- Trang 1 TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài: Tìm hiểu bài toán Web an toàn và đề xuất giải pháp Firewall cho các ứng dụng Web. - Thực tế với tình hình hiện nay, các ứng dụng web ngày một nhiều. - Sự thay đổi chóng mặt của công nghệ đã giúp ứng dụng web được cải tiến nâng cao rất nhiều, và vấn đề bảo mật cho ứng dụng web không ngừng tăng lên. - Một khi ứng dụng web bị rò rỉ lỗ hổng, các tin tặc sẽ dễ dàng chiếm quyền quản trị web, ứng dụng và phần mềm của công ty. - Nguyên nhân dẫn đến các ứng dụng web bị rò rỉ thông tin, các nguy cơ về lỗ hổng, là do các đoạn mã lệnh, mã code không phù hợp trong ứng dụng web. - Chỉ cần một lỗ hổng, tin tặc cũng có thể xâm nhập và truy cập vào cơ sở dữ liệu, thông tin và thực hiện các hành vi sai trái như đánh cắp, thay đổi, chỉnh sửa, mã hóa dữ liệu… Để đối phó với các nguy cơ rủi ro đó, có rất nhiều công cụ, giải pháp được phát triển nhằm mục đích bảo vệ các ứng dụng web khỏi các lỗi bảo mật và các cuộc tấn công, mã độc từ tin tặc.Các giải pháp đó được gọi là tường lửa ứng dụng web (Web Application Firewall – WAF). - WAF có khả năng thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. - Với mong muốn phân tích và tìm hiểu sâu hơn về các lỗ hổng trong ứng dụng web cũng như phương thức hoạt động, khả năng ngăn chặn của WAF, học viên đã lựa chọn đề tài “Tìm hiểu bài toán Web an toàn và đề xuất giải pháp Firewall cho các ứng dụng Web” làm luận văn tốt nghiệp của mình. - b) Mục đích nghiên cứu của luận văn, đối tượng, phạm vi nghiên cứu Mục đích của đề tài này là tìm hiểu các lỗ hổng bảo mật trong ứng dụng web và đề xuất một giải pháp WAF để bảo vệ ứng dụng web khỏi các lỗ hổng bảo mật đó. - Các đối Trang 2 tượng được hướng đến là các lỗ hổng bảo mật ứng dụng web và giải pháp WAF, trong đó: (1) Tìm hiểu các lỗ hổng bảo mật trong ứng dụng web là: tìm hiểu về 10 lỗ hổng tiêu biểu theo tổ chức OWASP đánh giá vào năm 2017 (OWASP Top 10) (2) Giải pháp WAF được đề xuất cần đạt được các mục đích sau. - Giải pháp có thể ngăn chặn được tin tặc khai thác các lỗ hổng tiêu biểu. - Giải pháp phải cho phép người quản trị có thể cấu hình chính sách một cách linh hoạt. - Giải pháp phải có khả năng triển khai và áp dụng vào thực tế. - Trong phạm vi nghiên cứu luận văn, một giải pháp WAF mã nguồn mở là lựa chọn hợp lý. - Tuy nhiên, giải pháp vẫn cần phải đáp ứng các yêu cầu đã đặt ra tại phần trên. - Tìm hiểu các lỗ hổng bảo mật trong ứng dụng web (OWASP Top 10. - Tìm hiểu, cài đặt, thử nghiệm một máy chủ web chứa các lỗ hổng và một phần mềm mã nguồn mở WAF ModSecurity - Xây dựng bộ chính sách ngăn chặn khai thác các lỗ hổng - Thử nghiệm giải pháp bằng cách khai thác các lỗ hổng và so sánh kết quả trước khi và sau khi triển khai WAF. - d) Phương pháp nghiên cứu Đầu tiên học viên nghiên cứu các lý thuyết liên quan đến ứng dụng web. - Sau đó, tìm hiểu về danh sách các lỗ hổng bảo mật tiêu biểu theo tổ chức OWASP đánh giá. - Để quá trình tìm hiểu được hiệu quả, việc cài đặt một máy chủ web chứa các lỗ hổng để có thể tiến hành khai thác thử là cần thiết. - Việc nắm vững các lỗ hổng sẽ là điều kiện tiên quyết để học viên có thể đề xuất một giải pháp WAF. - Các giải pháp WAF mã nguồn mở sẽ được lựa chọn. - Khi nghiên cứu, học viên phải triển khai tích hợp được với máy chủ ứng dụng web. - Đồng thời, cấu hình chính sách ngăn chặn khai thác các lỗ hổng đã đề cập. - e) Kết luận Ngày nay, các ứng dụng web ngày càng đóng một vai trò quan trọng đối với mỗi tổ chức. - Điều này trở nên rõ ràng khi các ứng dụng web bị tấn công sẽ làm ảnh hưởng Trang 3 nghiêm trọng đến các chức năng hoạt động của tổ chức. - Một số các tổ chức thì đặt niềm tin vào những lập trình viên sẽ lập trình tốt hoặc là các giải pháp bảo mật mạng sẽ ngăn chặn được các cuộc tấn công. - Mỗi tổ chức nên trang bị một hệ thống WAF để làm nhiệm vụ chuyên trách bảo vệ cho các ứng dụng web. - Các tổ chức có thể tham khảo các giải pháp mã nguồn mở như giải pháp ModSecurity được đề xuất trong luận văn hoặc là các giải pháp chuyên dụng đến từ các hãng bảo mật lớn trên thế giới. - Ngoài ra, việc nắm vững các lỗ hổng, cách thức khai thác, cách thức phòng chống sẽ giúp người quản trị có thể hiểu được các nguy cơ tiềm ẩn trong tổ chức của mình cũng như đưa ra được một chính sách cho WAF hợp lý. - Do hạn chế về công cụ và kiến thức nên nội dung của luận văn chưa thể hiện đầy đủ được toàn bộ những vấn đề trong lỗ hổng ứng dụng web. - Tuy nhiên, luận văn này cũng đã đưa ra được cái nhìn tổng quan về bảo mật web, cũng như đề xuất một giải pháp cơ bản có thể áp dụng cho tổ chức có nhu cầu bảo mật web.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt