Mục đích nghiên cứu Tìm hiêu các vân đê vê bảo mật, các phương pháp và các công cụ kiêm thử bảo mật website lựa chọn công cụ kiểm thử và thực hiện thử nghiệm kiểm thử bảo mật websitequa
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Trang 2Người hướng dan khoa hoc: PGS.TS Lê Hữu Lap
Phản biện 1: 55555 S +22 ccc+sssss
Phản biện 2: - 7-55 S2 S3 +* 222251 ceces
Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện
Công nghệ Bưu chính Viễn thông
gid ngà thang
Co thé tim hiéu luan van tai
-Thư viện của Hoc viện Công nghệ Buu chính Viễn thông
Trang 3MO DAU
Đảm bao an toàn cho website dang là một van dé cấp bach của tat cả các quốc gia
trên thé giới, đặc biệt là ở Việt Nam
Ở Việt Nam gần đây có những vụ tấn công vào các website gây ảnh hưởng nghiêmtrọng điển hình như: Tháng 11/2006 website của Bộ Giáo dục & Đảo tạo (có địa chỉ tạiwww.moetgov.vn) đã bị hacker tấn công, tháng 6/2013 hàng loạt trang báo dân trí,vietnamnet, tuoitre đã bị tấn công làm tê liệt Năm 2014 hàng loạt website thuộc hệ
thống của Công ty Cô phần truyền thông Việt Nam (VCCorp) và các website được hỗ
trợ vận hành bởi đơn vị này đồng loạt gặp sự cô do tan công DdoS Gần đây vào ngày29/7/2016, trang mạng chính thức của Vietnam Airlines đã bị hacker tấn công chiếmquyền kiểm soát và chuyên sang trang mạng xấu ở nước ngoài Dữ liệu của một số hộiviên khách hàng thường xuyên của Vietnam Airlines đã bị công bó,
Kha năng có thể truy cập 24/7 từ bat cứ nơi nào trên thé giới hay các ứng dụng web
không an toàn thường cung cấp truy cập dễ dàng đến cơ sở dữ liệu là một sơ hở lớn cho
phép tin tặc có thé thực hiện các hoạt động bat hợp pháp bằng cách sử dụng các trangweb đã tấn công Hau hết nguyên nhân của các vụ tan công này là do website tồn tainhiều lỗ hong bảo mật
Một điều đáng lo ngại nữa là đối với các cá nhân, tổ chức và doanh nghiệp, CNTT
nói chung và các ứng dụng web nói riêng đang trở thành một trong các nhân tố, công cụ
đắc lực hỗ trợ tăng hiệu suất làm việc và lợi nhuận, hiệu quả kinh tế cao cho họ, nhưng
sự quan tam, va chi phí bỏ ra cho lĩnh vực bảo tri, bảo mật lại không đáng kể Đồng thờicác môi nguy hiểm đe dọa ngày càng mới và phát trién phức tạp hon, khả năng tấn công
và khai thác của các kẻ xấu đã tăng lên rõ rệt, các mã độc, phần mềm độc hại, virut trở
nên khó phát hiện và tiêu diệt hơn.
Vì vậy vấn đề an ninh mạng nói chung và bảo mật Web Application nói riêng đang
là một vấn đề quan trọng và cấp bách cần phải được nghiên cứu, tìm hiểu và đưa ra cácgiải pháp và kỹ thuật mới dé phòng tránh, đồng thời cá nhân, t6 chức và doanh nghiệpcũng cần dành nhiều thời gian, kinh phí, nhân lực kỹ thuật để đảm bảo cho hệ thốngmang cũng như Web Application của mình hoạt động tốt, có khả năng chống chọi va
ngăn chặn trước các môi nguy hiêm và các cuộc tân công.
Trang 4Đó là lý do em đã chon dé tài: “Nghiên cứu kiểm thử bảo mật website” dé làm luận
văn tôt nghiệp với mục đích hiệu được việc kiêm thử website từ đó áp dụng vào công
việc thực tê.
1 Mục đích nghiên cứu
Tìm hiêu các vân đê vê bảo mật, các phương pháp và các công cụ kiêm thử bảo mật
website lựa chọn công cụ kiểm thử và thực hiện thử nghiệm kiểm thử bảo mật websitequa đó đánh giá kết quả
Tìm hiểu tổng quan về bảo mậtNghiên cứu các loại kiểm thử bảo mật, quy trình kiểm thử bảo mậtNghiên cứu các phương pháp và các công cụ tương ứng trong kiểm thử bảo
mật website
o_ Phương pháp kiểm thử hộp đeno_ Phương pháp kiểm thử hộp trắngo_ Phương pháp kiểm thử FuzzingPhân tích đánh giá, lựa chọn công cụ và thực hiện kiểm thử bảo mật websiteĐánh giá kết quả đạt được
2 Đối tượng và phạm vi nghiên cứu
Trong khuôn khô luận văn thuộc loại nghiên cứu và ứng dụng, em chỉ giới hạn nghiên
cứu các vân dé sau:
Nghiên cứu các phương pháp và các công cụ tương ứng trong kiểm thử bảo
mật website
Phân tích đánh giá, lựa chọn công cụ và thực hiện kiểm thử bảo mật website
Trang 5CHUONG I - TONG QUAN VE BAO MAT WEBSITE
1.1 Tổng quan về bảo mật
Bảo mật cần sự thỏa hiệp giữa việc đảm bảo an ninh và chức năng hay khả năng
sử dụng của hệ thống Nếu bảo mật quá chặt chẽ, hệ thống sẽ trở nên rất khó sử dụng hoặckhó hoạt động một cách hiệu quả Nếu bảo mật quá đơn giản, hệ thống dễ bị tấn công và
xâm nhập.
Kiểm thử bảo mật Web, theo nghĩa truyền thống, là đánh giá hiệu quả sự bảo vệ
toàn bộ hệ thống Web Nó yêu cầu kết hợp nhiều kiến thức về các công nghệ bảo mật,
công nghệ mạng, lập trình, và kinh nghiệm thực tế về thâm nhập các hệ thống mạng Hầu
hết các kiểm thử viên phần mềm không có đầy đủ kiến thức này Do đó chúng ta cầnnghiên cứu, tìm hiểu các kiến thức về bảo mật cho website từ đó có thé đưa ra cách thứcthực hiện cũng như đánh giá về khả năng bảo mật của website
1.2 Mục đích của bảo mật
Tùy thuộc vào các yêu cầu của mỗi hệ thống, mỗi hệ thống có những mục đích khác
nhau, nhưng yêu cầu bảo mật đều có điểm chung là: Đảm bảo sự an toàn dữ liệu cho hệthống và bảo vệ các tài nguyên trên mạng trước sự tấn công nhằm phá vỡ hệ thống hoặc
sử dụng trái phép các tài nguyên của một số người có chủ ý xấu
1.3 Thống kê tình trạng bảo mật hiện nay của các trang web
Theo thống kê của trang web bảo mật Security Daily, có đến 1039 website của Việt
Nam bi tan công trong vòng nửa đầu tháng 9 năm 2015 — tăng đột biến gấp 4 lần so với các
tháng trước,
Trong số này, có 69 website giáo dục và hơn 30 website của các cơ quan thuộc Chínhphủ Việt Nam Hơn 1000 website các lỗ hồng bị tan công déu là các lỗ hồng cơ bản và đãtồn tại cách đây hơn chục năm và các hacker có thé dé dang tan công các website này Số
lượng các website bị tin tặc tấn công sẽ còn tiếp tục tăng trong thời gian tới
Theo thống kê khác của Bkav, tại Việt Nam, trung bình mỗi tháng lại có hơn 300website của các doanh nghiệp, tổ chức trong nước bị tan công Tỷ lệ website tồn tai lỗ hổng
ở khu vực Châu Á là 36%, Châu Âu 15%, Châu Mỹ 5% và Châu Phi 33% thì tại Việt Nam
tỷ lệ này là 40% Như vậy, mức độ bảo mật của hệ thống các webstie Việt Nam chỉ ở mứctrung bình so với các nước trong khu vực và thấp so với trên thế giới Trong đó đáng chú ý
là 30% các website ngân hang tại Việt Nam tổn tai lỗ hồng Và có tới 2/3 trong số này ở
mức độ nguy hiểm trung bình và cao.
Trang 61.4.3.4 Phòng chốngKết luận chương
Trong chương này đã nêu lên các khái niệm cơ bản về bảo mật, mục đích của bảo mật,
thống kê tình trang bảo mật của website Đồng thời giới thiệu một số lỗ hồng phổ biến hiệnnay Đề đảm bảo an toàn cho website cần thực hiện kiểm thử bảo mật cho chúng Việc ápdụng các phương pháp kiêm thử bảo mật website sẽ được giới thiệu ở chương 2 kiểm thử
bảo mật website.
Trang 7CHUONG 2 ~ KIEM THU BẢO MAT WEBSITE
2.1 Giới thiệu về kiểm thử phan mềm
Kiểm thử phần mềm (kiểm tra, thử nghiệm) là một cuộc kiểm tra được tiễn hành để
cung cấp cho các bên liên quan thông tin về chất lượng của sản phẩm hoặc dịch vụ đượckiểm thử Kiểm thử có thể cung cấp cho doanh nghiệp một quan điểm, một cách nhìn độclập về phần mềm dé từ đó cho phép đánh giá và thấu hiểu được những rủi ro trong quatrình triển khai phan mémKiém thử phần mềm là quá trình thực thi một chương trình với
mục đích tìm lỗi.
2.2 Kiểm thử bảo mật
2.2.1 Mục đích của kiểm thử bảo mật
Với tư cách là kiểm thử viên, là tập trung kiểm thử bảo mật của Website và ứng dụngWeb Điều đó có nghĩa là chúng ta tìm kiếm các lỗ hồng và rò rỉ thông tin gây nên chủ
yếu do lập trình và do cấu hình sai các trình chủ Web và các trình chủ ứng dụng khác
2.2.2 Trách nhiệm của kiểm thử bảo mật
Kiểm thử bảo mật liên quan đến trách nhiệm của nhiều người khác nhau sau đây:
2.3 Các loại kiểm thử bảo mat
2.3.1 Kiểm thử yêu cau và thiết kế
Bat kỳ hệ thống nào cũng được xây dựng từ một tập hợp các yêu cầu Đôi khi
những yêu cầu này được viết một cách rõ ràng, nhưng thường chúng là những phát biểumập mờ không được định nghĩa rõ ràng về tính bao mật Vi dụ, có thể có phát biểu “Ung
dụng phải an toàn” Nhưng “an toàn” nghĩa là gì và nên phải dành bao nhiêu công sức và
thời gian để làm cho sản phẩm an toàn Kiểm thử bảo mật ở giai đoạn yêu cầu thiết kế choứng dụng web chính là việc xem xét các yêu cần thiết có đã mô tả rõ các tiêu chí cụ thé về
yêu cầu bảo mật cho ứng dụng web hay chưa
Trang 82.3.2 Kiểm thử mã nguén
2.3.3 Kiểm thử các thiết lập của trình duyệt
2.3.4 Kiểm thử bức tường lửa
2.4 Quy trình kiểm thử bảo mật website
¢ Bước đầu tiên là phải hiểu được nghiệp vụ hệ thống, mục tiêu bảo mật và tuân thủ
bảo mật của tổ chức Việc lập kế hoạch kiểm tra nên xem xét tất cả các yếu tố bảo
mật.
¢ Thu thập tất cả các thông tin thiết lập hệ thong được sử dung dé phát triển phần mềm
và mạng giống như hệ điều hành, công nghệ, phần cứng.
« Check list các lỗ hồng và rủi ro bao mật, chuẩn bị kế hoạch kiểm tra dé giải quyết
những vấn đề này
¢ Đối với mỗi mối de dọa được xác định, lỗ hồng và rủi ro bảo mật chuẩn bị ma trận
lưu vết (traceability matrix)
«e Tat cả các thử nghiệm bảo mật có thể không thể thực hiện bang tay, do đó xác định
các công cụ dé thực hiện tat cả các trường hợp kiểm tra bao mật nhanh hơn và đáng
tin cậy hơn.
« Chuan bi các testcase kiểm tra bảo mật
« - Thực hiện test các testcase đó và retest các bug đã được sửa.
« Thuc hiện test tích hợp.
‹ Chuan bị báo cáo chi tiết về kiểm tra bảo mật, trong đó có lỗ héng bảo mật và các
mối đe dọa, rủi ro chỉ tiết, và các vấn đề bảo mật khác
2.4.1 Kiểm thử bảo mật thủ công (manually)
a, Kiểm thử thủ côngKiểm thử thủ công là quá trình kiểm thử mà người kiểm thử phải xác định vị trí đữ liệu
cần được gửi đến ứng dụng bang cách sử dụng các intercepting proxy (là một ứng dụng
nam giữa ứng dụng và trình duyệt, cho phép người kiêm thử thay đổi giá trị một cách tùybiến trước khi gửi đến đến ứng dụng) và tập dữ liệu cần gửi đến ứng dụng tương ứng vớicác vị trí gửi đã xác định trước đó Kiểm thử thủ công bao gồm design, business logiccũng như xác minh mã nguồn Quá trình kiểm thử thâm nhập:
o_ Xác định các 16 hồng có trong hệ thống là bước quan trọng đầu tiên trong quá
trình
o Hoạt động sửa chữa được thực hiện trên những lỗ hồng này
Trang 9o_ Kiểm thử thâm nhập tương tự sẽ được lặp lại cho đến khi hệ thống từ chối tat
cả các cuộc kiểm tra
b, Các bước kiểm thử bảo mật thủ công
o Thu thập dữ liệu
o Đánh giá tính chat dé bị tổn thương của hệ thống
o Khai thác thực tế: Day là một bước cực kỳ quan trọng
o Phân tích kết qua và chuẩn bị báo cáo
Quá trình tìm kiếm lỗi bảo mật trong mã nguồn của ứng dụng bằng phươngpháp thủ công thì phải đòi hỏi người kiểm thử phải có một phương pháp kiểm thử và
ra soát hợp lý Bởi vì khối lượng tập tin cũng như nội dung trong các ứng dụng web
là rất lớn, nếu như không có một phương pháp rà soát và đánh giá hợp lý thì sẽ tiêutốn rất nhiều thời gian dé phát hiện lỗi
2.4.2 Kiểm thử bảo mật tự động (Automation)
Phương pháp kiểm thử lỗi tự động là quá trình các công cụ sẽ thực hiện tự động quét thưmục, tập tin của ứng dụng web và tự động xác định các điểm mà cần đệ trình dữ liệu Trên
cơ sở đã xác định các điểm cần gửi tự động đến công cụ sẽ thực hiện gửi các tập dữ liệuđược định nghĩa sẵn và chờ sự phản hồi từ phía ứng dung web dé kiểm tra xem liệu ứng
dụng đó có bị các lỗi bảo mật hay không.
Công cụ tự động có thể được sử dụng để xác định một số lỗ hồng tiêu chuẩn hiện tại trongmột ứng dụng Công cụ kiểm thử bảo mật quét mã hiện nay dùng dé kiểm tra xem có mã độchay không có thé dẫn đến vi phạm an ninh tiềm tàng Công cụ kiểm thử bảo mật không théxác minh lỗ hồng bảo mật hiện tại trong hệ thống như các kỹ thuật mã hóa đữ liệu và các giá
trị mã cứng giông như username và password.
Các tiêu chí dé chọn công cụ kiểm thử bảo mật tốt nhất:
o Nó sẽ dé dàng được triển khai, cấu hình và sử dụng
o Nó sẽ quét được hệ thống một cách dễ dàng
o Nó có thé phân loại lỗ hong dựa trên mức độ nghiêm trọng cần sửa chữa ngay
lập tức.
o Có khả năng tự động xác minh các lỗ hồng
o Có thé xác minh lại những khai thác mà đã được tìm thấy trước đó
o Nó sẽ tạo ra các báo cáo và các bản ghi chỉ tiết về lỗ hồng
Trang 102.5 Cac phuong phap kiém thir bao mat
2.5.1 Phwong phap kiém tra hép trang
2.5.1.1 Nội dung phương pháp
Phương pháp kiểm tra hộp trắng các lỗi bảo mật trên ứng dụng web là quá trình kiểm tra
trực tiếp mã nguồn của ứng dụng web để tìm ra các lỗi bảo mật Quá trình quan sát và kiểm
tra mã nguồn có thể thực hiện thủ công hoặc thực hiện băng công cụ Quá trình thực hiệnbằng công cụ tức là quá trình mà công cụ sẽ thực hiện quét toàn bộ mã nguồn của ứng dụng
và dựa trên tập nhận biết các hàm, các chỉ dẫn có khả năng gây ra lỗi bởi ngôn ngữ lập trình
phát triển ứng dụng web
a, Kiểm thử đường diễn tiến của chương trình
Đây là khái niệm chỉ đến việc thiết kế các trường hợp kiểm thử trên từng lệnh trongchương trình sẽ thực hiện ít nhất một lần Kỹ thuật này không quan tâm đến ảnh hưởng lên
các đường quyết định (decisions path)
Việc xây dựng tập hợp kiểm thử có thé thực hiện theo những bước sau đây:
1) Dùng tài liệu thiết kế hay source code dé vẽ ra một đồ thị mô tả flow chart của
chương trình hay hàm.
2) Xác định đồ thị V(G)
3) Từ đồ thị xác định tập đường độc lập tuyến tính lẫn nhau
4) Xây dựng những trường hợp kiểm thử dựa trên tập đường xác định ở bước
trên.
Mỗi trường hợp được chạy và so sánh với kết quả mong đợi Nếu tất cả các trườnghợp kiểm định đều cho kết quả như mong muốn thi có thé khang định rằng tat cả các dònglệnh trong thủ tục average đều được kiểm thử ít nhất một lần
b, Kiểm thử cấu trúc điều khiển
e Kiểm thử các biểu thức điều kiện
Kiểm thử biểu thức điều kiện là phương pháp kiểm thử trên những điều kiện logiccủa hàm hay module Một điều kiện đơn giản là một biến boolean hoặc là một biểu thức
quan hệ:
- _ X hay Not X một điều kiện logic đơn giản
- Biểu thức quan hệ thường có dạng : El <phép toán quan hệ> E2
Trang 11El, E2 là các biểu thức số học và phép toán quan hệ là một trong các phép toán sau :
<, <=, ==,! =, > hay >= Một điều kiện kết hợp của 2 hay nhiều điều kiện đơn giản, các
phép toán boolean: OR (| 1, AND (&) and NOT (!)
Các loại lỗi của điều kiện bao gồm:
- Lỗi trong các thao tác luận lý (lỗi tồn tại một biéu thức không đúng, thiếu hoặc thừa
các thao tác luận lý):
- Lỗi do giá trị của biến luận lý
- Lỗi do dấu ngoặc
- _ Lỗi do phép toán quan hệ
- Lỗi trong biểu thức toán học
Mục đích của kiểm thử cấu trúc điều khiển là phát hiện không chỉ lỗi trong điều kiện
mà còn những lỗi khác trong chương trình Nếu một tập kiểm thử cho một chương trình P làhiệu quả cho việc phát hiện lỗi trong điều kiện của P, thì bộ kiêm thử đò cũng có thé phát
hiện các lỗi khác trong P.
E1 <phép toán quan hệ> E2
Ba trường hợp kiểm thử được yêu cầu dé kiểm tra là giá trị E1 lớn hơn, nhỏ hơn vàbằng giá trị của E2 Nếu <phép toán quan hé> là không đúng và El, E2 là đúng thì 3 loạikiểm thử trên có đảm bảo có thê xác định được lỗi trong phép toán quan hệ Dé phát hiện lỗitrong Elva E2 thì các trường hợp kiểm thử E1 lớn hơn, nhỏ hơn E2 có thé phát hiện ra được
lỗi.
Một biểu thức có n biến, thì có 2n khả năng kiểm thử xảy ra khi (n>0)
c, Kiểm thử luồng dir liệu (DFT)
Phương pháp kiểm thử luéng dữ liệu chon lựa một số đường diễn tiến của chươngtrình dựa vào việc cấp phát, định nghĩa, và sử dụng những biến trong chương trình
Phương pháp kiểm thử luồng đữ liệu yêu cầu rằng tất cả các chuỗi DU đều đượckiểm thử ít nhất một lần
DFT rất hữu ich cho các loại kiếm thử một chương trình có nhiều lệnh if và lệnh lặplồng nhau nhiều cấp
d, Kiểm thử vòng lặp
Trang 12Vòng lặp là một trong những nền tảng cho rất nhiều các thuật toán được cài đặt trongcác phần mềm Tuy nhiên, cho đến lúc này chúng ta vẫn còn ít chú ý đến việc xây dựng cáctrường hợp đề kiểm thử
Kiểm thử vòng lặp tập trung vào tính chất của cấu trúc vòng lặp Có 4 cấu trúc vònglặp như sau: vòng lặp đơn giản, vòng lặp móc nối, vòng lặp tạo thành tô, và vòng lặp khôngcầu trúc
(1) Vòng lặp đơn
Tập hợp tiếp theo là các trường hợp kiểm thử cho vòng lặp đơn, với n là maximum sốlần lặp
e Bỏ tính toàn vẹn của vòng lặp
e Chỉ cần một lần duyệt xuyên qua cả vòng lặp
e Hai lần duyệt xuyên qua cả vòng lặp
e m lần duyệt xuyên qua cả vòng lặp
e n-l,n,ntl lần duyệt xuyên qua cả vòng lặp
(2) Vong lặp tạo tô
Nếu như chúng ta mở rộng phương pháp kiểm thử cho vòng lặp đơn thì số lượngtrường hợp kiêm thử sẽ tăng rất nhiều Sau đây là một cách là giảm sồ lượng trường hopkiểm thử:
e Bắt đầu tại vòng lặp con trong cùng Thiết lập tat cả các vòng lặp khác là giá tri
minimum.
e Kiểm soát vòng lặp ở trong cùng trong khi giữ các vòng lặp bên ngoài lặp lai với giá
trị là minimum thông số ảnh hưởng nhau (thông số đó có thể là biến lặp) Thêm môt
sỐ trường hợp ngoài phạm vi của biến lặp và một sé giá tri đặc biệt
e_ Thực hiên như bước trên và tiến ra ngoài dan
e Thực hiện tiếp cho đến khi tất cả các vòng lặp được kiểm thử hết
(3) Vòng lặp móc nối
Trang 13Đối với kiểu này có thé kiểm thử bằng cách như với vòng lặp đơn ở trên nếu các bién
lặp độc lập với nhau Tuy nhiên nếu 2 vòng lặp là móc nối và biến lặp của vòng lặp thứ nhấtđược sử dụng như là biến khởi tạo cho vòng lặp 2 thì 2 vòng lặp này không còn độc lặp nữa.Phương pháp dùng cho vòng lặp tạo tổ sẽ được sử dụng ở đây
(4) Vòng lặp không có cấu trúc
Khi nào gặp các cau trúc lặp như vậy thì nên thiết kế lại Việc kiểm thử rất phức tap
2.5.1.2 Một số công cụ tiêu biểu
Một số công cụ giúp kiểm thử bao mật website áp dụng phương pháp kiêm thử hộp trang
sau:
a, AppCodeScan
Là công cụ hỗ trợ việc quét mã nguồn là AppCodeScan do Blueinfy Solutions Pvt Ltd phát
triển
Việc thực hiện quét mã nguồn bằng công cụ rất đơn giản Chỉ cần lựa chọn thư mục có chứa
mã nguồn ứng dụng Web cần scan và thực hiện lựa chọn rule (lựa chọn các kiểu cần áp
dụng cho quá trình scan).
b, Công cu RATS (Rough Auditing Tool for Security)
Công cu RATS cũng là một trong những công cụ thực hiện rà soát mã nguồn đối với một số ứng
dụng được viết bằng các ngôn ngữ như C, C++, Perl, PHP, Python và Ruby do Secure Software Inc phát triển Công cụ này cũng chỉ dựa trên tập các hàm mà có nguy cơ gây ra lỗi bảo mật đối với
dụng và nó thực hiện scan với tốc độ cao Sau khi thực hiện chạy công cụ thì công cụ sẽ đưa ra một danh sách các hàm và vị trí trong mã nguồn, giúp người kiểm tra có thể nhanh chóng tập trung ra
soát lại các hàm mà RATS đưa ra, kiểm tra liệu khi sử dụng các hàm đó đã an toàn hay chưa.
2.5.2 Phương pháp kiểm thử hộp đen
2.5.2.1 Nội dung phương pháp
Phương pháp kiểm tra hộp đen các lỗi bảo mật trên ứng dụng web đề cập đến việc kiểm
tra các ứng dụng từ bên ngoài, tức là quan sát các đữ liệu được đệ trình đến ứng dụng và các
dữ liệu từ ứng dụng xuất ra mà không cần hiểu đến hoạt động bên trong của nó Quá trình
đệ trình dữ liệu từ bên ngoài đến ứng dụng có thể thực hiện bằng thủ công hoặc sử dụngcông cụ tự động gửi đến ứng dụng
2.5.2.2 kiểm thử hộp den
a) Phân đoạn tương đương