Việt Nam
Ngăn chặn tấn công SQL Injection và XSS với Web Application Firewall

Ngăn chặn tấn công SQL Injection và XSS với Web Application Firewall

07/08/2024

Với sự gia tăng của các cuộc tấn công mạng, việc bảo vệ ứng dụng web của bạn không chỉ là một lựa chọn mà là một nhu cầu thiết yếu. Web Application Firewall hoặc còn được gọi là Tường lửa ứng dụng Web (WAF) chính là giải pháp tối ưu để bảo vệ ứng dụng web khỏi các mối đe dọa từ mạng. Hãy cùng Công Nghệ VNSO tìm hiểu WAF là gì và cách nó bảo vệ trang web của bạn qua bài viết này.

Web Application Firewall (WAF) là gì?

WAF được thiết kế để bảo vệ các ứng dụng web bằng cách giám sát và lọc lưu lượng truy cập HTTP/HTTPS giữa ứng dụng web và internet. Tường lửa ứng dụng Web (WAF) hoạt động như một lá chắn bảo vệ ứng dụng web khỏi các cuộc tấn công mạng phổ biến và lỗ hổng bảo mật. WAF bảo vệ các ứng dụng web khỏi nhiều loại tấn công ở tầng ứng dụng (layer 7) như cross-site scripting (XSS), SQL injection và các hình thức tấn công khác.

Các loại Web Application Firewall

  • WAF Dựa Trên Mạng (Network-based WAFs): Thường được triển khai dưới dạng các thiết bị phần cứng. Loại này giảm thiểu độ trễ nhưng sẽ có chi phí tốn kém nhất.
  • WAF Dựa Trên Máy Chủ (Host-based WAFs): Được cài đặt trực tiếp trên các máy chủ web dưới dạng giải pháp phần mềm. Có chi phí thấp hơn Network-based WAFs và cung cấp nhiều lựa chọn tùy chỉnh cấu hình.
  • WAF Dựa Trên Đám Mây (Cloud-based WAFs): Được cung cấp dưới dạng dịch vụ của bên thứ ba, dễ triển khai và mở rộng.

Các Lỗ hổng Ứng Dụng Phổ Biến:

Tấn công ứng dụng là nguyên nhân hàng đầu của rò rỉ/vi phạm dữ liệu nhạy cảm. Ngoài việc WAF ngăn chặn tấn công SQL Injection và XSS, WAF có thể bảo vệ ứng dụng của bạn khỏi nhiều lỗ hổng ứng dụng khác.

  • Tấn công Injection
  • Lỗi xác thực
  • Lộ dữ liệu nhạy cảm
  • XML External Entities (XXE)
  • Lỗi kiểm soát truy cập
  • Lỗi cấu hình bảo mật
  • Cross Site Scripting (XSS)
  • Insecure Deserialization

 

Cách Web Application Firewall Ngăn Chặn tấn công SQL Injection và XSS

Một WAF hoạt động dựa theo 2 mô hình bảo mật: Positive và Negative.

Mô hình Positive chỉ cho phép các lưu lượng truy cập web hợp lệ được định nghĩa sẵn đi qua và chặn tất cả các lưu lượng truy cập còn lại.

Mô hình Negative sẽ cho phép tất cả các lưu lượng truy cập web vượt qua và chỉ chặn các lưu lượng được mà WAF cho là nguy hại.

Đôi khi cũng có các WAF cung cấp cả 2 mô hình trên, tuy nhiên thông thường WAF chỉ cung cấp 1 trong 2 mô hình. Với mô hình Postitive thì đòi hỏi nhiều cấu hình và tùy chỉnh, còn mô hình Negative chủ yếu dựa vào khả năng học hỏi và phân tích hành vi của lưu lượng mạng.

  1. SQL Injection

Một cuộc tấn công SQL injection là một hình thức tấn công bảo mật trong đó kẻ tấn công cung cấp mã Structured Query Language (SQL) dưới dạng yêu cầu hành động thông qua một biểu mẫu Web, trực tiếp đến một ứng dụng Web để truy cập vào cơ sở dữ liệu và/hoặc dữ liệu ứng dụng back-end.

Điều này có thể gây ra những hành vi không mong muốn đến ứng dụng bị nhắm đến. Thông thường, loại tấn công này thành công do ứng dụng Web thiếu kiểm tra đầu vào của người dùng, cho phép người dùng cung cấp mã ứng dụng SQL trong các biểu mẫu HTML thay vì các chuỗi văn bản bình thường, chẳng hạn.

Cách WAF ngăn chặn SQL Injection:

WAF có thể áp dụng các biện pháp lọc và làm sạch các đầu vào từ người dùng để đảm bảo rằng không có mã SQL độc hại được thực thi. Tường lửa ứng dụng kiểm tra các yêu cầu HTTP đến để phát hiện các chuỗi ký tự đáng ngờ hoặc các mẫu câu lệnh SQL độc hại.

WAF sử dụng các quy tắc bảo mật đã được định nghĩa sẵn để xác định và chặn các yêu cầu chứa mã SQL không hợp lệ. Quản trị viên có thể tạo và tùy chỉnh các quy tắc riêng để phát hiện các loại tấn công SQL Injection cụ thể đối với ứng dụng của họ.

  1. Cross-Site Scripting (XSS)

Tấn công Cross-site Scripting (XSS hoặc CSS) là một cuộc tấn công vào ứng dụng Web nhằm truy cập vào thông tin cá nhân bằng cách chuyển mã độc đến người dùng cuối thông qua các trang Web tin cậy. Thông thường, loại tấn công này thành công do ứng dụng Web không kiểm tra đầu vào của người dùng, cho phép người dùng cung cấp mã ứng dụng trong các biểu mẫu HTML thay vì các chuỗi văn bản thông thường.

Cách WAF ngăn chặn XSS:

Cho phép quản trị viên tùy chỉnh các quy tắc để phù hợp với cấu trúc và nhu cầu bảo mật của ứng dụng cụ thể.

  • Kiểm Tra Nội Dung HTML: WAF phân tích nội dung HTML của các yêu cầu và phản hồi để phát hiện các đoạn mã JavaScript hoặc mã HTML không mong muốn.
  • Chặn Mã Độc Hại: WAF sử dụng các quy tắc để xác định và chặn các đoạn mã có thể gây ra tấn công XSS.
  • Mã Hóa Ký Tự Đặc Biệt: WAF có thể tự động mã hóa các ký tự đặc biệt trong đầu vào của người dùng để ngăn chặn mã JavaScript không hợp lệ được chèn vào trang web.

Kết Luận

Việc triển khai WAF là một bước quan trọng để bảo vệ ứng dụng web của bạn khỏi các mối đe dọa. Với khả năng giám sát, lọc lưu lượng truy cập, và bảo vệ chống lại các cuộc tấn công phổ biến, WAF đảm bảo rằng doanh nghiệp của bạn luôn được an toàn trước những nguy cơ từ thế giới mạng.

Thông Tin Liên Hệ

Để tìm hiểu thông tin về máy chủ và các dịch vụ Private Cloud, máy chủ ảo, CDN, máy chủ vật lý… Quý khách vui lòng liên hệ chúng tôi theo thông tin dưới đây:

CÔNG TY TNHH CÔNG NGHỆ VNSO – SINCE 2015

  • Website: https://vnso.vn/
  • Hotline: 0929 000 444 | Email: info@vnso.vn
  • Trụ sở: Lô O số 10, Đường số 15, KDC Miếu Nổi, Phường 3, Quận Bình Thạnh, TP. Hồ Chí Minh
  • VPGD Đà Nẵng: 462 Điện Biên Phủ, Q.Thanh Khê, Đà Nẵng
  • VPGD Hà Nội: Số 7, Yên Thế, P. Văn Miếu, Q. Đống Đa, Hà Nội