Professional Documents
Culture Documents
thực nghiệm điều tra số
thực nghiệm điều tra số
Phần thực nghiệm sẽ điều tra các cuộc tấn công web trên các web server để
xác định loại tấn công và mức độ nghiêm trọng của cuộc tấn công đó thông qua
việc phân tích các tệp nhật ký , IDS và SIEM của web server có chứa địa chỉ
IP , trình duyệt và thông tin hệ thống của kẻ tấn công. Các cuộc tấn công lên
web có thể bao gồm : cross-site scripting, SQL injection, brute-force, command
injection và nhiều kiểu tấn công khác .
Vì giới hạn về thời gian và thiếu sót về mặt kiến thức nên trong đề tài chỉ tập
trung phát hiện và phân tích về cuộc tấn công XSS , SQL Injection bằng cách
kiểm tra tệp nhật ký trên Apache
Mô hình kịch bản :
1.1) Phát hiện và phân tích cuộc tấn công XSS thông qua kiểm tra nhật ký của
Apache
Triển khai 1 website trên Apache server chạy bằng html và php, gồm 2 chức
năng là bình luận và tìm kiếm bình luận
Sau khi đăng nhập, tại trang chủ của Splunk Enterprise lựa chọn Add Data và
lựa chọn tiếp mục Upload để tải file log cần phân tích
Hình : Kết quả tìm kiếm sau khi từ khóa <script> được mã hóa
Với sự trợ giúp từ bảng .. trên và từ tệp nhật ký có thể giải mã ra đoạn
script là : <script>alert (“XSS in Comment”)</script> và <script>alert
(document.cookie)</script> . Cho thấy nỗ lực tấn công XSS của tin tặc
Dựa trên quan sát chi tiết từ tệp nhật ký, có thể tóm tắt được những phát hiện
sau:
- Thời gian tấn công là vào 12/06/2024 và vào lúc 23:09 PM
- Địa chỉ IP tấn công : 192.168.164.230
- Mục tiêu tấn công là vào trang web /xss/index.php và vào chức năng
tìm kiếm
- Đoạn mã độc hại được sử dụng để truy vấn:%3Cscript%3Ealert
%28document.cookie%29%3B%3C%2Fscript%3E.
- Mã trạng thái 200 : điều này cho biết kẻ tấn công đã thành công lấy
được cookie của trang web
Kết luận chương :
Chương … đã trình bày quá trình triển khai , thực nghiệm cho bài toán
điều tra các cuộc tấn công Web thông qua việc phân tích các tệp nhật ký.
Từ đó, nhận thấy rằng phân tích các tệp nhật ký đóng vai trò then chốt
trong việc phát hiện , ngăn chặn và điều tra các cuộc tấn công web. Một
chiến lược quản lý log hiệu quả, kết hợp với các công cụ phân tích hiện đại,
có thể cung cấp cái nhìn sâu sắc và kịp thời về các mối đe dọa bảo mật.
Điều này không chỉ giúp bảo vệ hệ thống và dữ liệu khỏi các cuộc tấn công
mà còn tăng cường khả năng phản ứng và phòng thủ trước các mối đe dọa
trong tương lai.