- TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài: Xây dựng giải pháp chống tấn công khai thác lỗ hổng cho các ứng dụng web Tác giả luận văn: Nguyễn Thanh Long Khóa: CLC2016A Người hướng dẫn: PGS.TS. - Trong nước ngày càng xuất hiện hàng loạt tấn công có chủ đích nhằm vào một số cơ quan quan trọng, hàng loạt đối tượng bị bắt giữ vì tội làm giả thẻ ATM, tấn công từ chối dịch vụ. - Hình thức tấn công tấn công khai thác lỗ hổng web là một hình thức tấn công phổ biến trên Internet. - Từ các lỗ hổng khai thác được, kẻ tấn công có thể khai thác được các dữ liệu trong hệ thống hoặc thậm chí leo thang chiếm quyền điều khiển. - Các website mắc lỗi trở thành cửa ngõ cho kẻ tấn công xâm nhập vào hệ thống của tổ chức. - Vì vậy, luận văn này sẽ nghiên cứu các kỹ thuật khai thác lỗ hổng website phổ biến và giải pháp phòng chống, cụ thể hóa các nghiên cứu đó vào ứng dụng cụ thể và thử nghiệm trong thực tế. - b) Mục đích nghiên cứu của luận văn, đối tượng, phạm vi nghiên cứu. - Mục đích nghiên cứu: Luận văn nghiên cứu các giải pháp nhận dạng, ngăn chặn tấn công ứng dụng web, về giải pháp tưởng lửa cho ứng dụng web (WAF) sử dụng ModSecurity kết hợp tập luật CoreRuleSet. - Từ đó nghiên cứu xây dựng giải pháp WAF dùng Apache – ModSecurity, kết hợp hệ thống quản trị, theo dõi tập trung. - Đối tượng và phạm vi nghiên cứu: đối tượng là các lỗ hổng bảo mật và mô hình nhận dạng tấn công ứng dụng web, hệ thống WAF dùng ModSecurity. - c) Tóm tắt cô đọng các nội dung chính và đóng góp mới của tác giả Trong chương 1 của luận văn sẽ trình bày về các các lỗ hổng của ứng dụng website, nhu cầu cần có hệ thống bảo vệ cho ứng dung web, từ đó trình bày các kỹ thuật về phát hiện và nhận dạng tấn công. - Trong chương 2, luận văn trình bày các tìm hiểu về WAF, hệ thống WAF sử dụng ModSecurity và Core Rule Set (CRS). - Qua việc chỉ ra các bất cập, thiếu sót của giải pháp WAF dùng ModeSecurity và Core Rule Set, tác giả xây dưng các thành phần hỗ trợ quản trị, theo dõi như: trang portal quản trị, waf node client cho các server triển khai waf, webservice để server waf tương tác với trang quản trị, database lưu trữ dữ liệu. - GIẢI PHÁP WEB APPLICATION FIREWALLWEBSERVICESWEB PORTALAPACHE - MODSECURITYWAF NODE CLIENTWEBSITE VICTIMNgười dùngQuản trị Chương 3 trình bày về kết qua triển khai, thử nghiệm giải pháp với đối tượng cần bảo vệ là website chứa các lỗi bảo mật Damn Vulnerable Web App (DVWA), đối tượng tấn công là kẻ tấn công sử dụng phần mềm Acunetix để quét lỗ hổng bảo mật ứng dụng web. - d) Phương pháp nghiên cứu. - Trong quá trình làm luận văn, tôi đã sử dụng các thông tin, tài liệu trên trang web OWASP (Open Web Application Security Project) để nghiên cứu lý thuyết và mô hình triển khai hệ thống WAFs, sử dụng tài liệu “Modsecurity Handbook complete guide to securing your Web applications” của Ivan Ristic để nghiên cứu về ModSecurity. - Từ đó, xây dựng giải pháp WAF và thử nghiệm. - e) Kết luận Luận văn đã thực hiện được việc nghiên cứu về giải pháp waf sử dụng ModSecurity kết hợp tập luật CoreRuleSet, xây dựng và triển khai thử nghiệm các module client chạy trên máy chủ cài WAF, module website quản trị phục vụ cho cấu hình WAF, theo dõi tấn công. - Hệ thống này có thể phát triển theo hướng cung cấp dụng dịch dạng cloud, kết hợp với giải pháp chống Ddos lớp 7 cho ứng dụng web.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt