37 Tên người dùng 38 39
4041 Email 42 43
4445 Email xác nhận gửi tới hộp thư bạn
46 47 4849 50
51 52 53 5758 ← Quay lại DutiCRM
59 60 61 try{document.getElementById('user_login').focus();}catch(e){} 62 if(typeof wpOnload=='function')wpOnload(); 63 64 65 66 ◉ Recommended: Phase: Architecture and Design Use a vetted library or framework that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid For example, use anti-CSRF packages such as the OWASP CSRFGuard Tương tự, thực hành trang: https://hack-yourself-first.com/ Thực bước Ví dụ 1, ta có kết sau: Luan van 57 Bảng 3.2 Tổng hợp lỗ hổng bảo mật web: https://hack-yourself-first.com/ No Type Number issues Severity Cross Site Scripting (Reflected) High Path Traversal High SQL Injection - Microsoft SQL Server High X-Frame-Options Header Not Set 49 Medium Absence of Anti-CSRF Tokens 75 Low Cookie No HttpOnly Flag Low Cookie Without SameSite Attribute Low Cookie Without Secure Flag Low Incomplete or No Cache-control and 52 Low Low 105 Low 12 Web Browser XSS Protection Not Enabled 52 Low 13 X-AspNet-Version 105 Low 102 Low Informational 52 Informational Pragma HTTP Header Set 10 Secure Pages Include Mixed Content 11 Server Leaks Information via "X-PoweredBy" HTTP Response Header Field(s) Response Header Scanner 14 X-Content-Type-Options Header Missing 15 Information Disclosure - Suspicious Comments 16 Timestamp Disclosure - Unix Luan van 58 3.3 Đánh giá ZAP cung cấp cho chuyên gia an ninh kỹ sư kiểm thử phần mềm - loạt tính tuyệt vời gói đơn giản, liền mạch mạnh mẽ: Giao diện thân thiện dễ sử dụng Phần mềm mã nguồn mở nên cập nhật thường xuyên đội ngũ cộng tác viên giới Phù hợp với người kiểm thử nghiệp dư đến chuyên nghiệp Không cần có kiến thức sâu mà lập trình, hiểu biết chi tiết hệ thống Không yêu cầu truy cập vào mã nguồn nên thực nhanh chóng, thường xuyên Có thể thực quét tự động thủ công, tùy theo nhu cầu Trong báo cáo có phân loại lỗ hổng dựa mức độ nghiêm trọng Sử dụng với ngơn ngữ lập trình với framework sẵn có hay tùy chỉnh Ngồi số điểm mạnh nêu trên, ZAP có số hạn chế như: Phần mềm mã nguồn mở, chưa phải thương mại nên chưa thực hiệu Nhiều loại lỗ hổng bảo mật khó tìm thấy vấn đề xác thực, vấn đề kiểm soát truy cập, sử dụng mật mã khơng an tồn, Dữ liệu bị ghi đè tải trọng độc hại đưa vào trang web thực kiểm thử Chỉ phù hợp với doanh nghiệp quy mô vừa nhỏ Luan van 59 KẾT LUẬN Những đóng góp luận văn Tấn cơng mạng thường xuyên thời điểm Việc tiến hành kiểm thử bảo mật web sở quét lỗ hổng thường xuyên kiểm tra thâm nhập để phát lỗ hổng điều quan trọng cấp thiết quan, doanh nghiệp cá nhân website Tần suất tiến hành kiểm tra xâm nhập phải phụ thuộc vào sách bảo mật tổ chức Tuy nhiên, tiến hành kiểm tra xâm nhập thường xuyên xác định điểm yếu hệ thống giúp tránh vi phạm an ninh Một cách sử dụng công cụ kiểm thử Các công cụ kiểm thử cung cấp giao diện trực quan đơn giản để xác định lỗ hổng bảo mật cụ thể Luận văn thực nghiên cứu bảo mật website, kiểm thử bảo mật website đặc biệt sâu nghiên cứu phương pháp kiểm thử cho website sử dụng công cụ kiểm thử bảo mật Zed Attack Proxy (ZAP) để kiểm thử trang web: https://duticrm.info https://hack-yourself-first.com/ Cụ thể kết đạt sau: - Luận văn trình bày vấn đề bảo mật website, kiểm thử bảo mật website Đồng thời trình bày phương pháp kiểm thử website cơng cụ có tương ứng Thực so sánh phân tích ưu nhược điểm khả áp dụng thực tế của phương pháp công cụ để lựa chọn công cụ áp dụng vào công việc kiểm thử bảo mật website thực tế - Tiếp theo luận văn trình bày việc sử dụng cơng cụ Zed Attack Proxy (ZAP) cho việc kiểm thử bảo mật website https://duticrm.info https://hackyourself-first.com/ Toàn kết đạt phần áp dụng thực nghiệm trình cố gắng thân việc vận dụng lý thuyết, tìm tịi, nghiên cứu, học hỏi từ đồng nghiệp, bạn bè vài dự án thực tế Luan van 60 - Kết nghiên cứu có ích cho việc kiểm thử bảo mật website https://duticrm.info https://hack-yourself-first.com/ Từ giúp tìm lỗi, lỗ hổng bảo mật website để kịp thời đưa phương án khắc phục sớm đảm bảo website an tồn khơng bị cơng tin tặc - Do thời gian kiến thức hạn chế nên chưa thực kết hợp nhiều công cụ với với nhiều phương pháp khác nhiều website để đưa kết xác Hướng phát triển Luận văn sử dụng nghiên cứu phương pháp, công cụ kiểm thử ứng dụng cho kiểm thử bảo mật website Vì hướng nghiên cứu xây dựng hệ thống/cơng cụ áp dụng phương pháp kiểm thử khác để đưa vào triển khai đơn vị mà tốn thêm chi phí mua quyền cơng cụ Luan van 61 TÀI LIỆU THAM KHẢO [1] PGS.TSKH Hoàng Đăng Hải, Quản lý an tồn thơng tin, 2018 [2] Karin Klooster (2016), University of tartu, “Applying a Security Testing Methodology: a Case Study” [3] Can Zhu (2017), Aalto University School of Science, “Experimental study of vulnerabilities in a web application” [4] https://securitybox.vn/4509/10-lo-hong-trong-ung-dung-web/ (truy cập ngày 01/11/2019) [5] http://softwaretestingfundamentals.com/white-box-testing/ (truy cập ngày 08/11/2019) [6] http://softwaretestingfundamentals.com/black-box-testing/ (truy cập ngày 08/11/2019) [7] https://owasp.org/www-project-zap/ (truy cập ngày 15/11/2019) [8] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_102017_Top_10.html (truy cập ngày 15/10/2019) [10] https://whitehat.vn/threads/pentest-chuan-pentest-website-theo-owasp.6989/ (truy cập ngày 10/11/2019) [11] https://insights.sei.cmu.edu/sei_blog/2018/07/10-types-of-application-securitytesting-tools-when-and-how-to-use-them.html (truy cập ngày 08/11/2019) [12] https://www.breachlock.com/3-opensource-tools-for-dast/ (truy cập ngày 15/11/2019) [13] https://www.acunetix.com/vulnerability-scanner/ (truy cập ngày 15/10/2019) [14] http://rips-scanner.sourceforge.net/ (truy cập ngày 15/10/2019) Luan van 62 [15]https://www.ibm.com/support/knowledgecenter/en/SSS9LM_9.0.3/com.ibm.ratio nal.appscansrc.common.doc/topics/intro_products.html (truy cập ngày 15/10/2019) [16] https://tools.kali.org/information-gathering/nikto (truy cập ngày 25/10/2019) [17] https://cystack.net/vi/resource/tinh-hinh-an-ninh-mang-2019/ (truy cập ngày 25/11/2019) Luan van 63 PHỤ LỤC 1: DANH SÁCH URL QUÉT ĐƯỢC 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 https://duticrm.info/ https://duticrm.info/'+t+' https://duticrm.info/+t+ https://duticrm.info/author https://duticrm.info/author/duticrm/ https://duticrm.info/comments https://duticrm.info/comments/feed/ https://duticrm.info/embed/ https://duticrm.info/feed/ https://duticrm.info/page-sitemap.xml https://duticrm.info/post-sitemap.xml https://duticrm.info/robots.txt https://duticrm.info/s https://duticrm.info/s/521dd3.js https://duticrm.info/s/7e4e02.js https://duticrm.info/s/85b35f.js https://duticrm.info/s/8fb1ff.css https://duticrm.info/s/904306.js https://duticrm.info/s/fd37bd.js https://duticrm.info/search https://duticrm.info/search/ZAP https://duticrm.info/search/ZAP/feed https://duticrm.info/search/ZAP/feed/rss2/ https://duticrm.info/search/feed https://duticrm.info/search/feed/rss2/ https://duticrm.info/sitemap.xml https://duticrm.info/sitemap_index.xml https://duticrm.info/wp-admin https://duticrm.info/wp-admin/ https://duticrm.info/wp-admin/admin-ajax.php https://duticrm.info/wp-admin/css https://duticrm.info/wp-admin/css/forms.min.css?ver=5.3 https://duticrm.info/wp-admin/css/l10n.min.css?ver=5.3 https://duticrm.info/wp-admin/css/login.min.css?ver=5.3 https://duticrm.info/wp-admin/images https://duticrm.info/wp-admin/images/wordpress-logo.svg?ver=20131107 https://duticrm.info/wp-admin/js https://duticrm.info/wp-admin/js/password-strength-meter.min.js?ver=5.3 https://duticrm.info/wp-admin/js/user-profile.min.js?ver=5.3 https://duticrm.info/wp-content https://duticrm.info/wp-content/et-cache https://duticrm.info/wp-content/et-cache/5 https://duticrm.info/wp-content/et-cache/5/et-core-unified-51574696153603.min.css https://duticrm.info/wp-content/et-cache/global https://duticrm.info/wp-content/et-cache/global/et-divi-customizer-global15746962159519.min.css https://duticrm.info/wp-content/themes https://duticrm.info/wp-content/themes/Divi https://duticrm.info/wp-content/themes/Divi/core https://duticrm.info/wp-content/themes/Divi/core/admin https://duticrm.info/wp-content/themes/Divi/core/admin/fonts https://duticrm.info/wp-content/themes/Divi/core/admin/fonts/modules.ttf https://duticrm.info/wp-content/themes/Divi/core/admin/js https://duticrm.info/wp-content/themes/Divi/core/admin/js/common.js?ver=4.0.6 https://duticrm.info/wp-content/themes/Divi/js https://duticrm.info/wp-content/themes/Divi/js/custom.min.js?ver=4.0.6 https://duticrm.info/wp-content/themes/Divi/style.css?ver=4.0.6 Luan van 64 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 https://duticrm.info/wp-content/uploads https://duticrm.info/wp-content/uploads/2019 https://duticrm.info/wp-content/uploads/2019/10 https://duticrm.info/wp-content/uploads/2019/10/Afbeelding-stand_klein-1.png https://duticrm.info/wp-content/uploads/2019/10/business-coach-0034.jpg https://duticrm.info/wp-content/uploads/2019/10/favicon-150x150.png https://duticrm.info/wp-content/uploads/2019/10/favicon.png https://duticrm.info/wp-content/uploads/2019/10/logo.png https://duticrm.info/wp-includes https://duticrm.info/wp-includes/css https://duticrm.info/wp-includes/css/buttons.min.css?ver=5.3 https://duticrm.info/wp-includes/css/dashicons.min.css?ver=5.3 https://duticrm.info/wp-includes/css/dist https://duticrm.info/wp-includes/css/dist/block-library https://duticrm.info/wp-includes/css/dist/block-library/style.min.css?ver=5.3 https://duticrm.info/wp-includes/js https://duticrm.info/wp-includes/js/jquery https://duticrm.info/wp-includes/js/jquery/jquery-migrate.min.js?ver=1.4.1 https://duticrm.info/wp-includes/js/jquery/jquery.js?ver=1.12.4-wp https://duticrm.info/wp-includes/js/underscore.min.js?ver=1.8.3 https://duticrm.info/wp-includes/js/wp-embed.min.js?ver=5.3 https://duticrm.info/wp-includes/js/wp-util.min.js?ver=5.3 https://duticrm.info/wp-includes/js/zxcvbn-async.min.js?ver=1.0 https://duticrm.info/wp-includes/js/zxcvbn.min.js https://duticrm.info/wp-includes/wlwmanifest.xml https://duticrm.info/wp-json https://duticrm.info/wp-json/ https://duticrm.info/wp-json/oembed https://duticrm.info/wp-json/oembed/1.0 https://duticrm.info/wpjson/oembed/1.0/embed?format=xml&url=https%3A%2F%2Fduticrm.info%2F https://duticrm.info/wp-json/oembed/1.0/embed?url=https%3A%2F%2Fduticrm.info%2F https://duticrm.info/wp-login.php https://duticrm.info/wp-login.php?action=lostpassword https://duticrm.info/wp-login.php?action=register https://duticrm.info/wp-login.php?checkemail=confirm https://duticrm.info/wp-login.php?redirect_to=https%3A%2F%2Fduticrm.info%2Fwpadmin%2F&reauth=1 https://duticrm.info/xmlrpc.php https://duticrm.info/xmlrpc.php?rsd Luan van ... CÁC KỸ THUẬT KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB Trong chương luận văn tập trung trình bày kỹ thuật kiểm thử bảo mật ứng dụng web 2.1 Kiểm thử bảo mật ứng dụng web [2], [7] Trong năm gần đây, ứng dụng. .. 1.1.2 Bảo mật ứng dụng web Bảo mật ứng dụng web nhánh bảo mật thông tin liên quan cụ thể đến bảo mật trang web, ứng dụng web dịch vụ web Ở cấp độ cao, bảo mật ứng dụng web dựa nguyên tắc bảo mật ứng. .. web Đề tài "Nghiên cứu kỹ thuật kiểm thử bảo mật ứng dụng web" nhằm nghiên cứu thử nghiệm kỹ thuật nhằm phát để ngăn chặn kịp thời nguy an ninh, bảo mật ứng dụng web Bảo mật trang web đòi hỏi