1. Nội dung

• Giới Thiệu Về Series Web Application Security
• Các Lỗi Bảo Mật – Theo IPA
• DVWA
• Các Bài Viết Liên Quan Tới Series

2. Giới Thiệu Về Series Web Application Security

• Theo như Wikipedia: https://en.wikipedia.org/wiki/Web_application_security Web application security is a branch of Information Security that deals specifically with security of websites, web applications and web services. At a high level, Web application security draws on the principles of application security but applies them specifically to Internet and Web systems.
• Với sự phát triển của công nghệ Web như hiện nay thì vấn đề bảo mật là hết sức quan trọng. Tại Việt Nam tháng 11/2016 vừa qua có vụ việc Vietnamworks bị tấn công và làm lộ hàng chục nghìn thông tin tài khoản. Việc Vietnam Airlines bị hack hồi tháng 7 – 2016 làm lộ khoảng 400.000 nghìn dữ liệu khách hàng. Hay vụ thông báo đã hack được một số thương hiệu đang nổi ở VN như Lotte Cinema, Lozzi… Thì thấy rằng việc bảo mật hiện tại các developer VN vẫn còn chưa được chú trọng nhiều.
• Với mục đích chia sẻ và phát triển kiến thức liên quan đến bảo mật. Tôi muốn viết series về Web Application Security để các developer có thể tham khảo và đóng góp giúp sự phát triển của developer VN.
• Nội dung của Series này sẽ bám theo một project phục vụ tìm hiểu về security. Project Damn Vulnerable Web Application (DVWA)  bao gồm các chức năng cơ bản của một trang web và có chứa một số lỗi security thông dụng. Tôi muốn giới thiệu về một số lỗi bảo mật cũng như cách khắc phục thông qua các chức năng mà Project trên cung cấp.

3. Các Lỗi Bảo Mật – Theo IPA

IPA Là Gì

• IPA là một tổ chức hoạt động dựa trên vị trí của người sử dụng để tạo lập lên các hệ thống an toàn thông tin và có độ tin cậy cao
• Trang Web chính: https://www.ipa.go.jp/ (tiếng anh: https://www.ipa.go.jp/index-e.html)
• Một tài liệu của IPA về bảo mật được cung cấp miễn phí. Ngoài ra còn có cung cấp checklist về các lỗi bảo mật (rất tiếc là tiếng Nhật – tài liệu này rất phù hợp với các project làm việc với JP) - https://www.ipa.go.jp/security/vuln/websecurity.html
• Cách tạo trang web an toàn (tiếng anh)
• Cách tạo trang web an toàn (tiếng nhật)
• Check list cho web application security (tiếng nhật)

List các lỗi bảo mật mà IPA công bố

• SQL Injection
• OS Command Injection
• Unchecked Path Parameter / Directory Traversal
• Improper Session Management
• Cross-Site Scripting
• CSRF (Cross-Site Request Forgery)
• HTTP Header Injection
• Mail Header Injection
• Lack of Authentication and Authorization

Giới thiệu về DVWA

• Trang chủ: http://www.dvwa.co.uk/
• Project Github: https://github.com/ethicalhack3r/DVWA
• Là một project mở, có các ứng dụng mà hầu hết các trang web application cung cấp
• Có chứa các lỗi bảo mật cơ bản - Brute Force
• Command Injection
• CSRF
• File Inclusion
• File Upload
• Insecure CAPTCHA
• SQL Injection
• SQL Injection (Blind)
• XSS (Reflected)
• XSS (Stored)

Cài đặt

• Dự định cài đặt - Dùng Centos 6.5 (mặc dù HVWA có nói là có thể sử dụng cài đặt với XAMPP nhưng vì có vài phần test bảo mật ví dụ như Command Injection vì vậy sử dụng Centos là phù hợp hơn)
• Dùng virtual box và Vagrant cài đặt
• Cài đặt theo hướng dẫn ở README trên github.
• Một số chú ý khi cài đặt - Trong  https://192.168.33.100/setup.php có các “PHP function” sẽ được thiết lập trong /etc/php.ini
• Trong  https://192.168.33.100/setup.php có các “PHP module ” sẽ được thiết lập bằng cài đặt thêm yum.
• Trong  https://192.168.33.100/setup.php có các “Writable folder “, “Writable file ” nếu không có quyền (màu đỏ) thì có thể dùng: chmod để thay đổi quyền truy cập
• Trước khi bấm vào [Create/Reset Database] thì phải tạo cơ sở dữ liệu trước ví dụ database: dvwa thì file cấu hình dvwa/config/config.inc.php

$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = ''; //tùy thuộc user root, mặc định cài mysql là rỗng
$_DVWA[ 'db_database' ] = 'dvwa';

Kết quả

4. Các Bài Viết Liên Quan Tới Series

• 1. Giới thiệu tổng quan series Web Application Security

• 2. SQL Injection

• 3. Command Injection

• 4. CSRF

• 5. XSS

• 6. Tool Test Security – OWASP ZAP