Giới thiệu tổng quan series Web Application Security

1. Nội dung

Giới Thiệu Về Series Web Application Security
Các Lỗi Bảo Mật – Theo IPA
DVWA
Các Bài Viết Liên Quan Tới Series

2. Giới Thiệu Về Series Web Application Security

Theo như Wikipedia: https://en.wikipedia.org/wiki/Web_application_security Web application security is a branch of Information Security that deals specifically with security of websites, web applications and web services. At a high level, Web application security draws on the principles of application security but applies them specifically to Internet and Web systems.
Với sự phát triển của công nghệ Web như hiện nay thì vấn đề bảo mật là hết sức quan trọng. Tại Việt Nam tháng 11/2016 vừa qua có vụ việc Vietnamworks bị tấn công và làm lộ hàng chục nghìn thông tin tài khoản. Việc Vietnam Airlines bị hack hồi tháng 7 – 2016 làm lộ khoảng 400.000 nghìn dữ liệu khách hàng. Hay vụ thông báo đã hack được một số thương hiệu đang nổi ở VN như Lotte Cinema, Lozzi… Thì thấy rằng việc bảo mật hiện tại các developer VN vẫn còn chưa được chú trọng nhiều.
Với mục đích chia sẻ và phát triển kiến thức liên quan đến bảo mật. Tôi muốn viết series về Web Application Security để các developer có thể tham khảo và đóng góp giúp sự phát triển của developer VN.
Nội dung của Series này sẽ bám theo một project phục vụ tìm hiểu về security. Project Damn Vulnerable Web Application (DVWA) bao gồm các chức năng cơ bản của một trang web và có chứa một số lỗi security thông dụng. Tôi muốn giới thiệu về một số lỗi bảo mật cũng như cách khắc phục thông qua các chức năng mà Project trên cung cấp.

3. Các Lỗi Bảo Mật – Theo IPA

IPA Là Gì

IPA là một tổ chức hoạt động dựa trên vị trí của người sử dụng để tạo lập lên các hệ thống an toàn thông tin và có độ tin cậy cao
Trang Web chính: https://www.ipa.go.jp/ (tiếng anh: https://www.ipa.go.jp/index-e.html)
Một tài liệu của IPA về bảo mật được cung cấp miễn phí. Ngoài ra còn có cung cấp checklist về các lỗi bảo mật (rất tiếc là tiếng Nhật – tài liệu này rất phù hợp với các project làm việc với JP) - https://www.ipa.go.jp/security/vuln/websecurity.html
Cách tạo trang web an toàn (tiếng anh)
Cách tạo trang web an toàn (tiếng nhật)
Check list cho web application security (tiếng nhật)

List các lỗi bảo mật mà IPA công bố

SQL Injection
OS Command Injection
Unchecked Path Parameter / Directory Traversal
Improper Session Management
Cross-Site Scripting
CSRF (Cross-Site Request Forgery)
HTTP Header Injection
Mail Header Injection
Lack of Authentication and Authorization

Giới thiệu về DVWA

Trang chủ: http://www.dvwa.co.uk/
Project Github: https://github.com/ethicalhack3r/DVWA
Là một project mở, có các ứng dụng mà hầu hết các trang web application cung cấp
Có chứa các lỗi bảo mật cơ bản - Brute Force
Command Injection
CSRF
File Inclusion
File Upload
Insecure CAPTCHA
SQL Injection
SQL Injection (Blind)
XSS (Reflected)
XSS (Stored)

Cài đặt

Dự định cài đặt - Dùng Centos 6.5 (mặc dù HVWA có nói là có thể sử dụng cài đặt với XAMPP nhưng vì có vài phần test bảo mật ví dụ như Command Injection vì vậy sử dụng Centos là phù hợp hơn)
Dùng virtual box và Vagrant cài đặt
Cài đặt theo hướng dẫn ở README trên github.
Một số chú ý khi cài đặt - Trong https://192.168.33.100/setup.php có các “PHP function” sẽ được thiết lập trong /etc/php.ini
Trong https://192.168.33.100/setup.php có các “PHP module ” sẽ được thiết lập bằng cài đặt thêm yum.
Trong https://192.168.33.100/setup.php có các “Writable folder “, “Writable file ” nếu không có quyền (màu đỏ) thì có thể dùng: chmod để thay đổi quyền truy cập
Trước khi bấm vào [Create/Reset Database] thì phải tạo cơ sở dữ liệu trước ví dụ database: dvwa thì file cấu hình dvwa/config/config.inc.php

$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = ''; //tùy thuộc user root, mặc định cài mysql là rỗng
$_DVWA[ 'db_database' ] = 'dvwa';

Kết quả

4. Các Bài Viết Liên Quan Tới Series

1. Giới thiệu tổng quan series Web Application Security
2. SQL Injection
3. Command Injection
4. CSRF
5. XSS
6. Tool Test Security – OWASP ZAP