%20(1)%20(1).png.png)
NGHIÊN CỨU ỨNG DỤNG MOD SECURITY ĐỂ BẢO VỆ WEB SERVER
Ngày nay, ứng dụng web trong doanh nghiệp và cơ quan chính phủ phải đối mặt với hai thách thức lớn là: giảm thiểu nguy cơ bảo mật và bảo đảm quy trình trong công nghiệp và/hoặc những quy định chính phủ. May mắn thay khi tồn tại một giải pháp an toàn thông tin sẵn sàng hỗ trợ các tổ chức CNTT đạt được cả hai tiêu chí trên tại cùng một thời điểm. OWASP cho phép các chuyên gia an ninh CNTT giảm thiểu được các cuộc tấn công bằng các chủ động và liên tục củng cố các cấu hình cấu hình an ninh của OS, ứng dụng web và Web Application Firewall. Đồng thời, các dự án thuộc chuẩn OWASP cho phép các kiểm soát viên giám sát việc tuân thủ các chính sách bắt buộc trong tổ chức, doanh nghiệp.
ModSecurity là một sản phẩm thuộc dự án OWASP, cho phép người dùng cấu hình, tùy chỉnh các phương thức phát hiện tấn công vào web server. Phiên bản ModSecurity hiện tại đã hỗ trợ Apache, Nginx và IIS. Cùng với dự án ModSecurity Core Rule Set thì việc triển khai hệ thống WAF càng dễ dàng hơn cho nhân viên hệ thống cũng như các chuyên viên bảo mật
NỘI DUNG:
I. PHIẾU GIAO ĐỀTÀI 5
II. NHẬP ĐỀ 6
IV. GIỚI THIỆU MOD_SECURITY 7
CHỨC NĂNG 7
Parsing 7
Buffering 7
Logging 7
Rule Engine 8
CẤU TRÚC RULE TRONG ModSecurity 8
QUY TRÌNH XỬ LÝ TRONG ModSecurity 8
Request Header (1) 9
Request body (2) 9
Response headers (3) 9
Response body (4) 10
Logging (5) 10
KHUYẾN CÁO KHI TRIỂN KHAI THỰC TẾ 10
V. TỐNG QUAN VỀ TIÊU CHUẨN OWASP TOP TEN 11
VI. CÀI ĐẶT MODSECURITY 12
VII. CẤU HÌNH 15
Cấu hình thư mục 15
Các tập tin cấu hình 15
Các chỉ thị trong tập tin cấu hình 16
Quản lý Request Body 17
Quản lý Response Body 18
Filesystem Locations 18
File Uploads 19
Debug Log 19
Audit Log 19
Default Rule Match Policy 20
Verifying Installation 20
VIII. OWASP MODSECURITY CORE RULE SET 20
Giới thiệu 20
Triển khai OWASP ModSecurity CRS 21
Kiểm tra kết quả 22
IX. TỔNG QUAN VỀ RULE 23
Giới thiệu 23
Variables 24
Request variables 25
Server variables 26
Response variables 26
Miscellaneouse variables 27
Parsing flags 27
Collections variables 28
Time variables 28
Operators 29
String–matching operators 29
Numerical operators 30
Validation operators 30
Miscellaneous operators 30
Actions 31
Disruptive actions 31
Flow actions 31
Metadata actions 32
Variable actions 32
Logging actions 32
Special actions 33
Miscellaneous Actions 33
X. RULE LANGUAGE TUTORIAL 33
Tổng quan 33
Hướng dẫn sử dụng biến (variable) 33
Hướng dẫn sử dụng liên kết rule (chain) 34
Hướng dẫn sử dụng toán tử phủ định 34
Variable Counting 35
Hướng dẫn về action 35
Action Defaults 35
Unconditional Rules 36
Using Transformation Functions 36
Blocking 37
Changing Rule Flow 37
Capturing Data 38
Variable Manipulation 39
Metadata 39
XI. PHÂN TÍCH CÁC RULE ỨNG DỤNG THỰC TẾ 40
Trường hợp 1: Chống tấn công Replay attack thông qua cơ chế đánh token ngẫu nhiên. 40
Trường hợp 2: Phát hiện các Session cookie không hợp lệ 43
Trường hợp 3: Phòng chống phương pháp khai thác HTTP Reponse Spliting 48
Trường hợp 4: Phòng chống phương pháp khai thác Path-Traversal 50
Trường hợp 5: Phát hiện nguy cơ lộ thông tin thẻ tín dụng 52
Trường hợp 6: Phát hiện hành vi đăng nhập bruteforce 54
XII. PHỤ LỤC 61
DANH MỤC LỖ HỔNG BẢO MẬT OWASP 2010 61
DANH MỤC CÔNG CỤ HỖ TRỢ KIỂM TRA BẢO MẬT ỨNG DỤNG WEB 64
DANH MỤC THAM KHẢO KHAI THÁC LỖ HỔNG BẢO MẬT ỨNG DỤNG WEB 67
XIII. TÀI LIỆU THAM KHẢO 91
LINK DOWNLOAD
Ngày nay, ứng dụng web trong doanh nghiệp và cơ quan chính phủ phải đối mặt với hai thách thức lớn là: giảm thiểu nguy cơ bảo mật và bảo đảm quy trình trong công nghiệp và/hoặc những quy định chính phủ. May mắn thay khi tồn tại một giải pháp an toàn thông tin sẵn sàng hỗ trợ các tổ chức CNTT đạt được cả hai tiêu chí trên tại cùng một thời điểm. OWASP cho phép các chuyên gia an ninh CNTT giảm thiểu được các cuộc tấn công bằng các chủ động và liên tục củng cố các cấu hình cấu hình an ninh của OS, ứng dụng web và Web Application Firewall. Đồng thời, các dự án thuộc chuẩn OWASP cho phép các kiểm soát viên giám sát việc tuân thủ các chính sách bắt buộc trong tổ chức, doanh nghiệp.
ModSecurity là một sản phẩm thuộc dự án OWASP, cho phép người dùng cấu hình, tùy chỉnh các phương thức phát hiện tấn công vào web server. Phiên bản ModSecurity hiện tại đã hỗ trợ Apache, Nginx và IIS. Cùng với dự án ModSecurity Core Rule Set thì việc triển khai hệ thống WAF càng dễ dàng hơn cho nhân viên hệ thống cũng như các chuyên viên bảo mật
NỘI DUNG:
I. PHIẾU GIAO ĐỀTÀI 5
II. NHẬP ĐỀ 6
IV. GIỚI THIỆU MOD_SECURITY 7
CHỨC NĂNG 7
Parsing 7
Buffering 7
Logging 7
Rule Engine 8
CẤU TRÚC RULE TRONG ModSecurity 8
QUY TRÌNH XỬ LÝ TRONG ModSecurity 8
Request Header (1) 9
Request body (2) 9
Response headers (3) 9
Response body (4) 10
Logging (5) 10
KHUYẾN CÁO KHI TRIỂN KHAI THỰC TẾ 10
V. TỐNG QUAN VỀ TIÊU CHUẨN OWASP TOP TEN 11
VI. CÀI ĐẶT MODSECURITY 12
VII. CẤU HÌNH 15
Cấu hình thư mục 15
Các tập tin cấu hình 15
Các chỉ thị trong tập tin cấu hình 16
Quản lý Request Body 17
Quản lý Response Body 18
Filesystem Locations 18
File Uploads 19
Debug Log 19
Audit Log 19
Default Rule Match Policy 20
Verifying Installation 20
VIII. OWASP MODSECURITY CORE RULE SET 20
Giới thiệu 20
Triển khai OWASP ModSecurity CRS 21
Kiểm tra kết quả 22
IX. TỔNG QUAN VỀ RULE 23
Giới thiệu 23
Variables 24
Request variables 25
Server variables 26
Response variables 26
Miscellaneouse variables 27
Parsing flags 27
Collections variables 28
Time variables 28
Operators 29
String–matching operators 29
Numerical operators 30
Validation operators 30
Miscellaneous operators 30
Actions 31
Disruptive actions 31
Flow actions 31
Metadata actions 32
Variable actions 32
Logging actions 32
Special actions 33
Miscellaneous Actions 33
X. RULE LANGUAGE TUTORIAL 33
Tổng quan 33
Hướng dẫn sử dụng biến (variable) 33
Hướng dẫn sử dụng liên kết rule (chain) 34
Hướng dẫn sử dụng toán tử phủ định 34
Variable Counting 35
Hướng dẫn về action 35
Action Defaults 35
Unconditional Rules 36
Using Transformation Functions 36
Blocking 37
Changing Rule Flow 37
Capturing Data 38
Variable Manipulation 39
Metadata 39
XI. PHÂN TÍCH CÁC RULE ỨNG DỤNG THỰC TẾ 40
Trường hợp 1: Chống tấn công Replay attack thông qua cơ chế đánh token ngẫu nhiên. 40
Trường hợp 2: Phát hiện các Session cookie không hợp lệ 43
Trường hợp 3: Phòng chống phương pháp khai thác HTTP Reponse Spliting 48
Trường hợp 4: Phòng chống phương pháp khai thác Path-Traversal 50
Trường hợp 5: Phát hiện nguy cơ lộ thông tin thẻ tín dụng 52
Trường hợp 6: Phát hiện hành vi đăng nhập bruteforce 54
XII. PHỤ LỤC 61
DANH MỤC LỖ HỔNG BẢO MẬT OWASP 2010 61
DANH MỤC CÔNG CỤ HỖ TRỢ KIỂM TRA BẢO MẬT ỨNG DỤNG WEB 64
DANH MỤC THAM KHẢO KHAI THÁC LỖ HỔNG BẢO MẬT ỨNG DỤNG WEB 67
XIII. TÀI LIỆU THAM KHẢO 91
LINK DOWNLOAD
%20(1).png "Hướng dẫn download ti liệu")
.png "Hướng dẫn download ti liệu")
%20(1).png "Gói VIP Member EBOOKBKMT - Hỗ trợ tài liệu nhanh nhất, không giới hạn (Update 2024)")
Không có nhận xét nào: