HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

ĐÀO HƯƠNG GIANG

PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH
GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG
THÔNG TIN ĐIỆN TỬ.

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI - 2016


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

ĐÀO HƯƠNG GIANG

PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH
GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG
THÔNG TIN ĐIỆN TỬ.
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ:

0

60.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT

truyền đạt kiến thức cho tôi trong suốt thời gian học tập và nghiên cứu tại trường.
Tôi xin cảm ơn các cấp lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã
chia sẻ, giúp đỡ và tạo điều kiện cho tôi hoàn thành luận văn này
Hà Nội, tháng 06 năm 2016

Đào Hương Giang


iii

MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... i
LỜI CÁM ƠN ……………………………………………………………………..ii
DANH MỤC TỪ VIẾT TẮT .................................................................................... vi
DANH MỤC CÁC BẢNG BIỂU ............................................................................ vii
DANH MỤC CÁC HÌNH VẼ................................................................................. viii
MỞ ĐẦU……... ..........................................................................................................1
CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI ĐIỂM YẾU AN TOÀN
THÔNG TIN CỦA CỔNG TTĐT ..............................................................................5
1.1

Khái quát về cấu trúc Cổng TTĐT. ...............................................................5
Tổng quan về Cổng TTĐT ......................................................................5
Cấu trúc Cổng TTĐT...............................................................................6

1.2

Tổng hợp dữ liệu về bảo mật của Cổng TTĐT, các loại điểm yếu................9
Tổng hợp dữ liệu về bảo mật của Cổng TTĐT .......................................9
Các loại điểm yếu phổ biến hiện nay trên các Cổng TTĐT ..................10



iv

CHƯƠNG 2: PHƯƠNG PHÁP ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN
CỦA CỔNG TTĐT ...................................................................................................21
2.1 Nghiên cứu, phân tích một số mô hình đánh giá điểm yếu ATTT ..............21
Mô hình đánh giá điểm yếu ATTT theo OWASP .................................21
Mô hình đánh giá điểm yếu ATTT tại các quốc gia trên thế giới ........21
2.2 Nghiên cứu, phân tích một số phương pháp đánh giá điểm yếu an toàn thông
tin của Cổng TTĐT. ..............................................................................................24
Phương pháp Black Box ........................................................................28
Phương pháp White Box .......................................................................28
2.3 Nghiên cứu, phân tích một số công cụ phần mềm cho thu thập thông tin, đánh
giá điểm yếu/ lỗ hổng bảo mật của Cổng TTĐT ..................................................33
Công cụ Acunetix WVS ........................................................................33
Công cụ OWASP Webscarab ................................................................34
Công cụ OWASP ZAP ..........................................................................34
Công cụ Burp Suite ...............................................................................35
Công cụ N-Stalker .................................................................................35
Công cụ Sandcat ....................................................................................36
Công cụ Kali linux.................................................................................36
2.4 Xây dựng mô hình đánh giá, các tiêu chí đánh giá, đưa ra phương pháp đánh
giá phù hợp với Cổng TTĐT . ...............................................................................38
Mô hình đánh giá ...................................................................................38
Các tiêu chí đánh giá .............................................................................43
2.5

Kết luận chương 2 ........................................................................................46


KẾT LUẬN…………… ...........................................................................................68
Kết quả đạt được ...................................................................................................68
Hạn chế ..................................................................................................................69
Hướng phát triển tiếp theo ....................................................................................69
TÀI LIỆU THAM KHẢO .........................................................................................70


vi

DANH MỤC TỪ VIẾT TẮT
Viết tắt

Tiếng Anh

Tiếng Việt

ATTT

An toàn thông tin.

CSRF

Cross Site Request Forgery

Kiểm tra giả mạo yêu cầu

DoS

Denial of Service


Transport Layer Security

Bảo mật tầng truyền tải

TTĐT

Thông tin điện tử.

TT&TT

Thông tin và truyền thông

URL

Uniform Resource Locator

Định vị Tài nguyên thống nhất
(hay đường dẫn nguồn tài nguyên
trên Internet

XSS

Cross-Site Scripting

Tấn công chèn mã độc


vii

DANH MỤC CÁC BẢNG BIỂU

Hình 3- 7: Giao diện trang add_reg ................................................................................... 60
Hình 3- 8: Tấn công Reflected or non-persistent không liên tục ......................................... 62
Hình 3- 9: Tấn công Stored or persistent vulnerability ....................................................... 62
Hình 3- 10: Tấn công DOM based or local XSS ................................................................. 63
Hình 3- 11: Nhập địa chỉ IP của Cổng TTĐT Học viện để rà quét ..................................... 64
Hình 3- 12: Quá trình rà quét Cổng TTĐT ......................................................................... 65
Hình 3- 13: Kết quả rà quét cổng TTĐT Học viện qua 3 lần quét ...................................... 65
Hình 3- 14: Tỉ lệ phân bổ các lỗi rà quét ............................................................................ 66


1

MỞ ĐẦU
Những năm gần đây đã xảy ra hàng loạt các cuộc tấn công Cổng TTĐT trên
toàn thế giới, từ việc thay đổi thông tin, hình ảnh đến việc làm sập các trang mạng.
Việc tấn công một Cổng TTĐT đã trở nên khá dễ dàng với những kẻ tấn công, trong
khi việc phát hiện, phòng ngừa, ngăn chặn từ phía quản trị mạng, quản trị Cổng TTĐT
còn lỏng lẻo, nhất là đối với các cơ quan, tổ chức Nhà nước.
Hầu hết các cơ quan, tổ chức Nhà nước đều đã xây dựng Cổng TTĐT. Cổng
thông tin này thực chết như một giao diện Web duy nhất của cơ quan, tổ chức phục
vụ cho việc tra cứu thông tin, gửi nhận email, điều hành tác nghiệp nội bộ… của tổ
chức thông qua mạng máy tính. Nói một cách khác, Cổng TTĐT là một trang web,
xuất phát từ đó người sử dụng có thể dễ dàng truy xuất đến các trang web nội bộ và
các dịch vụ thông tin khác của cơ quan, tổ chức trên mạng máy tính.
Thực tế cho thấy việc bảo mật Cổng TTĐT ở các cơ quan chính phủ hiện nay
đang còn tồn tại những yếu kém, vấn đề an toàn bảo mật chưa được quan tâm đúng
mức. Có thể thấy có rất nhiều lý do khiến cho tình trạng bảo mật thông tin còn yếu
kém ở Việt Nam nói chung và ở các tổ chức/ cơ quan nhà nước nói riêng. Dưới đây
là một số lý do chính:
Thứ nhất: Nguồn nhân lực công nghệ thông tin mỏng, đặc biệt là chưa có hoặc

phân loại điểm yếu phù hợp cho Cổng TTĐT
Trên cơ sở thông tin đã thu thập và phân loại thông tin về điểm yếu, việc tiếp
theo là đánh giá điểm yếu ATTT cho Cổng TTĐT dựa theo các tiêu chí đánh giá. Các
tổ chức tiêu chuẩn thế giới đã đưa ra một số bộ tiêu chí chung cho đánh giá ATTT
như: ISO/IEC 15408, bộ tiêu chí OSWAP cho ứng dụng Web, các bộ tiêu chí của một
số quốc gia tự xây dựng khác. Tuy nhiên, qua nghiên cứu tìm hiểu, học viện chưa
thấy có đề xuất một bộ tiêu chí cụ thể nào cho đánh giá điểm yếu đối với Cổng TTĐT.
Chính vì vậy, việc xây dựng một bộ tiêu chí để đánh giá điểm yếu Cổng TTĐT là hết
sức cần thiết.
Chính vì những lý do trên, và nhận thấy việc cần thiết phải đảm bảo ATTT cho
Cổng TTĐT, học viên chọn đề tài “Phương pháp thu thập, phân loại và đánh giá
điểm yếu an toàn thông tin của cổng Thông tin điện tử”
Các trọng tâm nghiên cứu đặt ra đối với luận văn là:


3

Thứ nhất: Nghiên cứu về cấu trúc Cổng TTĐT, vấn đề bảo mật Cổng TTĐT,
các loại điểm yếu phổ biến trên các Cổng TTĐT
Thứ hai: Nghiên cứu, phân tích phương pháp thu thập, phân loại điểm
yếu ATTT của Cổng TTĐT. Đưa ra phương pháp phù hợp để thu thập, phân loại
điểm yếu ATTT.
Thứ ba: Nghiên cứu, phân tích một số mô hình, phương pháp, công cụ phần
mềm cho thu thập thông tin, đánh giá điểm yếu ATTT của Cổng TTĐT. Xây dựng
mô hình và các tiêu chí đánh giá điểm yếu phù hợp.
Thứ tư: Xây dựng một tập điểm yếu, tiêu chí đánh giá, các kịch bản thử
nghiệm, các bài đo kiểm thử và thực hiện thử nghiệm đánh giá một Cổng TTĐT.
Phạm vi của bài luận văn: Nghiên cứu về các điểm yếu an toàn thông tin của
Cổng TTĐT, phương pháp thu thập, phân loại điểm yếu và đánh giá điểm yếu an toàn
thông tin của Cổng TTĐT, xây dựng các bài đo, kịch bản thử nghiệm đánh giá điểm

5

CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI
ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT
Chương 1 luận văn tập trung nghiên cứu về các phương pháp thu thập thông
tin về điểm yếu của Cổng TTĐT, dựa vào đó để xây dựng mô hình thu thập và phương
pháp phân loại điểm yếu.
1.1 Khái quát về cấu trúc Cổng TTĐT.

Tổng quan về Cổng TTĐT
Cổng Thông tin điện tử (Cổng TTĐT) được hiểu như một trang web mà từ đó
người sử dụng có thể dễ dàng truy xuất các trang web và các thông tin dịch vụ khác
trên mạng máy tính. Cổng TTĐT khởi đầu thường dùng cho các trang web khổng lồ
như Yahoo, Lycos,…Trong phạm vi của luận văn, khái niệm Cổng TTĐT được định
nghĩa như sau: Cổng Thông tin điện tử là điểm truy cập tập trung và duy nhất, tích
hợp các kênh thông tin, các dịch vụ và ứng dụng, phân phối tới người sử dụng thông
qua một phương thức thống nhất và đơn giản trên nền tảng Web [2]
Lợi ích lớn nhất mà Cổng TTĐT đem lại chính là tính tiện lợi, dễ sử dụng.
thay vì phải nhớ vô số các địa chỉ khác nhau cho các mục đích sử dụng khác nhau,
thì với một web như Cổng TTĐT người dùng chỉ cần nhớ địa chỉ của Cổng TTĐT
đó, ở đó nhà cung cấp dịch vụ đã tích hợp mọi thứ mà khách hàng cần. Ngày nay,
khái niệm Cổng TTĐT không chỉ sử dụng cho các trang web của các công ty truyền
thông lớn mà nó còn được áp dụng rộng rãi tại các doanh nghiệp, tổ chức của nhà
nước hoặc tư nhân, trường học hay là các cơ quan nhà nước cũng đều đã xây dựng
được Cổng TTĐT riêng.
Các loại Cổng TTĐT:
- Cổng thông tin công cộng (public portals)
- Cổng thông tin doanh nghiệp (Enterprise portals)
- Cổng giao dịch điện tử (Marketplace portals)
- Cổng thông tin ứng dụng chuyên biệt (Specialized portals)

Cấu trúc Cổng TTĐT bao gồm:

Hình 1- 3: Cấu trúc Cổng TTĐT [2]
(Nguồn: voer.edu.vn)
Các tính năng, ứng dụng và dịch vụ nền tảng
- Hệ thống quản trị và xuất bản nội dung (CMS)
- Khả năng tùy biến và cá nhân hóa (Customization/ Personalization)
- Đăng nhập một cửa (Single Sign On)
- Xuất bản thông tin (Content Sysdication)


8

- Tìm kiếm toàn văn nội dung thông tin (Full Text Search)
- Quản trị người dùng (Portal User Management)
- Hỗ trợ nhiều môi trường hiển thị thông tin (Multidevice Support)
- Khả năng tích hợp đa hệ thống (multi System Intergration)
- Khả năng mở rộng (Extensible)
- Khả năng bảo mật (Secutiry)
- Khả năng hỗ trợ đa ngữ (Multilingual)
Các ứng dụng, dịch vụ hành chính của Cổng TTĐT
- Thủ tục hành chính (Document Administration)
- Văn bản quy phạm pháp luật (Legal Text)
- Danh bạ các đơn vị hành chính (Directory)
- Hỏi đáp/ Tư vấn trực tuyến (QA)
- Dịch vụ hành chính công trực tuyến (Online Publication Services)
- Giao lưu trực tuyến (Online Conversation)
- Quản lý tư liệu, ấn phẩm điện tử (Document management)
Các ứng dụng, dịch vụ cộng tác của Cổng TTĐT
- Thư điện tử (Email)

Theo báo cáo của VNCERT về thực trạng bảo mật 2015: có tới 90% cơ quan,
tổ chức nhà nước phớt lờ cảnh báo về mức độ mất an toàn thông tin trên hệ thống
Cổng TTĐT thuộc cơ quan mình. VNCERT đã gửi rất nhiều cảnh báo đến các cơ
quan nhà nước nhưng chỉ một số ít đơn vị có phản hồi.
Chỉ riêng trong quý I/2015: có 365.644 lượt địa chỉ IP Việt Nam tham gia
mạng Botnet, tức đã nhiễm mã độc và sẵn sàng tấn công DDOS đến bất kỳ máy tính
nào trên thế giới. Trong các địa chỉ IP này, có 896 lượt địa chỉ IP là của các cơ quan
nhà nước.
Bảng 1- 1: Top các đơn vị được gửi cảnh báo nhiều nhất
STT

Cơ quan/ tổ chức

Lượt cảnh
báo

1.

Sở TT&TT Lai Châu

2317

2.

Bộ Giao thông Vận tải

777


10


8.

Sở TT&TT Điện Biên

403

9.

Sở TT&TT Khánh Hòa

374

10.

Sở TT&TT Cà Mau

349

Các loại điểm yếu phổ biến hiện nay trên các Cổng TTĐT
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực
hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: do lỗi của bản thân hệ
thống, do phần mềm cung cấp hoặc người quản lý yếu kém không hiểu sâu về các
dịch vụ cung cấp… Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau.
Có rất nhiều tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt, theo Bộ
quốc phòng Mỹ các loại lỗ hổng được phân làm 3 loại chính như sau:
Loại 1: Những lỗ hổng thuộc loại này cho phép kẻ tấn công thực hiện các hình
thức tấn công DoS. Với mức độ nguy hiểm thấp, chỉ ảnh hưởng đến chất lượng dịch

lỗi tràn bộ đệm;
- Đặt cơ chế không cho phép thực hiện mã trong Stack;
- Sử dụng các cơ chế bảo vệ Stack
Lỗi không kiểm tra đầu vào: Các dữ liệu đầu vào cần được kiểm tra để đảm
bảo đạt các yêu cầu về định dạng và kích thước
Các dạng dữ liệu nhập điển hình cần kiểm tra:
- Các trường dữ liệu text
- Các lệnh được truyền qua URL để kích hoạt chương trình
- Các tập tin âm thanh, hình ảnh, hoặc đồ họa do người dùng hoặc các tiến
trình khác cung cấp


12

- Các đối số đầu vào trong dòng lệnh
- Các dữ liệu từ mạng hoặc các nguồn không tin cậy
Các biện pháp phòng chống:
- Kiểm tra tất cả các dữ liệu đầu vào, đặc biệt dữ liệu nhập từ người dùng và
từ các nguồn không tin cậy;
- Kiểm tra định dạng và kích thước dữ liệu đầu vào;
- Kiểm tra sự hợp lý của nội dung dữ liệu;
- Tạo các bộ lọc để lọc bỏ các ký tự đặc biệt và các từ khóa của các ngôn ngữ
trong các trường hợp cần thiết mà kẻ tấn công có thể sử dụng
Các vấn đề với điều khiển truy cập: Nếu kiểm soát truy nhập bị lỗi, một
người dùng bình thường có thể đoạt quyền của người quản trị và toàn quyền truy nhập
vào hệ thống. Một kẻ tấn công có thể lợi dụng điểm yếu của hệ thống kiểm soát truy
nhập để truy nhập vào các tập tin trong hệ thống.
Phương pháp phòng chống:
- Không dùng tài khoản quản trị (Root hoặc Admin) để chạy các chương trình
ứng dụng;

1.3 Một số phương pháp thu thập thông tin về điểm yếu
Phương pháp Footprinting
Footprinting là bước đầu tiên trong các bước chuẩn bị cho một cuộc tấn công
mạng. Mục tiêu của phần Footprinting là thu thập cành nhiều thông tin về đối tượng
thì càng tốt, điều này đồng nghĩa với việc thu thập được càng nhiều thông tin về điểm
yếu thì càng tốt. [10]
Mục đích của Footpriting thì cần phải thu thập được các thông tin sau:
- Domain name:
+ Tìm kiếm thông tin về các Domain Name của tổ chức hay đơn vị đó
+ Phân tích và tìm kiếm Domain Name và các reacord của domain đó.
+ Các domain liên quan đến domain.
- IP Address:
+ Phát hiện các giải IP được tổ chức hay đơn vị đó sử dụng: IP Public, IP
Private.
+ IP của domain sử dụng
+ Các thông tin về IP bao gồm” ISP, vị trí, đường tới IP đó


14

+ Số lượng website hosting trên IP đó
- Website: Các IP hosting cho website, cấu trúc website, dowload website.
- Email Address: Email Tracke, tìm kiếm các email của domain hay tổ chức
đó, một vài kiến thức về Spam
- Tìm kiếm thông tin về con người hoặc tổ chức qua các trang mạng xã hội
- Google Hack: Sử dụng google để tìm kiếm các thông tin về tổ chức hay đơn
vị.

Phương pháp Scanning
Scanning là phương pháp rà quét và phát hiện các nguy cơ về điểm yếu, lỗ

options để người dùng lựa chọn.
+ Sử dụng Pathping, Traceroute để biết đường đi từ máy tính người dùng tới
máy đích và thời gian gói tin đi quan mỗi IP đó. Từ đó, có thể phân tích được một số
thông tin về IP, ISP, Location của Domain Name đó.
+ Sử dụng nslookup để biết số IP và các reacord được Public của Domain
Name đó.
+ Sử dụng các công cụ online: Sử dụng 2 website https://smartwhois.com và
https://tenmien.vn để xem xem các thông tin đăng ký của Domain như: email, ISP,…..
- Tìm kiếm phân tích các thông tin về giải IP của tổ chức
+ Sau khi sử dụng các công cụ như ping, tracer chúng ta có thể có được IP của
website cần khai thác. Từ thông tin IP đó, cần tìm kiếm các thông tin khác như: ISP,
Location và các thông tin khác liên quan tới IP đó.
+ Sử dụng các webdite chứa nhiều thông tin liên quan đến IP như
https://whatismyipaddress.com
+ Tìm kiếm và phân tích xem IP đó đang Host tới những website nào.
- Tìm kiếm thông tin cơ bản về website: sử dụng công cụ Burpsuite để tạo một
Intercept Proxy và tiến hành truy cập vào trang web từ trình duyệt web đã thiết lập
proxy.