1) Kịch bản thực nghiệm

Phần thực nghiệm sẽ điều tra các cuộc tấn công web trên các web server để
xác định loại tấn công và mức độ nghiêm trọng của cuộc tấn công đó thông qua
việc phân tích các tệp nhật ký , IDS và SIEM của web server có chứa địa chỉ
IP , trình duyệt và thông tin hệ thống của kẻ tấn công. Các cuộc tấn công lên
web có thể bao gồm : cross-site scripting, SQL injection, brute-force, command
injection và nhiều kiểu tấn công khác .
Vì giới hạn về thời gian và thiếu sót về mặt kiến thức nên trong đề tài chỉ tập
trung phát hiện và phân tích về cuộc tấn công XSS , SQL Injection bằng cách
kiểm tra tệp nhật ký trên Apache
Mô hình kịch bản :

Trên máy Windows Server 2016 yêu cầu :

- Cài đặt công cụ XAMPP để chạy Apache Server và MySql
 Hình : Giao diện công cụ XAMPP
- Cài đặt công cụ Splunk Enterprise cho việc phân tích dữ liệu và quản lý
log.

Hình: Giao diện công cụ Splunk Enterprise

1.1) Phát hiện và phân tích cuộc tấn công XSS thông qua kiểm tra nhật ký của
Apache
Triển khai 1 website trên Apache server chạy bằng html và php, gồm 2 chức
năng là bình luận và tìm kiếm bình luận

Hình: giao diện website

Thực hiện kiểm thử xem website có bị lỗi xss hay không
Hình : Thực hiện khai thác lỗ hổng XSS
 Hình : Khai thác lỗ hổng XSS thành công
Sau khi phát hiện được website có lỗi xss, thực hiện khai thác cookie của
website thông qua lỗi

Hình: Khai thác cookie của website

 Hình : Khai thác thành công
Sau quá trình khai thác, tải file log từ Apache server để thực hiện phát hiện và
tìm kiếm lỗ hổng, đồng thời sử dụng công cụ Splunk Enterprise để thực hiện
việc phân tích
Khởi động Splunk Enterprise trên trình duyệt web với địa chỉ 10.0.0.16:8000 và
đăng nhập
 Hình: giao diện chính của công cụ Splunk Enterprise

Sau khi đăng nhập, tại trang chủ của Splunk Enterprise lựa chọn Add Data và
lựa chọn tiếp mục Upload để tải file log cần phân tích

Hình: Tải lên file nhật ký cần phân tích

Sau khi đẩy file XSS lên , chọn Next và chọn mục Save as để lưu với tên XSS
(Apache Logs)

Hình : Lưu lại quá trình phần tích

Tiếp tục chọn Next đến hết và chọn Submit để kết thúc việc cài đặt , phần mềm
sẽ hiện ra 1 cửa sổ với lời nhắn : FIle has been uploaded successfully. Lựa
chọn mục Start Searching để bắt đầu kiểm tra file log
 Hình : Tải tệp lên thành công
Các mục nhật ký từ tệp sẽ được tải lên được hiển thị trên cửa sổ Splunk
Enterprise trong tab Events

Hình : Giao diện màn hình phân tích file nhật ký

Để kiểm tra tệp nhật ký để tìm dấu hiệu 1 cuộc tấn công XSS trước tiên
tìm kiếm trong bộ lọc từ khóa <script> . Tuy nhiên , không có kết quả nào được
hiển thị

Hình : Kết quả tìm kiếm từ khóa <script>

Tiếp tục tìm kiếm với từ khóa <script> dưới dạng mã hóa URL
 Hình: Bảng giải mã URL HTML
Từ khóa <script> sau mã hóa sẽ thành %3c%2fscript%3e

Hình : Kết quả tìm kiếm sau khi từ khóa <script> được mã hóa
Với sự trợ giúp từ bảng .. trên và từ tệp nhật ký có thể giải mã ra đoạn
script là : <script>alert (“XSS in Comment”)</script> và <script>alert
(document.cookie)</script> . Cho thấy nỗ lực tấn công XSS của tin tặc
Dựa trên quan sát chi tiết từ tệp nhật ký, có thể tóm tắt được những phát hiện
sau:
- Thời gian tấn công là vào 12/06/2024 và vào lúc 23:09 PM
 - Địa chỉ IP tấn công : 192.168.164.230
- Mục tiêu tấn công là vào trang web /xss/index.php và vào chức năng
tìm kiếm
- Đoạn mã độc hại được sử dụng để truy vấn:%3Cscript%3Ealert
%28document.cookie%29%3B%3C%2Fscript%3E.
- Mã trạng thái 200 : điều này cho biết kẻ tấn công đã thành công lấy
được cookie của trang web
Kết luận chương :
Chương … đã trình bày quá trình triển khai , thực nghiệm cho bài toán
điều tra các cuộc tấn công Web thông qua việc phân tích các tệp nhật ký.
Từ đó, nhận thấy rằng phân tích các tệp nhật ký đóng vai trò then chốt
trong việc phát hiện , ngăn chặn và điều tra các cuộc tấn công web. Một
chiến lược quản lý log hiệu quả, kết hợp với các công cụ phân tích hiện đại,
có thể cung cấp cái nhìn sâu sắc và kịp thời về các mối đe dọa bảo mật.
Điều này không chỉ giúp bảo vệ hệ thống và dữ liệu khỏi các cuộc tấn công
mà còn tăng cường khả năng phản ứng và phòng thủ trước các mối đe dọa
trong tương lai.