WebScarab
…….
![Page 12: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/12.jpg)
Là công cụ nổi tiếng của IBM , dùng để kiểm tra các lỗi bảo mật thông qua vòng đời phát triển của ứng dụng
Có thể xác định được hầu hết các lỗi phổ biến của site như SQLi, XSS đến các lỗi như BufferOverFlow, BackDoor ….
Tổng Quan Về Các Công CụCác công cụ nổi tiếng : APP SCAN
![Page 13: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/13.jpg)
Là công mã nguồn mở có giao diện đơn giản , dùng để lắng nghe các requests/responses thông qua local proxy
Được những lập trình viên dùng để debuge hoặc giải quyết những vấn đề khó khăn liên quan đến HTTP(s) ….
Tổng Quan Về Các Công CụCác công cụ nổi tiếng : WebScarab
![Page 14: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/14.jpg)
Tổng Quan Về Các Công CụCác công cụ nổi tiếng : Acunetix và Paros
Sẽ được giới thiệu bên dưới
![Page 15: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/15.jpg)
DeMo Sử Dụng Một SốCông Cụ Quét Lổ Hổng
WebSite
![Page 16: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/16.jpg)
Acunetix Acunetix WVS là công cụ kiểm tra lỗi của website một
cách tự động.
Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password.
AcuSensor là công nghệ phát hiện lỗi website theo hộp đen.
Acunetix với Giao diên người dùng , phương pháp báo cáo tiên tiến , dễ sử dụng
![Page 17: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/17.jpg)
Lựa chọn target: File → New → Web site scan
Acunetix
![Page 18: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/18.jpg)
Acunetix Nhấn Next : Lựa chọn các công nghệ của webserver.
![Page 19: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/19.jpg)
Nhấn Next : lựa chọn các chế độ Crawling.
Acunetix
![Page 20: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/20.jpg)
Nhấn Next : lựa chọn các chế độ San.
Heuristic , Quick, Extenvise.
Acunetix
![Page 21: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/21.jpg)
Nhấn Finish.
Acunetix
![Page 22: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/22.jpg)
Lấy lỗi . Click vào lỗi Launch the attack with HTTP Editor :
Acunetix
![Page 23: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/23.jpg)
Phân tích trong HTTP Editor.
Acunetix
![Page 24: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/24.jpg)
Ngoài ra Acunetix còn hỗ trợ một số Tools.
Acunetix
![Page 25: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/25.jpg)
Acunetix WVS Report : tạo báo cáo chuyên nghiệp.
Acunetix
![Page 26: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/26.jpg)
Được viết bằng Java . Dùng để đánh giá lỗ hổng ứng dụng web thông qua web proxy.
Hỗ trợ chỉnh sửa /các message HTTP / HTTPS , cookie…
Hỗ trợ Web Spider, Hash Calculator (MD5, SHA1…)
Là một công cụ Scan để kiểm tra các lỗi phổ biến trên web server như SQL Injection , XSS …
Paros :
![Page 27: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/27.jpg)
Thiết lập Local Proxy :
Paros :
![Page 28: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/28.jpg)
Thiết lập cho Web browers Firefox : Tools Options Advanced NetworkSettings
Paros :
![Page 29: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/29.jpg)
Dùng firefox để truy cập vào site cần test.
Truy cập vào những phần cần test.
Mở Paros lên Vào Anlyse Scan
Paros :
![Page 30: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/30.jpg)
Sau khi Scan kết thú vào Report Last Scan Report
Paros :
![Page 31: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/31.jpg)
Một số công cụ bổ sung : Tools ….
Paros :
![Page 32: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/32.jpg)
Havij Công cụ dùng để khai thác lỗi SQL – Injection của
website.
Có 2 phiên bản free and shareware
Có thể sử dụng để khai thác những lỗi SQL – Injection phổ biến.
![Page 33: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/33.jpg)
Kết quả thu được
Havij
![Page 34: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/34.jpg)
Dữ liệu trong các table:
Havij
![Page 35: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/35.jpg)
Kết nối với các website crack hashed_password:
Havij
![Page 36: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/36.jpg)
Lưu dữ liệu lấy được dưới dạng HTML:
Havij
![Page 37: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/37.jpg)
Demo Khai Thác Một Số LổHổng Website
(Website demo chỉ có giá trị nội bộ trong buổiSeminar)
![Page 38: CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITEdulieu.tailieuhoctap.vn/books/cong-nghe-thong-tin/quan...Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor](https://reader033.vdocuments.mx/reader033/viewer/2022042912/5f4746c7ca58404e8223a6ab/html5/thumbnails/38.jpg)