Hình 4.11 kết quả A, AAAA, MX, NS record của facebook.comHình 4.12 kết qua SOA, CNAME, TXT của facebook.com từ SecurityTrailsHình 4.13 Một số top của web facebook.com được tim thay bằng
Phân tích thiết kế module Metadata Colleeter
Các thành phần chính của metadata collecter
Internet: mạng internet là cần thiết cho quá trình kiểm thử web tự động vì các trang web cần load đữ liệu thông qua internet Ở đây tôi thực hiện kiểm thử có một số nguồn trang web có server nước ngoài nên cần nguồn internet ồn định đề có thé có được giá trị chính xác cũng như nhanh nhất.
URL: địa chỉ nguồn dẫn của trang web mà chúng ta cần kiểm thử cũng như lấy thông tin.
Node JS: ở đây phần mềm được thiết kế chính dựa trên ngôn ngữ javascript nên chúng ta cần môi trường của Node JS đề có thể thực hiện việc chạy chương trình.
Webdriveio: tôi dùng webdriver io để thực hiện kiểm thử của mình vì nó có một tốc độ phản hồi (load, test, get data, ) và tính ôn định gần như là nhanh nhất trong các loại frame work hỗ trợ việc kiểm thử tự động thường được sử dụng.
Web get data: là những trang web dùng dé cung cấp về những thông tin, dữ liệu chi tiết về trang web đang được thử nghiệm Vì một trang web không thé có đầy đủ toàn bộ thông tin mà chúng ta cần nên tôi sử dụng một số trang web từ các nguồn khác nhau để có thể có được càng nhiều dữ liệu càng tốt.
Data Output: Dữ liệu trả về sau khi kiểm tra có thể là mã hoặc địa chỉ IP hoặc chuỗi, v.v.
Cơ chế hoạt động của metadata collecfer -+5cssc++ccx+ 13
Đầu tiên cần thiết lập môi trường cần thiết cho quá trình kiểm thử ( node js, webdriver io, internet ) Hiện tại hệ thống chỉ hỗ trợ chạy trên trình duyệt chrome.
Url sẽ là đầu vào chính của kiểm thử hộp den, sau khi đưa url vào chương trình chạy trên node js thi url sẽ được load lên internet thông qua webdriver io.
URL được truy cập một cách trực tiếp từ trang web bằng đường dẫn tuyệt đối hoặc bạn sẽ truy cập dé lấy thông tin, dữ liệu về trang web đầu tiên và nhập URL của trang web đó dé lấy thông tin hoặc bạn cũng có thé lấy thêm thông tin từ những trang web trước đó.
Quá trình truy cập các trang web khác nhau được thực hiện một cách tuần tự và thực hiện liên tục vì một số nguồn dữ liệu đầu vào của trang web này là thông tin đầu ra của trang web kia.
Mặc dù có sự liên kết giữa các trang lấy thông tin nhưng dự án này được thực hiện dé luôn có thể lấy thông tin mặc dù trang web đó hồng thì những trang web lay thông tin phía sau vẫn không bị ảnh hưởng.
Nếu một trang web lấy thông tin bị hồng thì sẽ được load lại 3 lần trong 10 giây nếu vân không load được thì sẽ báo lỗi hoặc fail hoặc không có thông tin và qua trang lấy thông tin tiếp theo.
Sau mỗi một lần thực hiện quá trình truy cập vào trang web lấy thông tin cho URL input thì ta đều sẽ có dữ liệu trả về cho trang web đó Từ dữ liệu trả về đó ta có thể thực hiện test, so sánh hay đưa vào báo cáo hay ghi log,
Quá trình này sẽ được lập đi và lập lại liên tục cho đến khi hết toàn bộ các trang lây thông tin mà ta đã thiết lập trước.
Phân tích thiết kế module Vulnerability Cheeker
Các thành phần chính của module automation test
Module automation test ở đây được thiết kế dé kiểm tra chức năng chung của trang web ở đây tôi còn gọi nó là kiểm thử bằng hộp xám “Gray-Box Testing”.
Tương tự thì cũng cần cung cấp internet dé truy cập đến vào trang web, với một số web thử nghiệm thì chúng ta còn có cách truy cập trực tiếp bằng local host.
URL: đầu vào của quá trình kiểm thử hộp xám chỉ những url được chỉ định (đã có soạn thảo đoạn mã trước thì mới là hợp lệ ).
Trong phần kiến trúc chính của hộp xám tôi chia thành 2 phần riêng biệt là test common và test private.
Test common là kiểm tra kiến trúc của trang web chủ yếu là kiểm tra các tagname chủ yếu mà trang web đã dùng gồm có những tagname nào Việc kiểm tra này không bao gồm các đoạn mã được giấu bên dưới tag shadow Tất cả những trang web khi được truy cập đến thành công đều có thé thực hiện test common.
Test private: chỉ những trang web được chỉ định được người lập trình phân tính đánh giá và thực hiện code thì mới thực hiện được quá trình kiểm thử Việc kiểm thử này chủ yếu kiểm tra tự động về giao diện của trang web có hiền thị đúng với yêu cầu của nhà phát triển hoặc nhà đầu tư dé ra hay không Nó còn bao gồm việc kiểm tra phan chức năng của trang web hoặc phi chức năng hoặc luồng xử ly,
Tùy thuộc kích thước trang web, kích thước của thử nghiệm hộp xám cũng tỷ lệ thuận Ngoài ra, viết trong test automation còn giúp bảo trì hệ thống hoặc test lại khi có thay đổi, giúp tiết kiệm được thời gian và tăng độ tin cậy của quá trình kiểm thử.
Reporter sau mỗi lần kiểm thử mỗi lần chạy bat kỳ test case, test script, thì đều cần lưu lại hết kết quả quá trình vì vậy reporter là cực kì cần thiết Khi ta cần kiểm tra lại hoặc so sánh kết quả với các lần chạy trước thì chúng ta chỉ cần truy cập vào reporter chứ không cần phải chạy lại các cuộc kiểm thử đã từng chạy nữa.
Ngoài ra reporter còn giúp ta có một cái nhìn khách quan, rõ ràng, dễ hiểu về kết quả của cuộc thử nghiệm thay vì đọc log của từng dòng lệnh đã được thực thi.
Cơ chế hoạt động - : ©2222++2222vvtEEEEErerrkrrrrrrrkrrrrrres 17
Test common Test private reporter
Hình 3.5 Mô hình kiểm thir hộp xám Đầu vào của kiểm thử bằng hộp xám là một url hợp lệ đã được định nghĩa trước.
Sau khi chrome của webdriver io truy cập được vào địa chỉ url thì sẽ thực thi test common ngay lập tức Quá trình này chi mat đưới 5s nếu như trang web có đầy đủ các tagname sẽ mat lâu hơn nếu như không có một tagname nao đó thì chương trình sẽ tìm lại tagname vài lần trước khi đánh giá nó là không tồn tại.
Khi hoàn tat test common thì toàn bộ kết quả của quá trình test common được lưu vao reporter.
Sau khi test common hoàn tat thì thực hiện test private trên chính browser của test common dé tiết kiệm thời gian setup va teardown.
Kết quả của quá trình test common cũng được lưu lại vào reporter.
Sau khi kết thúc quá trình test private thì sẽ tear down browser cũng như tắt chương trình và xuất report lại kết quả vừa kiểm thử. Ở đây tôi không thiết kế chương trình tất cả quá trình chạy song song với nhau mặc dù nó sẽ tiết kiệm thời gian hơn nhưng nó cũng gây nặng cho máy thử hiện thử nghiệm cũng như có thể xảy ra một số lỗi, sự có không mong muốn như xung đột api, login, log out,
Phân tích thiết kế hệ thống report . c+z+22vvvzcrrz+rrrrrer 18 1 Các thành phần chính .-2-©+++222E+++£EEEEEtrtEEEEerrrrrkrrrrrrkx 18
Cơ chế hoạt động của hệ thống _
Kết quả của module metadata collecter được lưu vào report metadata.
Kết quả cho việc sử dụng module auto mation test được lưu vào report automation. Kết quả của module vulnerability checker được lưu vào report maker.
Toàn bộ tất cả kết quả của các quá trình kiểm thử đều được đi qua bộ xử lý lại đề có được một dữ liệu hoàn chỉnh cũng như chính xác nhất.
Sau đó kết quả cuối cùng được lưu trữ lại ở final report dưới dạng là một file
TRIEN KHAI, THỰC NGHIEM VÀ ĐÁNH GIÁ
Triển khai hệ thống
Hệ thống này được triển khai toàn bộ trên máy window có cày ide vscode cấu hình chỉ tiết như sau:
Hệ điều hành os Cấu hình RAM 8GB, 80GB SSD Ung dung VSCODE
Hình 4.1 Sơ đồ cây thư mục của dự án
Từ trên xuống ta có thư mục Allure report nơi chứa khuôn mẫu cho allure report cũng như những file cần thiết đề có thể tự động tạo ra file report allure.
Node_Module nơi chứ dữ liệu cần thiết cho node Js ngoài ra nó còn chứa cả dữ liệu thiết lập của webdriver io Không có thư mục này thì sẽ không thể chạy được ứng dụng.
Thư mục Test: thư mục chính mà ta thực hiện code: o Black box: nơi chứa file code phan page lấy thông tin dành cho mô hình black box. o Page object: chứa chủ yếu file page base, common nơi các element các hàm được hay dùng chung cho nhiều class khác nhau được viết ở đây dé dé đàng kế thừa va tái sử dụng khi cần thiết. o Spec: chứa các file test Ở đây tôi chia làm hai thư mục nhỏ hơn nhằm dé quản lý hơn đó là test white box và test black box. o Test Report: nơi chứa template của report, các bản ghi tạm cua report, các công cụ hỗ trợ xuất report. o White box: nơi chứa file code phần page lay thông tin dành cho mô hình graybox. o Tool Scan chứa các tool giúp cho việc quét các lỗ héng của trang web. o File JS config json là một tệp cầu hình được VSCode sử dụng dé hỗ trợ các dự án JavaScript. co Package-lock.json là một tệp chứa thông tin mà những thông tin này giúp bạn biết được để khi vận hành dự án thì cần đến những modules nào. o Package.json là tệp cấu hình npm, giúp cho npm hiểu những gì nó cần phải cài đặt cái gì, chỉ tiết về ứng dụng, phiên bản, o Readme.md file chứa thông tin về dự án: cách cài đặt, thiết lập, các vận hành, các yêu cầu gì cần thiết của dự án hiện tại, tác giả,
22 o Wdio.config.js file thiết lập cho webdriver io Ta có thể thiết lập toàn bộ những thiết lập của webdriver io ở đây như là độ to màn hình, số lượng chrome, loại reporter, log, error,
4.1.2.1 Thông tin về who is từ whois.com/whois
Ta truy xuất thông tin whois của trang web thông qua trang web whois.com và điền địa chỉ trang web mà ta cần tìm vào thanh tìm kiếm. Để tiết kiệm thêm thời gian dành cho truy cập cũng như tải lại trang sau khi tim kiếm dữ liệu có liên quan thì tôi đã tạo một đường dẫn tuyệt đối whois.com/whois/artifact (arifact là địa chỉ trang web mà chúng ta cần lấy thông tin) dé truy cập thang đến trang đã có thông tin về who is.
Name: FACEBOOK COM Registry Domain ID: 2320948_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrarsafe.com
Registrar URL: https: //www.registrarsafe.com
Registrar Abuse Contact Email: abuseconplaints@registrarsafe.com
1997-@3-29T@5:00:00Z serverUpdateProhibited https: //www.icann.org/epp#serverUpdateProhibi clientDeleteProhibited https: //www.icann.org/epp#clientDeleteProhibi clientTransferProhibited https: //www.icann.org/epp#clientTransferPro serverDeleteProhibited https: //www.icann.org/epp#serverDeleteProhibi serverTransferProhibited https: //www.icann.org/epp#serverTransferPro clientUpdateProhibited https: //www.icann.org/epp#clientUpdateProhibi Registry Registrant ID:
Như trên hình 4.4 trang web cung cap đến chúng ta những thông tin look up của trang web như là: domain name (tên miễn), register domain id (id đăng ký miền), ngày cập nhật, địa chỉ liên hệ, số điện thoại, email khởi tạo miễn, vị trí của máy chủ web, quốc gia đăng ký web, tổ chức sở hữu của trang web, người quản lý, các máy chủ của trang
Name: Domain Admin Organization: Meta Platforms, Inc.
Street: 1601 Willow Rd City: Menlo Park
State/Province: CA Postal Code: 94025 Country: US
Hình 4.2 Thông tin chỉ tiết Who is của trang web facebook.com web, DNSSEC,
4.1.2.2 Thông tin về abuse IPDB từ abuseipdb.com
AbuseIPDB là một dự án nhằm đề giúp quản trị hệ thống và quản trị viên web theo dõi và báo cáo lại các địa chỉ IP mà nó có liên quan đến những hoạt động độc hại như gửi thư rác, tan công hacker, tan công DDoS
24 Để tiết kiệm thêm thời gian dành cho truy cập cũng như là tải lại trang sau khi tìm kiếm dữ liệu cần thiết thì tôi đã tạo một đường dẫn tuyệt đối abuseipdb.com/check/ip (với ip là địa chỉ trang web mà chúng ta cần lấy thông tin) để truy cập thang đến trang đã có thông tin về abuseIPDB.
45.122.249.77 was not found in our database
ISP Binh Duong Branch - CMC Telecom
Usage Type Fixed Line ISP
Country ẹ Viet Nam City Hanoi, Ha Noi
Hình 4.3 kết qua abuse ipdb của uit.edu.vn với ip là 45.122.249.77
Tir hình 4.5 ta xem được những thông tin về trang uit.edu.vn như 1a: ISP, Usage
Type, Hostname(s), Domain Name, Country, City.
4.1.2.3 Thông tin về certificate tir crt.sh
Ta có thể tìm được thông tin liên quan về tính chỉ của trang web hiện tại đang có cũng như xem chỉ tiết về tín chỉ đó gồm có những gì.
Thay vì truy cập tuần tự thì tôi tạo một đường dẫn trực tiếp crt.sh/2q=artifact (artifact là địa chỉ trang web chúng ta cần lấy thông tin) để truy cập thăng đến trang certificate.
25 erkshlD Logged At tt Not Before Not After ‘Common Name ‘Matching Identities,
18229256795 2022-12-17 2022-12-17 2023-03-17 api.mmiab.uit.edu.vn apimmlab.uit-edu.vn
8220860176 2022-12-17 2022-12-17 2023-03-17 api.mmiab.uit.edu.vn apimmlab.uit.edu.vn
8188590083 2022-12-10 2022-12-10 2023-03-10 annotation mmlab.uit.edu.vn ‘annotation.mmiab.uit.edu.vn
8120513176 2022-12-10 2022-12-10 2023-03-10 annotation mmlab.uit.edu.vn annotation mmiab.uit.edu.vn
8167499368 2022-12-08 2022-12-08 2023-03-08 nip.ult.edu.vn rip.uiteduvn
18150268834 20221208 2022-12-08 2023-03-08 nip.ult.edu.vn nip.uiteduvn
8128079289 2022-12-02 2022-12-02 2023-03-02 service aiclub.cs.uitedu.vn service.aiclub.¢s.uit.edu.vn
8108572114 2022-12-02 2022-12-02 2023-03-02 service aiclub.cs.uit.edu.vn service.aiclub.cs.uit.edu.vn
7993561936 2022-11-16 2022-11-16 2023-02-14 console-cloud.viab.vit.edu.vn cconsole-cloud.vlab.uit.edu.vn
7989964101 2022-11-16 2022-11-16 2023-02-14 consolecloud.viab.uiLedu.vn cconsole-cloud.vlab.uit.edu.vn
2846137774 2022-10-27 2022-10-27 2023-01-25 notebook uit.edu.vn notebook.uitedu.vn
2226811770 2022-10-17 2022-10-17 2023-01-18 api.mmlab.uiteduyn api.mmlab.uiLeduvn
7776807217 2022-10-17 2022-10-17 202301-15 apimmlab.uiteduvn api.mmlab.uft.eduvn.
2243047294 2022-10-11 2022-10-11 2023-01-09 annotation mmlab.uitedu.vn -annotation.mrnlabuitedu.vn
2729053610 2022-1011 2022-10-11 2023-01-09 annotation mmlab.uit.edu.vn annotation.mmiab.uit.edu.vn
7225366417 2022-10-08 2022-10-08 2023-01-06 nip.ult.edu.vn ripuiteduvn
7201887420 2022-10-08 2022-10-08 2023-07-06 nip.uil.edu.vn nlp.uiLedu.vn
7672182540 2022-10-03 2022-10-03 2023-01-01 service aiclub.cs.uit.edu.vn serfiee.aiclubes.uiteduvn
7671350888 2022-10-03 2022-10-03 2023-01-01 service alclub.cs.uit.edu.vn service.aiclub.cs.uit.edu.vn
2863358979 2022-09-17 2022-09-17 2022-12-16 console-cloud.viab.vit.edu.vn cconsole-cloud.vlab.uit.edu.vn
2862426546 2022-09-17 2022-09-17 2022-12-16 consolecloud.viab.uiLeduvn console-cloud.vlsbuitedu.vn
2448947077 2022-09-01 2022-09-01 2022-11-30 nip.uil.edu.vn nip.uiteduvn
7448936068 2022-09-01 2022-09-01 2022-11-30 nip.uit.edu.vn nip.uiteduyn
7425693135 2022-08-28 2022-08-28 2022-11-26 notebook uit.edun notebook.uitedu.vn
7425692355 2022-08-28 2022-08-28 2022-11-26 notebook uit.edu.vn notebook.uitedu.vn
Hình 4.4 một số kết quả khi tra các tín chỉ đang có của trang uit.edu.
Từ hình 4.4 ta có thể nhìn thấy được những thông tin như là id của crt, ngày khởi tao crt, tên của crt, Matching Identities,
Ngoài ra khi trỏ vào id của crt ta có thể xem chỉ tiết về crt đó
Certificate Transparency Log entries for this cerificste:
Timestamp Entry # |Log Operator Log URL
2021-07-10 oeavoturc 1021282327|Google _[hrtps:/ict googleapis.com/logs/argor2021 2021-07-10 0229.0: Tc 1097315088) Google _|hrtps./ct.googleapis.com/
Revocation Mechanism Provider Satus — ReveeadonDate Last Observed in CRL Last Checked (= ocsP The CA Chạếk 2 va Seperation ca eRL The CA (Usknown (Expired) a
7 (CRLSet/Blocklist [Google [NorRevoked n/a disalowedcert tl Microsoft Not Revoked ns
OnsCRL Mesils NotRevoked ns Certificate Fingerprints ‘SHA-256 [55 123453306726A8759935FD823206F CFEDDDGSSAE7ESAG07E499352F23A9304) SHA-1 2752E0112A001C26562F 1CE353448673091 45438)
08:8e:28:3f :fb:43:ec :7c: 1b:85:đđ:1a: 1 9e :b9:ef :e9:ce uncabint Signature Algorithm: sha256MithRSAEncryption
Real organizationNane = Let's Encrypt countryNane = US
Not Before: Jul 18 67:39:88 2021 GHT Not After : Oct 8 67:38:59 2021 GHT Subject consonNane = henccovidsafe tech4covid uit edu.vn Subject Public Key Info
Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus:
“d1:ac:64:1d:ec :6c:ba:97-1d 'c:e5:b8:đ1 :79-fb:8745 7:1e 48zfe:ce fc :2e: 1f:4f:a5:2a:c7:64:87 :cf:42:5f 23:f6 :7b: 18:38:34 sed:66 :87 c2 :ce :b3 :4f 0d
58:ác bd: Sd fe :31 -@F :24 :df:4a:2f 99:15:72
Hình 4.5 chỉ tiết về một ert id 4840954530 4.1.2.4 Thông tin về dnslytic ip từ dnslytics.com/ip
Mục tiêu đặt ra của nhà phát hình là cung cấp cho quản trị viên web, quản trị viên của hệ thống, chuyên gia pháp lý hoặc là bất kỳ ai có sự quan tâm đến thông tin họ cần để xem chỉ tiết kỹ thuật về internet, cung cấp công cụ chân đoán và hiền thị thông tin để theo dõi những kẻ gửi thư rác, tin tặc hoặc các hoạt động đáng ngờ khác.
Domain uit.edu.vn is listed in the top million list of Alexa on number 169,503 The highest ranking ever is 28,995 and was reached on 2022-02-20 It is not listed in the DMOZ directory.
This domain is hosted by CMC Telecom Infrastructure
Company (AS45903) The first DNS server is ns2.pavietnam.vn.
The current IPv4 address is 45.122.249.77 The mail server with the highest priority is aspmx.l.google.com.
Hình 4.6 kết quả của uit.edu.vn từ dnslytic
Như trên hình 4.6 ta có thể xem được đánh giá thứ hạng hiện tại của tên miền cũng như hạng cao nhất mà tên miền đạt được.
Ngoài ra còn có DNS đầu tiên của server, ipv4 hiện tại và mail server có độ ưu tiên cao nhất trong các name server là gì.
4.1.2.5 Thông tin về Grey Noise từ viz.greynoise.io/ip/
Grey Noise là một nền tảng an ninh mạng thu thập và phân tích lưu lượng quét và tan công trên toàn Internet Dữ liệu này được gửi đến thông qua API Visualizer và Grey
Noise dựa trên web dé người dùng có thé bối cảnh hóa các cảnh báo hiện có, lọc thông báo sai, xác định thiết bị xâm nhập và theo dõi các mối nguy cơ đe dọa mới nổi. Đường dẫn trực tiếp dé truy cập đến trang web là viz.greynoise.io/ip/ippage (ip page là địa chỉ truy cập ip trang web mà ta cần để trích xuất thông tin từ greynoise).
Vv lỡ T | Facebook Social Media Reasonably Ignore
DESCRIPTION Facebook is an American online social media and social networking service.
Thực nghiệm và đánh giá . - - - Sky 43 1 Kết quả khi chạy code test web saureedemo . :-ccs+ 43
4.2.1 Kết quả khi chạy code test web saurcedemo
Lệnh thực thi npx wdio spec test\specs\testWhiteBox\testSaurceDemo.js
Registry Domain ID: 2289276675_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois google.com
Registrar URL: https://domains.google.com
Registrar Abuse Contact Email: [%email@google.com
Domain Status: ok https: //www icann.org/epp#ok
Registrant Name: Contact Privacy Inc Customer 7151571251
Registrant Organization: Contact Privacy Inc Customer 7151571251
Registrant Email: https://domains.google.com/contactregistrant ?domain=saucedemo com Registry Admin ID:
Admin Name: Contact Privacy Inc Customer 7151571251
Admin Organization: Contact Privacy Inc Customer 7151571251
Hình 4.23 kết qua report whois của saucedemo.com
Usage Type Data Center/Web Hosting/Transit
Country |p: United States of America
Hình 4.24 kết qua report IPDB của saucedemo.com
Country Announced Prefix Prefix Name Prefix Description ASN ASN Description
Hình 4.25 kết qua report bgpview ip của saucedemo.com crt.sh ID Logged At fNot Before Not After Common Name Matching Identities Issuer Name saucedemo.com
8293162190 2022-12-26 2022-12-26 2023-03-26 www.saucedemo.com C=US, O=Lets Encrypt, CN=R3
8289422550 2022-12-26 2022-12-26 2023-05-26www.saucedemo.com°^U2©demo.eom C=US, O=Let's Encrypt, CN=R3
'www.saucedemo.com saucedemo.com
7844796210 2022-10-27 2022-10-27 2023-01-25 www.saucedemo.com 'C=US, O=Lets Encrypt, CN=R3
7845232281 2022-10-27 2022-10-27 2023-01-25 www.saucodomo.com"2Uc©deO©O CV O-Lot's Encrypt, CN-R3 www.saucedemo.com
7424895710 2022-08-28 2022-08-28 2022-11-26 www.saucedemo.com 965/09A C-US, O=Let's Encrypt, CN=R3 ed www.saucedemo.com
7424890539 2022-08-28 2022-08-28 2022-11-26 www.saucedemo.com S@¥edemeOM _¡ G-Let's Encrypt, CN-Rg www.saucedemo.com
7029098190 2022-06-29 2022-06-29 2022-09-27 www.saucedemo.com 2242m6 G0N LÚC O=Let's Encrypt, CN=R3 ed www.saucedemo.com
7029098865 2022-06-29 2022-06-29 2022-09-27 www.saucedemo.com S2U€@democom ——_C_Ue G1 ot's Encrypt, CN-R3 www.saucedemo.com saucedemo.com
6643726164 2022-04-30 2022-04-30 2022-07-29 www.saucedemo.com C=US, O=Lets Encrypt, CN=R3
Hình 4.26 kết quả report certificate của saucedemo.com
Top Level Domain report -> com -> saucedemo.com book saucedemo.com
Domain saucedemo.com is listed in the top million list of Alexa on number 419,665 The highest ranking ever is 113,841 and was reached on 2022-08-28 It is not listed in the
DMOZ directory This domain is hosted by Fastly, Inc (AS54113) The first DNS server is ns2.pT7.dynect.net The current IPv4 address is 185.199.108.153.
Top-level domain (TLD) com
Rank based on number of inbound links
Hình 4.27 kết qua report DNS lytic ip của saucedemo.com
Hình 4.28 kết quả report ip alyzer của saucedemo.com
FSite: https://www.saucedemo.com/
Report Time: 01 Feb 2023 09:10:57 UTC ô %Strict-Transport-Security XContent-Security-Policy
Ouch, you should work on your security posture ata immediately:
HTTP/2 200 server GitHub.com content-type text/html; charset=utf-8 x-origin-cache HIT last-modified Mon, 19 Apr 2021 09:51:46 GMT access-control-allow-origin * etag W/"607d52b2-9ba" expires Wed, 01 Feb 2023 05:45:40 GMT cache-control max-age`0 content-encoding gzip x-proxy-cache HIT x-github-request-id AFE8:7663:47D32F:529765:63D9FA6F Hình 4.29 kết qua report security header domain của saucedemo.com
Verify structure page have tags
Verify CheckOut Complete Page Correct
Total price when choise product more than 1
Add product to basket and change quantity t hen remove product and apply coupon to che ck Basket Totals price
Login success then update account detail an d login again with new password
View home page and add product to basket t hen remove and undo remove product final a pply coupon and remove coupon
Hình 4.30 kết qua report white box bang allure report của saucedemo.com
* Verify structure page have tags © #3 have form tag chrome-109.0 5414 120 5s 368ms © #4 have h1 tag chrome-109.0.5414.120 5s 369ms © #6 have header tag chrome-109.0.5414.120 5s 274ms © #7 have iframe tag chrome-109.0.5414 120 5s 327ms © #12 have section tag chrome-109.0.5414.120 5s 526ms © #13 have table tag chrome-109.0.5414 120 5s 500ms
Hình 4.31 kết qua các tagname không được tìm thấy của saucedemo.com
Check Tool Available Tool UnAvailable wapiti available golismero unavailable.
'whatweb available uniscan unavailable. nmap available xsser unavailable. host available dnswalk unavailable. wget available golismero unavailable. wafw0Of available dnsmap unavailable. dirb available. davtest available. theHarvester available. dnsrecon available. fierce available. whois available. sslyze available. tbd available.
Hình 4.32 kết quả của việc kiểm tra trạng thái tool
Total Number of Vulnerability Checks 66.
Total Number of Vulnerability Checks Skipped:17
Total Number of Vulnerabilities Detected :18.
Total Time Elapsed for the Scan : 17m 8s
Uniscan - Brutesfor Filenames on the Domai
Uniscan - Checks for LFI, RFl and RCE.
Golismero Zone Transfer - Attempts Zone Transfer.
Golismero - BruteForces for certain directories on the Dom
Golismero SSL Scans - Performs SSL related Scans.
Golismero - SQLMap [Retrieves only the DB Banner]
Golismero - Does a fingerprint on the Domain.
Uniscan - Checks for robots.txt & sitemap.,xmÌ
Uniscan - Stress Tests the Domain.
XSSer - Checks for Cross-Site Scripting [XSS] Attacks.
Golismero Nikto Scans - Uses Nikto Plugin to detect vulnerabil
Golismero - Checks ifthe domain is spoofed or hijacked.
'Golismero - BruteForces for certain files on the Domain.
'Golismero - Checks only for Heartbleed Vulnera
Uniscan - Brutes Directories on the Domain.
Nikto ~Enumerates CGI Directories Scan Completed in im 20s Host - Checks for existence of IPV6 address Scan Completed in 26s.
‘Checks for SMB Service over UDP Scan Completed in 14s
“The Harvester - Scans for emails using Google's passive search Scan
‘Completed in 325 Nikto - Checks for HTTP Options on the Domain Scan Completed in 1m 43s
‘SSLyze - Checks for Secure Renegotiation Support and Client Renegotiation Scan Completed in 8s
Nmap - Checks for IS WebDAV Scan Completed in 27s Nmap [OpenSSL CCS Injection] - Checks only for CCS Injection San Completed in 7s
Nmap - Checks for MS-SQL Server DB Scan Completed in 3s, Nmap [FTP] - Checks if FTP service is running, Scan Completed in 135, NNikto - Checks for Injectable Paths Scan Completed in Im 18s
Nmap - Checks for Remote Desktop Service over TCP Scan Completed in 3s
Nmap [LOGJAM] - Checks for LOGJAM Vulnerability Scan Completed in 24s
Hình 4.34 Một sé tool đã thực thi scan
Usage Type Data Center/Web Hosting/Transit
Hình 4.36 kết qua report IPDB cia practice.automationtesting
Country Announced Prefix Prefix Name Prefix Description ASN ASN Description ASN Name
So 2zr212000 HOSTINGER-HOSTING HOSTNGERHOSING AS47585 AS-HOSTINGER _Hostinger International Ltd
Hình 4.37 kết qua report bgpview ip của practice.automationtesting crt.sh ID Logged At {Not Before Not After Common Name Matching Identities Issuer Name ©=AT,O=ZeroSSL, CN=ZeroSSL RSA Domain 846841i813 2023-0119 2023-01-49 2028-04 19 practice automationtstingin practice.eutomationtestinging WV nna
& C=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain.
‘ " ,_ C=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain.
9005546052 2022-1118 20721†18 2023-02-16 practice automationtesting.in practice.automationtesting ino"? O=
: œ1 E ©=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain saa 1118 2022-1148 2083-02-46 practice avtomationtesting in practice automationtesting.in
Ceorteates 9903844329 2022-18 2022-18 2023-02-46 practice atondontosinginpracieo automaontosingincseu cac.
7566160389 2022-09-18 2022-09-18 2022-12-17 practice.automationtesting.in practice.automationtesting in CA, Ô-2ereSSL, CN-Zere88SL RSA an
‘Secure Site CA é C=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain.
7566160204 2022-09-18 2022-09-18 2022-12- practice-automationtesting.in practce.automationtesting inc A? Q2
‘7156244164 2022-07-19 2022-07-19 2022-10-17 practice.automationtesting.in practice.automationtesting ine L, O=Zero3SL, CN=ZeroSSL RS
7156244176 2022-0719 2022-07-19 2022-10-17 practice.automationtesting.in practice.automationtesting in SÁT, ©-2ereSSL, CN ZereSSL RSA Domain
Hinh 4.38 két qua report certificates cua practice.automationtesting
61 Lordou Vyronos Lumiel Building, 4th floor Address: 6023
Hình 4.39 kết qua report IP Alyzer của practice.automationtesting
DSite: https://practice.automationtesting.in/
Report Time: 01 Feb 2023 10:00:29 UTC ô “Content-Security-Policy ô XStrict-Transport-Security
Headers: ằ %X-Content-Type-Options ô XReferrer-Policy ô XPermissions-Policy
Your site could be at risk, let’s perform a deeper security analysis of your site Probely and APIs:
HTTP/2 200 x-powered-by PHP/7.4.33 content-type text/html; charset=UTF-8 link ; rel="https://api.v link ; link ; rel=shortlink content-encoding gzip vary Accept-Encoding
Hình 4.40 kết qua report security header domain của practice.automationtesting
Verify structure page have tags
Add product to basket and change quantity t hen remove product and apply coupon to che ck Basket Totals price
Login success then update account detail an d login again with new password
View home page and add product to basket t hen remove and undo remove product final a pply coupon and remove coupon
View product detai of product in stock and pr oduct out of stock
Login and add product to basket then checko. ut and check order
Hình 4.41 kết quả report white box của practice.automationtesting
Chương 5 KET LUẬN VA HƯỚNG PHÁT TRIEN
Với sự phát triển công nghệ hiện nay đạt được nhiều thành tựu nổi bật nhằm góp phần cho cuộc sống con người ngày càng được nâng cao Vì thế việc tạo ra và phát triển ứng dụng web không còn là điều đơn giản, phải đầu tư cả về mặt con người, chỉ phí và cả thời gian để tạo những ứng dụng đề phục vụ cho các nhu cầu của con người. Để đạt được chất lượng sự cải tiến và nâng cao phần mềm như mục tiêu dé ra, bước kiểm thử phần mềm là một bước quan trọng không thê thiếu vì nó giúp nhà phát hành đảm bảo chất lượng phần mềm của họ trước khi nó đến được với tay người dùng Ở khóa luận này, em đã trình bày chỉ tiết về cách mà ta xây dựng một framework hỗ trợ kiểm thử ứng dụng web tự động từ đó giúp ta có thể nâng cao được khả năng bảo mật cũng như biết được các 16 hỗng mà trang web đang gặp từ đó hỗ trợ cho người lập trình tiết kiệm thời gian công sức đói với việc thực hiện quét 16 hong.
Những van dé đã được giải quyết trong khóa luận: e Tim hiểu về kỹ thuật KTPM,ky thuật kiểm thử web tự động và sử dụng các công cụ hỗ trợ cho kiểm thử tự động. e _ Tìm hiểu các kỹ thuật và chiến lược phù hợp dé kết hợp toàn bộ mọi thứ đã học được lại với nhau nhằm tạo ra bộ khung kiểm thử web tự động. e Triển khai được bộ khung kiểm thử tự động với các tính năng sau:
— Áp dụng được cách KTPM bằng hộp đen.
— Có thể kiểm tra hộp xám.
— Áp dụng được mô hình POM.
— Xuất được kết quả theo khuôn mẫu tạo trước.
— Sử dụng được allure report.
5.43 Khó khăn © _ Nhiều web có hạn chế số lần có thể truy cập miễn phí trong ngày. © Một số trang web bị hạn chế truy cập tự động, có capcha. e _ Những element cần tương tác nằm ân dấu bên dưới những thẻ shadow. © _ Ít bài báo có liên quan với việc kiểm thử hộp đen. © _ Việc quét các lỗ hổng của trang web còn tốn nhiều thời gian.
Với kết quả hiện tại mà tôi đã đạt được, thì vẫn còn một số mặt có thể tiếp tục phát triển Cụ thể như: © C6 thé thực hiện thu thập nhiều dữ liệu từ những nguồn cung cấp di liệu khác nhau hơn. e Phat triển thêm sự lựa chọn dữ liệu để có thé chỉ lẫy những đữ liệu cần thiết đúng theo yêu cầu. e Hoan thiện bộ white box dé có thé kiểm thử trang web day đủ hơn © _ Tối ưu bộ mã của ứng dụng dé giảm thời gian thực thi và đạt được nhiều mong đợi hơn nữa.