Phương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tử

Phương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tửPhương pháp thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của cổng thông tin điện tử

ĐÀO HƯƠNG GIANG

PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG

THÔNG TIN ĐIỆN TỬ

LUẬN VĂN THẠC SĨ KỸ THUẬT

(Theo định hướng ứng dụng)

HÀ NỘI - 2016

ĐÀO HƯƠNG GIANG

PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG

THÔNG TIN ĐIỆN TỬ

CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN

LỜI CAM ĐOAN

Tôi xin cam đoan, luận văn này là công trình nghiên cứu khoa học thực thụ của

cá nhân, được thực hiện dưới sự hướng dẫn khoa học của PGS.TSKH Hoàng Đăng Hải

Các số liệu, kết quả nghiên cứu và kết luận được trình bày trong luận văn là trung thực và chưa được công bố dưới bất kỳ hình thức nào

Tôi xin chịu trách nhiệm về công trình nghiên cứu của mình

TÁC GIẢ LUẬN VĂN

Đào Hương Giang

LỜI CÁM ƠN

Trước hết tôi xin bày tỏ sự cảm ơn đặc biệt tới PGS.TSKH Hoàng Đăng Hải

đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp

Tôi xin cảm ơn các thầy cô trong Khoa Công nghệ thông tin, Khoa Quốc tế và Đào tạo sau đại học – Học viện Công nghệ Bưu chính Viễn thông đã giúp đỡ và truyền đạt kiến thức cho tôi trong suốt thời gian học tập và nghiên cứu tại trường

Tôi xin cảm ơn các cấp lãnh đạo và toàn thể đồng nghiệp, gia đình, bạn bè đã chia sẻ, giúp đỡ và tạo điều kiện cho tôi hoàn thành luận văn này

Hà Nội, tháng 06 năm 2016

Đào Hương Giang

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CÁM ƠN ……… ii

DANH MỤC TỪ VIẾT TẮT vi

DANH MỤC CÁC BẢNG BIỂU vii

DANH MỤC CÁC HÌNH VẼ viii

MỞ ĐẦU…… 1

CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT 5

1.1 Khái quát về cấu trúc Cổng TTĐT 5

Tổng quan về Cổng TTĐT 5

Cấu trúc Cổng TTĐT 6

1.2 Tổng hợp dữ liệu về bảo mật của Cổng TTĐT, các loại điểm yếu 9

Tổng hợp dữ liệu về bảo mật của Cổng TTĐT 9

Các loại điểm yếu phổ biến hiện nay trên các Cổng TTĐT 10

1.3 Một số phương pháp thu thập thông tin về điểm yếu 13

Phương pháp Footprinting 13

Phương pháp Scanning 14

1.4 Xây dựng mô hình thu thập thông tin về điểm yếu 14

Mô hình chung dùng để thu thập thông tin về điểm yếu 14

Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp Footprinting 15

Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp Scanning ……… 16

1.5 Phương pháp phân loại thông tin về điểm yếu 16

Nhóm điểm yếu về sai sót trong nhập liệu (Injection; SQL injection, OS injection hay LDAP injection…) 16

Nhóm các điểm yếu về xác thực và quản lý phiên 17

Nhóm điểm yếu về kiểm duyệt nội dung đầu vào (Cross-Site Scripting (XSS)) ……… 18

Nhóm các điểm yếu phổ biến khác 19

Nhóm điểm yếu thuộc dạng Malware cổng thông tin 19

1.6 Kết luận chương 1 19

CHƯƠNG 2: PHƯƠNG PHÁP ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN

CỦA CỔNG TTĐT 21

2.1 Nghiên cứu, phân tích một số mô hình đánh giá điểm yếu ATTT 21

Mô hình đánh giá điểm yếu ATTT theo OWASP 21

Mô hình đánh giá điểm yếu ATTT tại các quốc gia trên thế giới 21

2.2 Nghiên cứu, phân tích một số phương pháp đánh giá điểm yếu an toàn thông tin của Cổng TTĐT 24

Phương pháp Black Box 28

Phương pháp White Box 28

2.3 Nghiên cứu, phân tích một số công cụ phần mềm cho thu thập thông tin, đánh giá điểm yếu/ lỗ hổng bảo mật của Cổng TTĐT 33

Công cụ Acunetix WVS 33

Công cụ OWASP Webscarab 34

Công cụ OWASP ZAP 34

Công cụ Burp Suite 35

Công cụ N-Stalker 35

Công cụ Sandcat 36

Công cụ Kali linux 36

2.4 Xây dựng mô hình đánh giá, các tiêu chí đánh giá, đưa ra phương pháp đánh giá phù hợp với Cổng TTĐT 38

Mô hình đánh giá 38

Các tiêu chí đánh giá 43

2.5 Kết luận chương 2 46

CHƯƠNG 3: THỬ NGHIỆM THU THẬP, PHÂN LOẠI VÀ ĐÁNH GIÁ ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA MỘT CỔNG TTĐT 48

3.1 Khái quát về các đặc trưng kỹ thuật của Cổng TTĐT đánh giá 48

Giới thiệu về Cổng TTĐT 48

Mô hình tổng quan 48

Kiến trúc hệ thống 49

Giao diện 50

3.2 Xây dựng kịch bản thử nghiệm, các bài kiểm thử 50

Kịch bản thử nghiệm 50

Các bài đo kiểm thử 51

3.3 Các bước thử nghiệm 64

3.4 Đánh giá thử nghiệm 65

Kết quả thử nghiệm 65

Phân tích, đánh giá kết quả 66

3.5 Kết luận chương 3 67

KẾT LUẬN……… 68

Kết quả đạt được 68

Hạn chế 69

Hướng phát triển tiếp theo 69

TÀI LIỆU THAM KHẢO 70

DANH MỤC TỪ VIẾT TẮT

CSRF Cross Site Request Forgery Kiểm tra giả mạo yêu cầu

DoS Denial of Service Tấn công từ chối dịch vụ

OWASP The Open Web Application

Security Project

Dự án mở về bảo mật ứng dụng Web

SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc SSL Secure Sockets Layer Bảo mật tầng Socket

TCP/IP Transmission Control

Protocol/ Internet Protocol

Bộ giao thức liên mạng

TLS Transport Layer Security Bảo mật tầng truyền tải

URL Uniform Resource Locator Định vị Tài nguyên thống nhất

(hay đường dẫn nguồn tài nguyên trên Internet

XSS Cross-Site Scripting Tấn công chèn mã độc

DANH MỤC CÁC BẢNG BIỂU

Bảng 1- 1: Top các đơn vị được gửi cảnh báo nhiều nhất 9 Bảng 2- 1: Các tiêu chí, chỉ tiêu và phương pháp đánh giá mức độ an toàn bảo mật của các cổng thông tin điện tử………25 Bảng 2- 2: Các modun trong từng bước đánh giá ATTT 39

DANH MỤC CÁC HÌNH VẼ

Hình 1- 1: Các tính năng cơ bản của Cổng TTĐT 6

Hình 1- 2: Mô hình cổng TTĐT được dùng trong khối cơ quan hành chính Nhà nước 7

Hình 1- 3: Cấu trúc Cổng TTĐT 7

Hình 1- 4: Mô hình chung khi thu thập thông tin về điểm yếu 14

Hình 1- 5: Mô hình khai thác lỗi SQL Injection 17

Hình 1- 6: Mô hình khai thác lỗi về xác thực và quản lý phiên 18

Hình 1- 7: Mô hình khai thác XSS 18

Hình 1- 8: Quá trình gửi và nhận kết quả của VirusTotal 19

Hình 2- 1: Mô hình kiểm định ATTT của Mỹ………22

Hình 2- 2: Mô hình ATTT của Pháp 22

Hình 2- 3: Mô hình đánh giá ATTT của Anh 23

Hình 2- 4: Mô hình đánh giá ATTT của Đức 23

Hình 2- 5: Mô hình đánh giá ATTT của Hàn Quốc 24

Hình 2- 6: Sơ đồ mô tả các phương pháp đánh giá an toàn bảo mật Website 27

Hình 2- 7: Sơ đồ hướng tấn công và mức độ ảnh hưởng của các tác nhân 43

Hình 3- 1: Mô hình tổng quan xây dựng Cổng TTĐT……….49

Hình 3- 2: Mô hình kiến trúc xây dựng Cổng TTĐT 49

Hình 3- 3: Giao diện Cổng TTĐT Học viện Công nghệ Bưu chính Viễn thông 50

Hình 3- 4: Cách thức hoạt động của tấn công CRLF 56

Hình 3- 5: Xác thực người dùng khi truy cập vào ứng dụng 58

Hình 3- 6: Vượt qua việc xác thực người dùng 58

Hình 3- 7: Giao diện trang add_reg 60

Hình 3- 8: Tấn công Reflected or non-persistent không liên tục 62

Hình 3- 9: Tấn công Stored or persistent vulnerability 62

Hình 3- 10: Tấn công DOM based or local XSS 63

Hình 3- 11: Nhập địa chỉ IP của Cổng TTĐT Học viện để rà quét 64

Hình 3- 12: Quá trình rà quét Cổng TTĐT 65

Hình 3- 13: Kết quả rà quét cổng TTĐT Học viện qua 3 lần quét 65

Hình 3- 14: Tỉ lệ phân bổ các lỗi rà quét 66

MỞ ĐẦU

Những năm gần đây đã xảy ra hàng loạt các cuộc tấn công Cổng TTĐT trên toàn thế giới, từ việc thay đổi thông tin, hình ảnh đến việc làm sập các trang mạng Việc tấn công một Cổng TTĐT đã trở nên khá dễ dàng với những kẻ tấn công, trong khi việc phát hiện, phòng ngừa, ngăn chặn từ phía quản trị mạng, quản trị Cổng TTĐT còn lỏng lẻo, nhất là đối với các cơ quan, tổ chức Nhà nước

Hầu hết các cơ quan, tổ chức Nhà nước đều đã xây dựng Cổng TTĐT Cổng thông tin này thực chết như một giao diện Web duy nhất của cơ quan, tổ chức phục

vụ cho việc tra cứu thông tin, gửi nhận email, điều hành tác nghiệp nội bộ… của tổ chức thông qua mạng máy tính Nói một cách khác, Cổng TTĐT là một trang web, xuất phát từ đó người sử dụng có thể dễ dàng truy xuất đến các trang web nội bộ và các dịch vụ thông tin khác của cơ quan, tổ chức trên mạng máy tính

Thực tế cho thấy việc bảo mật Cổng TTĐT ở các cơ quan chính phủ hiện nay đang còn tồn tại những yếu kém, vấn đề an toàn bảo mật chưa được quan tâm đúng mức Có thể thấy có rất nhiều lý do khiến cho tình trạng bảo mật thông tin còn yếu kém ở Việt Nam nói chung và ở các tổ chức/ cơ quan nhà nước nói riêng Dưới đây

là một số lý do chính:

Thứ nhất: Nguồn nhân lực công nghệ thông tin mỏng, đặc biệt là chưa có hoặc rất ít đơn vị có chuyên viên bảo mật phụ trách riêng

Thứ hai: Sự nhận thức hạn chế về an toàn bảo mật của người sử dụng

Thứ ba: Chỉ coi trọng việc đăng tin và truy cập được đến Cổng TTĐT, chưa coi trọng đến việc phát hiện và phòng ngừa điểm yếu của cổng

Thứ tư: Không rà quét thường xuyên các lỗ hổng bảo mật của Cổng TTĐT và

hạ tầng công nghệ thông tin của đơn vị

Thứ năm: Không cập nhật thường xuyên các bản vá lỗi cho Cổng TTĐT, cho

hệ thống thông tin của đơn vị

Việc đánh giá điểm yếu của Cổng TTĐT sẽ giúp các đơn vị có thể hiểu được mức độ an toàn của Cổng TTĐT của mình, nhận thấy tầm quan trọng của việc phải đảm bảo an toàn thông tin cho Cổng TTĐT từ đó các dữ liệu quan trọng mới có thể

được an toàn Qua đó, đơn vị sẽ có ý thức hơn trong việc đảm bảo ATTT cho Cổng, tăng cường các biện pháp an ninh và khả năng của đội ngũ quản trị viên Hiện nay, các quốc gia phát triển trên thế giới đều đã ý thức được vấn đề này, và ngày càng đầu

tư vào việc đánh giá mức độ an toàn của Cổng TTĐT Tuy vậy, thì hầu hết các doanh nghiệp, cơ quan, tổ chức tại Việt Nam chưa có các biện pháp đánh giá điểm yếu Cổng TTĐT hoặc có nhưng mà chưa đầy đủ

Để đánh giá được điểm yếu Cổng TTĐT, việc trước tiên là cần thu thập thông tin Những khó khăn đặt ra là: thu thập thông tin gì, thu thập bằng cách nào, các bước thu thập như thế nào, sử dụng công cụ nào là tốt nhất… để có thể thu thập được thông tin nhiều nhất

Sau khi thu thập được thông tin, việc tiếp theo là phân loại thông tin về điểm yếu Việc phân loại cũng cần phải được thực hện và xem xét một cách có hệ thống Đây cũng chính là khó khăn tiếp theo của người thực hiện Hiện tại, chưa có một bộ tài liệu hay hướng dẫn chuẩn nào về việc phân loại thông tin điểm yếu dành cho Cổng TTĐT Chính vì vậy, một nhu cầu thực tế đặt ra là cần có phương pháp thu thập và phân loại điểm yếu phù hợp cho Cổng TTĐT

Trên cơ sở thông tin đã thu thập và phân loại thông tin về điểm yếu, việc tiếp theo là đánh giá điểm yếu ATTT cho Cổng TTĐT dựa theo các tiêu chí đánh giá Các

tổ chức tiêu chuẩn thế giới đã đưa ra một số bộ tiêu chí chung cho đánh giá ATTT như: ISO/IEC 15408, bộ tiêu chí OSWAP cho ứng dụng Web, các bộ tiêu chí của một

số quốc gia tự xây dựng khác Tuy nhiên, qua nghiên cứu tìm hiểu, học viện chưa thấy có đề xuất một bộ tiêu chí cụ thể nào cho đánh giá điểm yếu đối với Cổng TTĐT Chính vì vậy, việc xây dựng một bộ tiêu chí để đánh giá điểm yếu Cổng TTĐT là hết sức cần thiết

Chính vì những lý do trên, và nhận thấy việc cần thiết phải đảm bảo ATTT cho

Cổng TTĐT, học viên chọn đề tài “Phương pháp thu thập, phân loại và đánh giá

điểm yếu an toàn thông tin của cổng Thông tin điện tử”

Các trọng tâm nghiên cứu đặt ra đối với luận văn là:

Thứ nhất: Nghiên cứu về cấu trúc Cổng TTĐT, vấn đề bảo mật Cổng TTĐT, các loại điểm yếu phổ biến trên các Cổng TTĐT

Thứ hai: Nghiên cứu, phân tích phương pháp thu thập, phân loại điểm yếu ATTT của Cổng TTĐT Đưa ra phương pháp phù hợp để thu thập, phân loại điểm yếu ATTT

Thứ ba: Nghiên cứu, phân tích một số mô hình, phương pháp, công cụ phần mềm cho thu thập thông tin, đánh giá điểm yếu ATTT của Cổng TTĐT Xây dựng

mô hình và các tiêu chí đánh giá điểm yếu phù hợp

Thứ tư: Xây dựng một tập điểm yếu, tiêu chí đánh giá, các kịch bản thử nghiệm, các bài đo kiểm thử và thực hiện thử nghiệm đánh giá một Cổng TTĐT

Phạm vi của bài luận văn: Nghiên cứu về các điểm yếu an toàn thông tin của

Cổng TTĐT, phương pháp thu thập, phân loại điểm yếu và đánh giá điểm yếu an toàn thông tin của Cổng TTĐT, xây dựng các bài đo, kịch bản thử nghiệm đánh giá điểm

yếu ATTT cho một Cổng TTĐT cụ thể

Luận văn sử dụng các phương pháp nghiên cứu sau đây:

- Phương pháp nghiên cứu lý thuyết: tổng hợp, thu thập, nghiên cứu tài liệu về an toàn thông tin, các điểm yếu gây mất an toàn thông tin trên Cổng TTĐT hiện nay Các phương pháp thu thập, phân loại và đánh giá điểm yếu phổ biến hiện nay trên thế giới và tại Việt Nam

- Phương pháp thực nghiệm: Trên cơ sở lý thuyết đưa ra hệ thống các bài đo để đánh giá điểm yếu của Cổng TTĐTvà áp dụng đánh giá cho một Cổng TTĐT thực tế tại Việt Nam hiện nay

Nội dung của luận văn được trình bày trong các phần chính như sau:

Chương 1 trình bày phương pháp thu thập, phân loại điểm yếu an toàn thông tin của Cổng TTĐT

Chương 2 nghiên cứu, phân tích phương pháp đánh giá điểm yếu an toàn thông tin của Cổng TTĐT, một số công cụ phần mềm cho thu thập thông tin, đánh giá điểm yếu của Cổng TTĐT, xây dựng mô hình đánh giá, các tiêu chí đánh giá

Chương 3 thực hiện thử nghiệm thu thập, phân loại và đánh giá điểm yếu an toàn thông tin của một Cổng TTĐT cụ thể Kết quả cụ thể trong chương 3 là xây dựng được các kịch bản thử nghiệm, các bài đo kiểm thử điểm yếu ATTT cho Cổng TTĐT

CHƯƠNG 1: PHƯƠNG PHÁP THU THẬP, PHÂN LOẠI ĐIỂM YẾU AN TOÀN THÔNG TIN CỦA CỔNG TTĐT

Chương 1 luận văn tập trung nghiên cứu về các phương pháp thu thập thông tin về điểm yếu của Cổng TTĐT, dựa vào đó để xây dựng mô hình thu thập và phương pháp phân loại điểm yếu

Tổng quan về Cổng TTĐT

Cổng Thông tin điện tử (Cổng TTĐT) được hiểu như một trang web mà từ đó người sử dụng có thể dễ dàng truy xuất các trang web và các thông tin dịch vụ khác trên mạng máy tính Cổng TTĐT khởi đầu thường dùng cho các trang web khổng lồ như Yahoo, Lycos,…Trong phạm vi của luận văn, khái niệm Cổng TTĐT được định

nghĩa như sau: Cổng Thông tin điện tử là điểm truy cập tập trung và duy nhất, tích

hợp các kênh thông tin, các dịch vụ và ứng dụng, phân phối tới người sử dụng thông qua một phương thức thống nhất và đơn giản trên nền tảng Web [2]

Lợi ích lớn nhất mà Cổng TTĐT đem lại chính là tính tiện lợi, dễ sử dụng thay vì phải nhớ vô số các địa chỉ khác nhau cho các mục đích sử dụng khác nhau, thì với một web như Cổng TTĐT người dùng chỉ cần nhớ địa chỉ của Cổng TTĐT

đó, ở đó nhà cung cấp dịch vụ đã tích hợp mọi thứ mà khách hàng cần Ngày nay, khái niệm Cổng TTĐT không chỉ sử dụng cho các trang web của các công ty truyền thông lớn mà nó còn được áp dụng rộng rãi tại các doanh nghiệp, tổ chức của nhà nước hoặc tư nhân, trường học hay là các cơ quan nhà nước cũng đều đã xây dựng được Cổng TTĐT riêng

Các loại Cổng TTĐT:

- Cổng thông tin công cộng (public portals)

- Cổng thông tin doanh nghiệp (Enterprise portals)

- Cổng giao dịch điện tử (Marketplace portals)

- Cổng thông tin ứng dụng chuyên biệt (Specialized portals)

Các tính năng cơ bản của Cổng TTĐT: Khả năng cá nhân hóa, tích hợp nhiều loại thông tin, xuất bản thông tin, hỗ trợ nhiều môi trường hiển thị thông tin, khả năng đăng nhập một lần, quản trị Cổng TTĐT và quản trị người dùng

Hình 1- 1: Các tính năng cơ bản của Cổng TTĐT

(Nguồn: Theo tạp chí Bưu chính viễn thông)

Cấu trúc Cổng TTĐT

Cổng TTĐT được thiết kế đặc biệt dành cho các cơ quan, tổ chức, doanh nghiệp có nhu cầu phát triển hệ thống thông tin lớn trên môi trường web nhằm thực hiện các giao tiếp trực tuyến và sử dụng Internet như một công cụ thiết yếu trong các hoạt động cung cấp thông tin, giao tiếp, quản lý và điều hành

Hiện nay, Cổng TTĐT được sử dụng rộng rãi tại khối các cơ quan hành chính Nhà nước bao gồm các Bộ ngành, tỉnh/ thành phố, các sở ban ngành và các cơ quan

tổ chức trực thuộc Chính phủ Ngoài ra, Cổng TTĐT đã mở rộng ra các doanh nghiệp gồm các tổng công ty, các doanh nghiệp quy mô lớn, các tổ chức tài chính, ngân hàng, trường học, bệnh viện và các tổ chức khác [2]

Hình 1- 2: Mô hình cổng TTĐT được dùng trong khối cơ quan hành chính Nhà

- Hệ thống quản trị và xuất bản nội dung (CMS)

- Khả năng tùy biến và cá nhân hóa (Customization/ Personalization)

- Đăng nhập một cửa (Single Sign On)

- Xuất bản thông tin (Content Sysdication)

- Tìm kiếm toàn văn nội dung thông tin (Full Text Search)

- Quản trị người dùng (Portal User Management)

- Hỗ trợ nhiều môi trường hiển thị thông tin (Multidevice Support)

- Khả năng tích hợp đa hệ thống (multi System Intergration)

- Khả năng mở rộng (Extensible)

- Khả năng bảo mật (Secutiry)

- Khả năng hỗ trợ đa ngữ (Multilingual)

Các ứng dụng, dịch vụ hành chính của Cổng TTĐT

- Thủ tục hành chính (Document Administration)

- Văn bản quy phạm pháp luật (Legal Text)

- Danh bạ các đơn vị hành chính (Directory)

- Hỏi đáp/ Tư vấn trực tuyến (QA)

- Dịch vụ hành chính công trực tuyến (Online Publication Services)

- Giao lưu trực tuyến (Online Conversation)

- Quản lý tư liệu, ấn phẩm điện tử (Document management)

Các ứng dụng, dịch vụ cộng tác của Cổng TTĐT

- Thư điện tử (Email)

- Diễn đàn thảo luận (Forum)

- Trò chuyện trực tuyến (Chat)

- Lịch làm việc (Calendar)

- Thăm dò dư luận (Survey)

- Gửi tin nhắn SMS (SMS Text Messenger)

Các ứng dụng, dịch vụ tiện ích của Cổng TTĐT

- Cấu trúc website (Site Map)

- Các câu hỏi thường gặp (FQA)

- Liên kết website (Web Links)

- Góp ý phản hồi (Feedback)

- Quản lý quảng cáo (Advertisement Management)

- Thư viện ảnh (Image Gallery)

- Thư viện đa phương tiện (Multimedia Library)

- Thống kê truy cập (Hit Counter)

- Thông tin thời tiết (Weather)

- Thông tin tỷ giá (Currency)

- Và nhiều ứng dụng, dịch vụ, tiện ích khác được phát triển theo yêu cầu, theo đặc thù của đơn vị sử dụng Cổng TTĐT

1.2 Tổng hợp dữ liệu về bảo mật của Cổng TTĐT, các loại điểm yếu

Tổng hợp dữ liệu về bảo mật của Cổng TTĐT

Trong những năm gần đây, các công ty an ninh mạng trong và ngoài nước liên tiếp đưa ra các cảnh báo về các cuộc tấn công mạng vào các Cổng TTĐT của các cơ quan nhà nước Điều này khiến cho chính phủ lo ngại về tình trạng mất an toàn thông tin trong nước ngày càng cao[2]

Thực trạng bảo mật Cổng TTĐT tại các cơ quan nhà nước năm 2015:

Theo báo cáo của VNCERT về thực trạng bảo mật 2015: có tới 90% cơ quan,

tổ chức nhà nước phớt lờ cảnh báo về mức độ mất an toàn thông tin trên hệ thống Cổng TTĐT thuộc cơ quan mình VNCERT đã gửi rất nhiều cảnh báo đến các cơ quan nhà nước nhưng chỉ một số ít đơn vị có phản hồi

Chỉ riêng trong quý I/2015: có 365.644 lượt địa chỉ IP Việt Nam tham gia mạng Botnet, tức đã nhiễm mã độc và sẵn sàng tấn công DDOS đến bất kỳ máy tính nào trên thế giới Trong các địa chỉ IP này, có 896 lượt địa chỉ IP là của các cơ quan nhà nước

Bảng 1- 1: Top các đơn vị được gửi cảnh báo nhiều nhất

báo

Các loại điểm yếu phổ biến hiện nay trên các Cổng TTĐT

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp

Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: do lỗi của bản thân hệ thống, do phần mềm cung cấp hoặc người quản lý yếu kém không hiểu sâu về các dịch vụ cung cấp… Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau

Có rất nhiều tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt, theo Bộ quốc phòng Mỹ các loại lỗ hổng được phân làm 3 loại chính như sau:

Loại 1: Những lỗ hổng thuộc loại này cho phép kẻ tấn công thực hiện các hình

thức tấn công DoS Với mức độ nguy hiểm thấp, chỉ ảnh hưởng đến chất lượng dịch

vụ, làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp

Loại 2: Những lỗ hổng loại này thường cho phép người sử dụng có thêm các

quyền trên hệ thống mà không cần kiểm tra tính hợp lệ Lỗ hổng này thường có trong các ứng dụng, dịch vụ trên hệ thống, có mức độ nguy hiểm trung bình Thông thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ

Loại 3: Những lỗ hổng thuộc dạng này cho phép người ngoài hệ thống có thể

truy cập bất hợp pháp vào hệ thống, có thể phá hủy toàn bộ hệ thống Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa đến tính toàn vẹn và bảo mật thông tin của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

Một số lỗ hổng phổ biến trên Cổng TTĐT:

- Lỗi tràn bộ đệm (B-O)

- Lỗi không kiểm tra đầu vào (U-I)

- Các vấn đề với điều khiển truy cập (A-C)

- Các vấn đề với xác thực, ủy quyền hay mật mã (A-A-C) …

Lỗi tràn bộ đệm: Lỗi tràn bộ đệm xảy ra khi một ứng dụng cố gắng ghi dữ

liệu vượt khỏi phạm vi bộ đệm (giới hạn cuối hoặc cả giới hạn đầu của bộ đệm) Lỗi này có thể khiến ứng dụng ngừng hoạt động, gây mất dữ liệu hoặc thậm chí giúp kẻ tấn công kiểm soát hệ thống và đệm chiếm một tỷ lệ lớn cho số các lỗi gây lỗ hổng

bảo mật Không phải tất cả các lỗi tràn bộ đệm có thể bị khai thác bởi kẻ tấn công

- Đặt cơ chế không cho phép thực hiện mã trong Stack;

- Sử dụng các cơ chế bảo vệ Stack

Lỗi không kiểm tra đầu vào: Các dữ liệu đầu vào cần được kiểm tra để đảm

bảo đạt các yêu cầu về định dạng và kích thước

Các dạng dữ liệu nhập điển hình cần kiểm tra:

- Các trường dữ liệu text

- Các lệnh được truyền qua URL để kích hoạt chương trình

- Các tập tin âm thanh, hình ảnh, hoặc đồ họa do người dùng hoặc các tiến trình khác cung cấp

- Các đối số đầu vào trong dòng lệnh

- Các dữ liệu từ mạng hoặc các nguồn không tin cậy

Các biện pháp phòng chống:

- Kiểm tra tất cả các dữ liệu đầu vào, đặc biệt dữ liệu nhập từ người dùng và

từ các nguồn không tin cậy;

- Kiểm tra định dạng và kích thước dữ liệu đầu vào;

- Kiểm tra sự hợp lý của nội dung dữ liệu;

- Tạo các bộ lọc để lọc bỏ các ký tự đặc biệt và các từ khóa của các ngôn ngữ trong các trường hợp cần thiết mà kẻ tấn công có thể sử dụng

Các vấn đề với điều khiển truy cập: Nếu kiểm soát truy nhập bị lỗi, một

người dùng bình thường có thể đoạt quyền của người quản trị và toàn quyền truy nhập vào hệ thống Một kẻ tấn công có thể lợi dụng điểm yếu của hệ thống kiểm soát truy

nhập để truy nhập vào các tập tin trong hệ thống

- Cấp quyền vừa đủ cho người dùng thực thi nhiệm vụ

Các vấn đề với xác thực, ủy quyền và mật mã

+ Chi phí tính toán lớn (đặc biệt đối với các hệ mã hóa khóa công khai)

Các điểm yếu bảo mật khác: Các thao tác không an toàn với các tập tin:

- Thực hiện đọc/ghi tập tin lưu ở những nơi mà các người dùng khác cũng có thể ghi tập tin đó;

- Không kiểm tra chính xác loại tập tin, định danh thiết bị, các links hoặc các thuộc tính khác của tập tin trước khi sử dụng;

- Không kiểm tra mã trả về sau mỗi thao tác với tập tin

1.3 Một số phương pháp thu thập thông tin về điểm yếu

Phương pháp Footprinting

Footprinting là bước đầu tiên trong các bước chuẩn bị cho một cuộc tấn công mạng Mục tiêu của phần Footprinting là thu thập cành nhiều thông tin về đối tượng thì càng tốt, điều này đồng nghĩa với việc thu thập được càng nhiều thông tin về điểm yếu thì càng tốt [10]

Mục đích của Footpriting thì cần phải thu thập được các thông tin sau:

- Domain name:

+ Tìm kiếm thông tin về các Domain Name của tổ chức hay đơn vị đó

+ Phân tích và tìm kiếm Domain Name và các reacord của domain đó

+ Các domain liên quan đến domain

+ Số lượng website hosting trên IP đó

- Website: Các IP hosting cho website, cấu trúc website, dowload website

- Email Address: Email Tracke, tìm kiếm các email của domain hay tổ chức

đó, một vài kiến thức về Spam

- Tìm kiếm thông tin về con người hoặc tổ chức qua các trang mạng xã hội

- Google Hack: Sử dụng google để tìm kiếm các thông tin về tổ chức hay đơn

Sử dụng các công cụ có sẵn trên mạng để Scan

Scan lỗ hổng và điểm yếu bảo mật

- Điểm yếu trên: network device, OS, Application, Services, Database, Malware

- Điểm yếu bảo mật trên Web Server, Web Application

1.4 Xây dựng mô hình thu thập thông tin về điểm yếu

Mô hình chung dùng để thu thập thông tin về điểm yếu

Hình 1- 4: Mô hình chung khi thu thập thông tin về điểm yếu

Việc thu thập thông tin về điểu yếu của trang web, tổ chức,… hiện nay được thực hiện khá đơn giản như sau: Người thực hiện chỉ cần một máy tính cá nhân hoặc

PC có kết nối Internet Máy tính sẽ được cài đặt các phần mềm, công cụ chuyên rà quét website Dựa vào kết quả report trả về của các công cụ, phần mềm đó người thực hiện sẽ tiến hành phân loại thông tin về điểm yếu

Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp Footprinting

Tìm kiếm phân tích về thông tin Domain Name của tổ chức:

- Sử dụng các công cụ đơn giản

+ Sử dụng lệnh Ping để biết IP của Domain name Ngoài ra Ping còn có nhiều options để người dùng lựa chọn

+ Sử dụng Pathping, Traceroute để biết đường đi từ máy tính người dùng tới máy đích và thời gian gói tin đi quan mỗi IP đó Từ đó, có thể phân tích được một số thông tin về IP, ISP, Location của Domain Name đó

+ Sử dụng nslookup để biết số IP và các reacord được Public của Domain Name đó

+ Sử dụng các công cụ online: Sử dụng 2 website https://smartwhois.com và

- Tìm kiếm phân tích các thông tin về giải IP của tổ chức

+ Sau khi sử dụng các công cụ như ping, tracer chúng ta có thể có được IP của website cần khai thác Từ thông tin IP đó, cần tìm kiếm các thông tin khác như: ISP, Location và các thông tin khác liên quan tới IP đó

+ Sử dụng các webdite chứa nhiều thông tin liên quan đến IP như

+ Tìm kiếm và phân tích xem IP đó đang Host tới những website nào

- Tìm kiếm thông tin cơ bản về website: sử dụng công cụ Burpsuite để tạo một Intercept Proxy và tiến hành truy cập vào trang web từ trình duyệt web đã thiết lập proxy

- Tìm kiếm thông tin của cơ quan, đơn vị và con người dựa trên mạng xã hội: hiện nay, có rất nhiều người sở hữu cho mình một hoặc nhiều trang mạng xã hội mà tại đó họ có thể public một số thông tin của các tổ chức / cá nhân

- Google hacking: Google hacking là sử dụng google để tìm kiếm nhiều thông tin quan trọng của tổ chức/ đơn vị và tìm kiếm sẽ tính theo độ ưu tiên như sau: Domain Name, URL, Title, Nội dung

Mô hình thu thập thông tin về điểm yếu dựa vào phương pháp Scanning

Đối với phương pháp Scanning thì có những cách thu thập sau:

Thứ nhất là Scan Hosts Active: phát hiện ra toàn bộ các máy tính trong hệ

thống mạng đang online

Thứ hai là Scan Open Port: kiểm tra các port đang mở trên máy tính cần dò

quét Từ thông tin này sẽ rất hữu hiệu để phát hiện và lấy được nhiều thông tin

Thứ ba là Scan Applications/ Services: kiểm tra các Applications và Services

được cài đặt và đang sử dụng trên máy đối tượng

Thứ tư là Scan OS: biết được phiên bản của hệ điều hành đang hoạt động Thứ năm là Scan Vulnerability: phát hiện lỗ hổng bảo mật trên máy tính đối

tượng

1.5 Phương pháp phân loại thông tin về điểm yếu

Nhóm điểm yếu về sai sót trong nhập liệu (Injection; SQL injection,

OS injection hay LDAP injection…)

Module này sẽ bao gồm 3 hàm chính: findPatternInResponse, attackGET, attackPOST Trong đó:

- findPatternInResponse: có chức năng tập hợp các kết quả lỗi để so sánh lỗi trả về

- attackGET: có chức năng thực hiện tấn công thông qua các đường dẫn URL

- attackPOST: có chức năng thực hiện tấn công thông qua các form input hoặc comment

Sau khi công cụ thực thi và trả về kết quả lỗi, module này sẽ so sánh các chuỗi

ký tự trả về với dữ liệu có sẵn, để xác định cụ thể lỗi thuộc loại gì (Mysql injection, mssql-based injection ) để đưa ra cách tấn công POST hay GET hoặc cả hai [11]

Hình 1- 5: Mô hình khai thác lỗi SQL Injection

Nhóm các điểm yếu về xác thực và quản lý phiên

Module này sẽ bao gồm các hàm chính: returnErrorByCode, attackGET:

- returnErrorByCode: có chức năng là định nghĩa các code trả về từ trình duyệt

để xác định lỗi (401: Authorization Required, 403: Forbidden…)

- attackGET: có chức năng thực hiện tấn công thông qua các đường dẫn URL Sau khi công cụ thực thi và trả về kết quả, module này sẽ so sánh các mã code trả về từ trình duyệt với các code đã định nghĩa để xác định cách tấn công thông qua phương thức GET

Hình 1- 6: Mô hình khai thác lỗi về xác thực và quản lý phiên

Nhóm điểm yếu về kiểm duyệt nội dung đầu vào (Cross-Site Scripting

- attackGET: có chức năng thực hiện tấn công thông qua các đường dẫn URL

- attackPOST: có chức năng thực hiện tấn công thông qua các form input hoặc

comment

Sau khi công cụ thực thi và trả về kết quả, module sẽ xác định, nếu không có

type header trả về, trang web sẽ chỉ hiển thị HTML, nếu giá trị của

content-type là “text/html” thì trang web cho phép chạy cả javasctipt, từ các kết quả đó,

module sẽ đưa ra cách tấn công POST hay GET [9] [11]

Hình 1- 7: Mô hình khai thác XSS

Nhóm các điểm yếu phổ biến khác

Một số module đánh lỗ hổng khác như: CRLF Injection, tập tin Backup, Tập tin Handling, Commands execution

Module này sẽ bao gồm hàm chính là attackGET Ở module này, chương trình

sẽ thực hiện tấn công luôn thông qua đường dẫn URL, bằng cách thêm các giá trị đằng sau URL Sau đó trình duyệt sẽ hiển thị hacker content, và khi đó có thể thay hacker content bằng các đoạn mã độc khác để thực hiện tấn công

Nhóm điểm yếu thuộc dạng Malware cổng thông tin

VirusTotal với đặc thù là một ứng dụng trên nền tảng web, vì thế, dịch vụ này

dễ dàng tích hợp và liên tục cập nhật các engine chống virus cho người sử dụng cuối

Và hiện tại, VirusTotal đã tập hợp được hơn 60 engine chống các phần mềm cũng như mã độc hại Lợi dụng điều đó VirusTotal đã được vào hệ thống webscan mở rộng khả năng quét của chương trình

Hình 1- 8: Quá trình gửi và nhận kết quả của VirusTotal

1.6 Kết luận chương 1

Trong chương này, luận văn đã cung cấp các kiến thức về tổng quan Cổng TTĐT (Định nghĩa, cấu trúc, tình hình thực tế hiện nay về Cổng TTĐT) Tổng hợp, thống kê các dữ liệu về công tác bảo mật của Cổng TTĐT Đưa ra hai phương pháp chính trong việc thu thập thông tin về điểm yếu, dựa vào hai phương pháp đó xây dựng hai mô hình thu thập thông tin về điểm yếu phù hợp và từ đó đưa ra phương

pháp phân loại thông tin về điểm yếu Trong chương tiếp theo, luận văn sẽ đưa ra các phương pháp đánh giá, phân tích điểm yếu phù hợp với Cổng TTĐT hiện nay

CHƯƠNG 2: PHƯƠNG PHÁP ĐÁNH GIÁ ĐIỂM YẾU AN

TOÀN THÔNG TIN CỦA CỔNG TTĐT

Dựa vào việc thu thập, phân loại thông tin về điểm yếu của Cổng TTĐT Ở chương

2, luận văn tập trung vào việc nghiên cứu một số mô hình đánh giá điểm yếu, phân tích một số phương pháp đánh giá điểm yếu an toàn thông tin từ đó xây dựng mô hình, phương pháp đánh giá điểm yếu phù hợp với Cổng TTĐT

2.1 Nghiên cứu, phân tích một số mô hình đánh giá điểm yếu ATTT

Mô hình đánh giá điểm yếu ATTT theo OWASP

OWASP (The Open Web Application Security Project): dự án mở về bảo mật ứng dụng Web OWASP là một tổ chức quốc tế và là một cộng đồng mở dành riêng cho các tổ chức dùng để tra cứu tài liệu, hiểu biết, phát triển, bổ xung, vận hành và duy trì các ứng dụng cần đến sự tin cậy [11] [14]

OWASP bao gồm:

- Công cụ và các tiêu chuẩn về an toàn thông tin

- Kiểm tra bảo mật ứng dụng, lập trình an toàn và các bài viết về kiểm định mã nguồn

- Thư viện và các tiêu chuẩn điều khiển an ninh

- Những nghiên cứu mới nhất về an toàn bảo mật

- Chương trình miễn phí và chương trình mở cho bất cứ ai quan tâm trong việc nâng cao bảo mật ứng dụng

Việc đánh giá ATTT theo chuẩn OWASP được xây dựng dựa trên OWASP TOP

10 Mục tiêu chính của OWASP Top 10 là để người lập trình, người thiết kế, kỹ sư và quản lí và cả tổ chức biết về hậu quả của những điểm yếu quan trọng nhất trong ứng dụng website OWASP Top 10 cung cấp những kỹ năng cơ bản để bảo vệ website khỏi những mối nguy hại [14]

Mô hình đánh giá điểm yếu ATTT tại các quốc gia trên thế giới

Mô hình đánh giá an toàn thông tin của Mỹ [16]

và phê duyệt theo tiêu chuẩn chung CCEVS (Common Criteria Evaluation and Validation Scheme)

Mục tiêu chính của CCEVS là thiết lập một chương trình quốc gia về kiểm định dựa vào tiêu chuẩn chung CC

Hình 2- 1: Mô hình kiểm định ATTT của Mỹ

(Nguồn: antoanthongtin.vn)

Mô hình đánh giá an toàn thông tin của Pháp [16]

Mô hình đánh giá ATTT của Pháp được điều hành bởi Cơ quan có thẩm quyền

cấp chứng nhận (DCSSI)

Hình 2- 2: Mô hình ATTT của Pháp

(Nguồn: antoanthongtin.vn)

Mô hình đánh giá an toàn thông tin của Anh [16]

Quá trình kiểm định ATTT tại Anh được điều hành bởi Tập đoàn An toàn điện

tử viễn thông CESG và Bộ Thương mại và Công nghiệp (DTI)

Hình 2- 3: Mô hình đánh giá ATTT của Anh

(Nguồn: antoanthongtin.vn)

Cơ quan có thẩm quyền cấp chứng nhận – CESG: có thẩm quyền cấp chứng nhận

về mức kiểm định của sản phẩm ATTT thông qua xem xét Báo cáo kỹ thuật kiểm định

(ETR) do tổ chức kiểm định đưa ra

Mô hình đánh giá an toàn thông tin của Đức[16]

Mô hình đánh giá ATTT của Đức có tên gọi là BSI 7149 được điều hành bởi Cơ

quan ATTT liên bang BSI

Hình 2- 4: Mô hình đánh giá ATTT của Đức

(Nguồn: antoanthongtin.vn)

Mô hình đánh giá an toàn thông tin của Hàn Quốc[16]

Mô hình đánh giá ATTT của Hàn Quốc được điều hành bởi Cục tình báo Quốc

gia (NIS)

Hình 2- 5: Mô hình đánh giá ATTT của Hàn Quốc

(Nguồn: antoanthongtin.vn)

Tổ chức xây dựng luật/ chính sách: Bộ TT&TT (MIC) có nhiệm vụ: làm luật/ chính sách có liên quan đến hệ thống bảo vệ thông tin Thông báo các chỉ dẫn và các chuẩn liên quan kiểm định Thiết lập các chính sách liên quan kiểm định, các chuẩn

kiểm định về nhà phát triển hệ thống bảo vệ thông tin

Cơ quan cấp chứng nhận – NIS có nhiệm vụ cấp giấy chứng nhận và phát hành

chứng chỉ, giám sát kiểm định, giải quyết tranh chấp

Cơ quan kiểm định: Cơ quan ATTT và Internet Hàn Quốc (KISA) có nhiệm vụ: đưa ra chuẩn kiểm định, hướng dẫn kiểm định, phát triển và công bố các chỉ dẫn kiểm

định Thiết lập các quy định và thực hiện quá trình kiểm định

Xác định các chỉ tiêu đánh giá an toàn bảo mật cho các Cổng TTĐT chính là các mục tiêu cần đạt được của việc đánh giá an toàn bảo mật thông tin Trong phạm vi bài luận văn này sẽ xây dựng công cụ đánh giá dựa trên các tiêu chí trong Top 10 OWASP

và sử dụng phương pháp Blackbox để thực hiện việc kiểm thử Dưới đây là bảng các tiêu chí, chỉ tiêu và phương pháp đánh giá được đưa ra cho việc xây dựng công cụ

mật của các cổng thông tin điện tử [7] [10]

3 CRLF - Cross Site ScrIPting vulnerabilities

- Proxy and web server cache poisoning

- Web site defacement

- Hijacking the client’s session

- Client web browser poisoning

Black-box

Black-box

Phương pháp đánh giá an toàn bảo mật website nói chung chính là các hình thức kiểm tra, đánh giá đưa ra những nhận xét về tình trạng hoạt động của hệ thống Website Các lỗ hổng cần được khắc phục và hình thức khắc phục như thế nào để hệ thống đó hoạt động tốt hơn và tránh được những rủi ro, mối nguy hiểm cho hệ thống

Theo tài liệu về kiểm thử thâm nhập (penetration testing) sẽ có 3 phương pháp đánh giá an toàn bảo mật như sau: Phương pháp Black-box, phương pháp White-box, phương pháp Grey-box

Phương pháp đánh giá an toàn bảo mật

Thu thập thông tin

Rà quét

Tấn công thử nghiệm

Sửa lỗi và cập nhật

Thu thập thông tin

Kiểm tra cấu hình

Kiểm tra tính xác thực

Kiểm tra phân quyền

Kiểm tra quản lý phiên

Black Box + White

Box

Sửa lỗi

và cập nhật các bản vá

Kiểm tra các lỗ hổng Database Report

Report

Hình 2- 6: Sơ đồ mô tả các phương pháp đánh giá an toàn bảo mật Website

[7][10]

Phương pháp blackbox hay còn gọi là phương pháp kiểm thử hộp đen, phương pháp này người kiểm thử đóng vai trò như là một hacker thực thụ, đi tìm hiểu và tấn công (có giới hạn) vào hệ thống mạng hay Website đã định [7]

Các bước ở phương pháp này bao gồm:

Thứ nhất: Footprinting: Ở bước này hacker tìm hiểu các thông tin về Website và

hệ thống để thu thập được càng nhiều thông tin càng tốt, hacker có thể sử dụng các công

cụ sẵn có hoặc open soure để thu thập thông tin

Thứ hai: Scanning: Sau khi đã thu thập đầy đủ các thông tin cần thiết, hacker sẽ

bắt đầu rà quét các port giao tiếp của Website và người dùng, nắm biết được các port đang mở, các giao dịch đang được thực hiện, các giao thức đang được sử dụng để duy trì và truyền tải lưu lượng của Website và các lỗi của Website

Thứ ba Exploit: Là bước quan trọng để chứng minh được rằng lỗ hổng trên

Website thu được từ các công cụ rà quét có thực sự gây ra những ảnh hưởng cho hệ thống hay mất mát dữ liệu hay ko

Thứ tư Update patches: Ở bước này thông thường thì Người quản trị mới có

quyền thực hiện, người kiểm thử có thể gửi các văn bản thông báo hướng dẫn hỗ trợ cho Người quản trị thực hiện

Thứ năm Report: Bước này bao gồm các báo cáo phân tích các tình huống, lỗ

hổng được đặt ra và đã tìm được nếu được các mỗi nguy hiểm mà Website đang gặp phải, đưa ra các hình thức, biện pháp khắc phục, chi phí khắc phục cho phía khác hàng được biết

Phương pháp White Box

Là một phương pháp đánh giá được nhận định là đầy đủ và có tính tin cậy cao,

ở phương pháp này người kiểm thử được xem như là một nhân viên thực thụ của công

ty, nắm rõ một số vấn đề về mặt hệ thống, bố trí các máy chủ, nắm rõ được các port giao tiếp, các dịch vụ đang chạy trên Website [7]

Phương pháp này bao gồm các giai đoạn sau:

vào việc thu thập thông tin càng nhiều, càng tốt về một ứng dụng mục tiêu Thu thập thông tin là một bước cần thiết và quan trọng để đánh giá mức độ an toàn của Website

Bao gồm: Kiểm tra các tập tin Spiders, Robots và Crawlers, sử dụng toán tử tìm

kiếm trên google, xác định các điểm nhập dữ liệu đầu vào, kiểm tra vân tay ứng dụng

web, kiểm tra khám phá ứng dụng, phân tích mã lỗi

Kiểm tra cấu hình Web

Kiểm tra SSL/TLS (Phiên bản SSL, thuật toán, độ dài khóa): Để bảo vệ những thông tin mật trên mạng Internet hay bất kì mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn: xác thực, mã hóa, toàn vẹn dữ liệu

Kiểm tra CSDL Listener: CSDL Listener là một mạng Deamon đặc biệt của cơ

sở dữ liệu Oracle Nó chờ các yêu cầu kết nối từ các máy Máy khách ở xa Deamon đôi khi có thể bị tổn hại và do đó có thể ảnh hưởng đến sự sẵn sàng của cơ sở dữ liệu hoặc tính hợp lệ của dữ liệu được lưu trong đó

Kiểm tra quản lí cấu hình cơ sở hạ tầng: Quản lí cấu hình phù hợp với hệ thống máy chủ web rất quan trọng trong việc bảo đảm an ninh của ứng dụng web trên chính

nó Nếu các yếu tố như phần mềm máy chủ web, các máy chủ cơ sở dữ liệu back-end, hoặc các máy chủ xác thực không xem xét đúng cách và được bảo đảm thì chúng có thể

bị các rủi ro không mong muốn hoặc các lỗ hổng bảo mật mới có thể tồn tại trên ứng dụng

Kiểm tra quản lí cấu hình ứng dụng: Cấu hình thích hợp của các thành phần đơn

lẻ trong hệ thống ứng dụng là vô cùng quan trọng trong việc ngăn chặn những lỗi có thể làm giảm tính bảo mật của toàn bộ hệ thống

Kiểm tra xử lí phần mở rộng của tập tin: Tập tin mở rộng thường được sử dụng trong các máy chủ Web để dễ dàng xác định các công nghệ, ngôn ngữ, plugin được sử dụng để thực hiện các yêu cầu của Web

Kiểm tra các tập tin cũ, tập tin backup, tập tin không sử dụng: Trong khi hầu hết các tệp tin trong một máy chủ web trực tiếp xử lý bởi các máy chủ riêng của mình, việc

đó không khó để tìm ra các tập tin không tham chiếu hoặc quên các tập tin có thể có thông tin quan trọng về hệ thống

có trong ứng dụng hoặc trên các máy chủ ứng dụng cho phép người dùng thực hiện các hoạt động đặc quyền của trang web Ứng dụng có thể yêu cầu giao diện quản trị viên phải giúp cho người dùng có đặc quyền có thể làm thay đổi các site hoạt động

Kiểm tra phương thức HTTP và XST: Trong phần này, ta kiểm tra khả năng máy chủ web đặt cấu hình để ngăn chặn lệnh HTTP gây nguy hiểm và XST

Kiểm tra bằng việc xác thực:

Kiểm tra việc truyền thông tin qua kênh mã hóa: Kiểm tra việc truyền thông tin nhằm xác nhận dữ liệu chính xác của người sử dụng được chuyển qua bằng phương tiện

mã hóa để tránh bị ngăn chặn bởi hacker truy cập bất hợp pháp

Kiểm tra Danh sách người dùng: Mục đích của việc kiểm tra này là để xác nhận

có thể lấy được tên người sử dụng hợp lệ bằng cách kết hợp với cơ chế xác nhận của ứng dụng

Kiểm tra các tài khoản mặc định hoặc đoán các tài khoản: Các ứng dụng web ngày nay thường chạy trên mã nguồn mở hay phần mềm thương mại được cài đặt trên các máy chủ và đòi hỏi cấu hình bởi người quản trị máy chủ

Kiểm tra Brute Force: Brute Force là việc liệt kê hệ thống tất cả các ứng cử viên

để giải quyết và kiểm tra xem mỗi Website có đáp ứng đủ các yêu cầu hay không Trong kiểm tra ứng dụng web, vấn đề chúng ta sẽ phải đối mặt nhất là sự cần thiết có một tài khoản người dùng hợp lệ để truy cập vào phần bên trong các ứng dụng Vì vậy kiểm tra Brute Force là kiểm tra các loại khác nhau của lược đồ xác thực và hiệu quả của các cuộc tấn công Brute-Force

Kiểm tra việc bỏ qua xác thực:Trong khi hầu hết các ứng dụng yêu cầu xác thực

để đạt được quyền truy cập vào thông tin cá nhân hoặc để thực hiện nhiệm vụ, thì không phải tất cả các phương pháp xác thực có khả năng bảo mật tương xứng

Kiểm tra lỗ hổng trong việc ghi nhớ và đặt lại mật khẩu: Hầu hết các trang web đều cho phép người dùng khởi tạo lại mật khẩu khi họ lỡ quên mật khẩu mình tạo ra

Để có thể khôi phục được mật khẩu mình, người dùng cần trả lời một số câu hỏi bí mật

mà lúc đăng kí tài khoản đã được hỏi

Kiểm tra việc đăng xuất, quản lí bộ nhớ đệm của trình duyệt: Sau khi đăng nhập

để sử dụng các chức năng cho cá nhân trên trang web xong, người dùng thoát ra để