1. Trang chủ
  2. » Luận Văn - Báo Cáo

Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động

70 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Xây dựng bộ khung phục vụ việc kiểm thử web tự động
Tác giả Tran Thanh Tai
Người hướng dẫn TS. Nguyen Tan Cam
Trường học Trường Đại học Công nghệ Thông tin
Chuyên ngành An toàn thông tin
Thể loại Khóa luận tốt nghiệp
Năm xuất bản 2023
Thành phố TP. Hồ Chí Minh
Định dạng
Số trang 70
Dung lượng 18,13 MB

Cấu trúc

  • 3.2 Phân tích thiết kế module Metadata Colleeter (24)
    • 3.2.1 Các thành phần chính của metadata collecter (24)
    • 3.2.2 Cơ chế hoạt động của metadata collecfer....................--..-----+5cssc++ccx+ 13 (25)
  • 3.3 Phân tích thiết kế module Vulnerability Cheeker (26)
    • 3.3.1 Các thành phan module vulnerability ehecker (0)
    • 3.4.1 Các thành phần chính của module automation test (28)
    • 3.4.2 Cơ chế hoạt động...................................-....:--©2222++2222vvtEEEEErerrkrrrrrrrkrrrrrres 17 (29)
  • 3.5 Phân tích thiết kế hệ thống report.........................------c+z+22vvvzcrrz+rrrrrer 18 .1. Các thành phần chính.................................-2-©+++222E+++£EEEEEtrtEEEEerrrrrkrrrrrrkx 18 (30)
    • 3.5.2 Cơ chế hoạt động của hệ thống _ (31)
  • Chương 4. TRIEN KHAI, THỰC NGHIEM VÀ ĐÁNH GIÁ (0)
    • 4.1 Triển khai hệ thống (32)
      • 4.1.1 Môi trường triển khai..................................-- 2222522222222 Etrrrirtrrrrrrrrrrrrrre 20 (32)
      • 4.1.2 Module metadata collecfer.................................------ 5-5555 552c+csccccrerxereree 23 (35)
      • 4.1.3 Mô hình automation feS(.............................--- 5c St cteteterererrriererrerrrrrrke 35 (47)
    • 4.2 Thực nghiệm và đánh giá.................................-- - - - Sky 43 .1. Kết quả khi chạy code test web saureedemo.........................----:-ccs+ 43 (55)
      • 4.2.2 Kết quả khi chạy code test web practice.automationtesting (63)

Nội dung

Hình 4.11 kết quả A, AAAA, MX, NS record của facebook.comHình 4.12 kết qua SOA, CNAME, TXT của facebook.com từ SecurityTrailsHình 4.13 Một số top của web facebook.com được tim thay bằng

Phân tích thiết kế module Metadata Colleeter

Các thành phần chính của metadata collecter

Internet: mạng internet là cần thiết cho quá trình kiểm thử web tự động vì các trang web cần load đữ liệu thông qua internet Ở đây tôi thực hiện kiểm thử có một số nguồn trang web có server nước ngoài nên cần nguồn internet ồn định đề có thé có được giá trị chính xác cũng như nhanh nhất.

URL: địa chỉ nguồn dẫn của trang web mà chúng ta cần kiểm thử cũng như lấy thông tin.

Node JS: ở đây phần mềm được thiết kế chính dựa trên ngôn ngữ javascript nên chúng ta cần môi trường của Node JS đề có thể thực hiện việc chạy chương trình.

Webdriveio: tôi dùng webdriver io để thực hiện kiểm thử của mình vì nó có một tốc độ phản hồi (load, test, get data, ) và tính ôn định gần như là nhanh nhất trong các loại frame work hỗ trợ việc kiểm thử tự động thường được sử dụng.

Web get data: là những trang web dùng dé cung cấp về những thông tin, dữ liệu chi tiết về trang web đang được thử nghiệm Vì một trang web không thé có đầy đủ toàn bộ thông tin mà chúng ta cần nên tôi sử dụng một số trang web từ các nguồn khác nhau để có thể có được càng nhiều dữ liệu càng tốt.

Data Output: Dữ liệu trả về sau khi kiểm tra có thể là mã hoặc địa chỉ IP hoặc chuỗi, v.v.

Cơ chế hoạt động của metadata collecfer -+5cssc++ccx+ 13

Đầu tiên cần thiết lập môi trường cần thiết cho quá trình kiểm thử ( node js, webdriver io, internet ) Hiện tại hệ thống chỉ hỗ trợ chạy trên trình duyệt chrome.

Url sẽ là đầu vào chính của kiểm thử hộp den, sau khi đưa url vào chương trình chạy trên node js thi url sẽ được load lên internet thông qua webdriver io.

URL được truy cập một cách trực tiếp từ trang web bằng đường dẫn tuyệt đối hoặc bạn sẽ truy cập dé lấy thông tin, dữ liệu về trang web đầu tiên và nhập URL của trang web đó dé lấy thông tin hoặc bạn cũng có thé lấy thêm thông tin từ những trang web trước đó.

Quá trình truy cập các trang web khác nhau được thực hiện một cách tuần tự và thực hiện liên tục vì một số nguồn dữ liệu đầu vào của trang web này là thông tin đầu ra của trang web kia.

Mặc dù có sự liên kết giữa các trang lấy thông tin nhưng dự án này được thực hiện dé luôn có thể lấy thông tin mặc dù trang web đó hồng thì những trang web lay thông tin phía sau vẫn không bị ảnh hưởng.

Nếu một trang web lấy thông tin bị hồng thì sẽ được load lại 3 lần trong 10 giây nếu vân không load được thì sẽ báo lỗi hoặc fail hoặc không có thông tin và qua trang lấy thông tin tiếp theo.

Sau mỗi một lần thực hiện quá trình truy cập vào trang web lấy thông tin cho URL input thì ta đều sẽ có dữ liệu trả về cho trang web đó Từ dữ liệu trả về đó ta có thể thực hiện test, so sánh hay đưa vào báo cáo hay ghi log,

Quá trình này sẽ được lập đi và lập lại liên tục cho đến khi hết toàn bộ các trang lây thông tin mà ta đã thiết lập trước.

Phân tích thiết kế module Vulnerability Cheeker

Các thành phần chính của module automation test

Module automation test ở đây được thiết kế dé kiểm tra chức năng chung của trang web ở đây tôi còn gọi nó là kiểm thử bằng hộp xám “Gray-Box Testing”.

Tương tự thì cũng cần cung cấp internet dé truy cập đến vào trang web, với một số web thử nghiệm thì chúng ta còn có cách truy cập trực tiếp bằng local host.

URL: đầu vào của quá trình kiểm thử hộp xám chỉ những url được chỉ định (đã có soạn thảo đoạn mã trước thì mới là hợp lệ ).

Trong phần kiến trúc chính của hộp xám tôi chia thành 2 phần riêng biệt là test common và test private.

Test common là kiểm tra kiến trúc của trang web chủ yếu là kiểm tra các tagname chủ yếu mà trang web đã dùng gồm có những tagname nào Việc kiểm tra này không bao gồm các đoạn mã được giấu bên dưới tag shadow Tất cả những trang web khi được truy cập đến thành công đều có thé thực hiện test common.

Test private: chỉ những trang web được chỉ định được người lập trình phân tính đánh giá và thực hiện code thì mới thực hiện được quá trình kiểm thử Việc kiểm thử này chủ yếu kiểm tra tự động về giao diện của trang web có hiền thị đúng với yêu cầu của nhà phát triển hoặc nhà đầu tư dé ra hay không Nó còn bao gồm việc kiểm tra phan chức năng của trang web hoặc phi chức năng hoặc luồng xử ly,

Tùy thuộc kích thước trang web, kích thước của thử nghiệm hộp xám cũng tỷ lệ thuận Ngoài ra, viết trong test automation còn giúp bảo trì hệ thống hoặc test lại khi có thay đổi, giúp tiết kiệm được thời gian và tăng độ tin cậy của quá trình kiểm thử.

Reporter sau mỗi lần kiểm thử mỗi lần chạy bat kỳ test case, test script, thì đều cần lưu lại hết kết quả quá trình vì vậy reporter là cực kì cần thiết Khi ta cần kiểm tra lại hoặc so sánh kết quả với các lần chạy trước thì chúng ta chỉ cần truy cập vào reporter chứ không cần phải chạy lại các cuộc kiểm thử đã từng chạy nữa.

Ngoài ra reporter còn giúp ta có một cái nhìn khách quan, rõ ràng, dễ hiểu về kết quả của cuộc thử nghiệm thay vì đọc log của từng dòng lệnh đã được thực thi.

Cơ chế hoạt động - : ©2222++2222vvtEEEEErerrkrrrrrrrkrrrrrres 17

Test common Test private reporter

Hình 3.5 Mô hình kiểm thir hộp xám Đầu vào của kiểm thử bằng hộp xám là một url hợp lệ đã được định nghĩa trước.

Sau khi chrome của webdriver io truy cập được vào địa chỉ url thì sẽ thực thi test common ngay lập tức Quá trình này chi mat đưới 5s nếu như trang web có đầy đủ các tagname sẽ mat lâu hơn nếu như không có một tagname nao đó thì chương trình sẽ tìm lại tagname vài lần trước khi đánh giá nó là không tồn tại.

Khi hoàn tat test common thì toàn bộ kết quả của quá trình test common được lưu vao reporter.

Sau khi test common hoàn tat thì thực hiện test private trên chính browser của test common dé tiết kiệm thời gian setup va teardown.

Kết quả của quá trình test common cũng được lưu lại vào reporter.

Sau khi kết thúc quá trình test private thì sẽ tear down browser cũng như tắt chương trình và xuất report lại kết quả vừa kiểm thử. Ở đây tôi không thiết kế chương trình tất cả quá trình chạy song song với nhau mặc dù nó sẽ tiết kiệm thời gian hơn nhưng nó cũng gây nặng cho máy thử hiện thử nghiệm cũng như có thể xảy ra một số lỗi, sự có không mong muốn như xung đột api, login, log out,

Phân tích thiết kế hệ thống report . c+z+22vvvzcrrz+rrrrrer 18 1 Các thành phần chính .-2-©+++222E+++£EEEEEtrtEEEEerrrrrkrrrrrrkx 18

Cơ chế hoạt động của hệ thống _

Kết quả của module metadata collecter được lưu vào report metadata.

Kết quả cho việc sử dụng module auto mation test được lưu vào report automation. Kết quả của module vulnerability checker được lưu vào report maker.

Toàn bộ tất cả kết quả của các quá trình kiểm thử đều được đi qua bộ xử lý lại đề có được một dữ liệu hoàn chỉnh cũng như chính xác nhất.

Sau đó kết quả cuối cùng được lưu trữ lại ở final report dưới dạng là một file

TRIEN KHAI, THỰC NGHIEM VÀ ĐÁNH GIÁ

Triển khai hệ thống

Hệ thống này được triển khai toàn bộ trên máy window có cày ide vscode cấu hình chỉ tiết như sau:

Hệ điều hành os Cấu hình RAM 8GB, 80GB SSD Ung dung VSCODE

Hình 4.1 Sơ đồ cây thư mục của dự án

Từ trên xuống ta có thư mục Allure report nơi chứa khuôn mẫu cho allure report cũng như những file cần thiết đề có thể tự động tạo ra file report allure.

Node_Module nơi chứ dữ liệu cần thiết cho node Js ngoài ra nó còn chứa cả dữ liệu thiết lập của webdriver io Không có thư mục này thì sẽ không thể chạy được ứng dụng.

Thư mục Test: thư mục chính mà ta thực hiện code: o Black box: nơi chứa file code phan page lấy thông tin dành cho mô hình black box. o Page object: chứa chủ yếu file page base, common nơi các element các hàm được hay dùng chung cho nhiều class khác nhau được viết ở đây dé dé đàng kế thừa va tái sử dụng khi cần thiết. o Spec: chứa các file test Ở đây tôi chia làm hai thư mục nhỏ hơn nhằm dé quản lý hơn đó là test white box và test black box. o Test Report: nơi chứa template của report, các bản ghi tạm cua report, các công cụ hỗ trợ xuất report. o White box: nơi chứa file code phần page lay thông tin dành cho mô hình graybox. o Tool Scan chứa các tool giúp cho việc quét các lỗ héng của trang web. o File JS config json là một tệp cầu hình được VSCode sử dụng dé hỗ trợ các dự án JavaScript. co Package-lock.json là một tệp chứa thông tin mà những thông tin này giúp bạn biết được để khi vận hành dự án thì cần đến những modules nào. o Package.json là tệp cấu hình npm, giúp cho npm hiểu những gì nó cần phải cài đặt cái gì, chỉ tiết về ứng dụng, phiên bản, o Readme.md file chứa thông tin về dự án: cách cài đặt, thiết lập, các vận hành, các yêu cầu gì cần thiết của dự án hiện tại, tác giả,

22 o Wdio.config.js file thiết lập cho webdriver io Ta có thể thiết lập toàn bộ những thiết lập của webdriver io ở đây như là độ to màn hình, số lượng chrome, loại reporter, log, error,

4.1.2.1 Thông tin về who is từ whois.com/whois

Ta truy xuất thông tin whois của trang web thông qua trang web whois.com và điền địa chỉ trang web mà ta cần tìm vào thanh tìm kiếm. Để tiết kiệm thêm thời gian dành cho truy cập cũng như tải lại trang sau khi tim kiếm dữ liệu có liên quan thì tôi đã tạo một đường dẫn tuyệt đối whois.com/whois/artifact (arifact là địa chỉ trang web mà chúng ta cần lấy thông tin) dé truy cập thang đến trang đã có thông tin về who is.

Name: FACEBOOK COM Registry Domain ID: 2320948_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.registrarsafe.com

Registrar URL: https: //www.registrarsafe.com

Registrar Abuse Contact Email: abuseconplaints@registrarsafe.com

1997-@3-29T@5:00:00Z serverUpdateProhibited https: //www.icann.org/epp#serverUpdateProhibi clientDeleteProhibited https: //www.icann.org/epp#clientDeleteProhibi clientTransferProhibited https: //www.icann.org/epp#clientTransferPro serverDeleteProhibited https: //www.icann.org/epp#serverDeleteProhibi serverTransferProhibited https: //www.icann.org/epp#serverTransferPro clientUpdateProhibited https: //www.icann.org/epp#clientUpdateProhibi Registry Registrant ID:

Như trên hình 4.4 trang web cung cap đến chúng ta những thông tin look up của trang web như là: domain name (tên miễn), register domain id (id đăng ký miền), ngày cập nhật, địa chỉ liên hệ, số điện thoại, email khởi tạo miễn, vị trí của máy chủ web, quốc gia đăng ký web, tổ chức sở hữu của trang web, người quản lý, các máy chủ của trang

Name: Domain Admin Organization: Meta Platforms, Inc.

Street: 1601 Willow Rd City: Menlo Park

State/Province: CA Postal Code: 94025 Country: US

Hình 4.2 Thông tin chỉ tiết Who is của trang web facebook.com web, DNSSEC,

4.1.2.2 Thông tin về abuse IPDB từ abuseipdb.com

AbuseIPDB là một dự án nhằm đề giúp quản trị hệ thống và quản trị viên web theo dõi và báo cáo lại các địa chỉ IP mà nó có liên quan đến những hoạt động độc hại như gửi thư rác, tan công hacker, tan công DDoS

24 Để tiết kiệm thêm thời gian dành cho truy cập cũng như là tải lại trang sau khi tìm kiếm dữ liệu cần thiết thì tôi đã tạo một đường dẫn tuyệt đối abuseipdb.com/check/ip (với ip là địa chỉ trang web mà chúng ta cần lấy thông tin) để truy cập thang đến trang đã có thông tin về abuseIPDB.

45.122.249.77 was not found in our database

ISP Binh Duong Branch - CMC Telecom

Usage Type Fixed Line ISP

Country ẹ Viet Nam City Hanoi, Ha Noi

Hình 4.3 kết qua abuse ipdb của uit.edu.vn với ip là 45.122.249.77

Tir hình 4.5 ta xem được những thông tin về trang uit.edu.vn như 1a: ISP, Usage

Type, Hostname(s), Domain Name, Country, City.

4.1.2.3 Thông tin về certificate tir crt.sh

Ta có thể tìm được thông tin liên quan về tính chỉ của trang web hiện tại đang có cũng như xem chỉ tiết về tín chỉ đó gồm có những gì.

Thay vì truy cập tuần tự thì tôi tạo một đường dẫn trực tiếp crt.sh/2q=artifact (artifact là địa chỉ trang web chúng ta cần lấy thông tin) để truy cập thăng đến trang certificate.

25 erkshlD Logged At tt Not Before Not After ‘Common Name ‘Matching Identities,

18229256795 2022-12-17 2022-12-17 2023-03-17 api.mmiab.uit.edu.vn apimmlab.uit-edu.vn

8220860176 2022-12-17 2022-12-17 2023-03-17 api.mmiab.uit.edu.vn apimmlab.uit.edu.vn

8188590083 2022-12-10 2022-12-10 2023-03-10 annotation mmlab.uit.edu.vn ‘annotation.mmiab.uit.edu.vn

8120513176 2022-12-10 2022-12-10 2023-03-10 annotation mmlab.uit.edu.vn annotation mmiab.uit.edu.vn

8167499368 2022-12-08 2022-12-08 2023-03-08 nip.ult.edu.vn rip.uiteduvn

18150268834 20221208 2022-12-08 2023-03-08 nip.ult.edu.vn nip.uiteduvn

8128079289 2022-12-02 2022-12-02 2023-03-02 service aiclub.cs.uitedu.vn service.aiclub.¢s.uit.edu.vn

8108572114 2022-12-02 2022-12-02 2023-03-02 service aiclub.cs.uit.edu.vn service.aiclub.cs.uit.edu.vn

7993561936 2022-11-16 2022-11-16 2023-02-14 console-cloud.viab.vit.edu.vn cconsole-cloud.vlab.uit.edu.vn

7989964101 2022-11-16 2022-11-16 2023-02-14 consolecloud.viab.uiLedu.vn cconsole-cloud.vlab.uit.edu.vn

2846137774 2022-10-27 2022-10-27 2023-01-25 notebook uit.edu.vn notebook.uitedu.vn

2226811770 2022-10-17 2022-10-17 2023-01-18 api.mmlab.uiteduyn api.mmlab.uiLeduvn

7776807217 2022-10-17 2022-10-17 202301-15 apimmlab.uiteduvn api.mmlab.uft.eduvn.

2243047294 2022-10-11 2022-10-11 2023-01-09 annotation mmlab.uitedu.vn -annotation.mrnlabuitedu.vn

2729053610 2022-1011 2022-10-11 2023-01-09 annotation mmlab.uit.edu.vn annotation.mmiab.uit.edu.vn

7225366417 2022-10-08 2022-10-08 2023-01-06 nip.ult.edu.vn ripuiteduvn

7201887420 2022-10-08 2022-10-08 2023-07-06 nip.uil.edu.vn nlp.uiLedu.vn

7672182540 2022-10-03 2022-10-03 2023-01-01 service aiclub.cs.uit.edu.vn serfiee.aiclubes.uiteduvn

7671350888 2022-10-03 2022-10-03 2023-01-01 service alclub.cs.uit.edu.vn service.aiclub.cs.uit.edu.vn

2863358979 2022-09-17 2022-09-17 2022-12-16 console-cloud.viab.vit.edu.vn cconsole-cloud.vlab.uit.edu.vn

2862426546 2022-09-17 2022-09-17 2022-12-16 consolecloud.viab.uiLeduvn console-cloud.vlsbuitedu.vn

2448947077 2022-09-01 2022-09-01 2022-11-30 nip.uil.edu.vn nip.uiteduvn

7448936068 2022-09-01 2022-09-01 2022-11-30 nip.uit.edu.vn nip.uiteduyn

7425693135 2022-08-28 2022-08-28 2022-11-26 notebook uit.edun notebook.uitedu.vn

7425692355 2022-08-28 2022-08-28 2022-11-26 notebook uit.edu.vn notebook.uitedu.vn

Hình 4.4 một số kết quả khi tra các tín chỉ đang có của trang uit.edu.

Từ hình 4.4 ta có thể nhìn thấy được những thông tin như là id của crt, ngày khởi tao crt, tên của crt, Matching Identities,

Ngoài ra khi trỏ vào id của crt ta có thể xem chỉ tiết về crt đó

Certificate Transparency Log entries for this cerificste:

Timestamp Entry # |Log Operator Log URL

2021-07-10 oeavoturc 1021282327|Google _[hrtps:/ict googleapis.com/logs/argor2021 2021-07-10 0229.0: Tc 1097315088) Google _|hrtps./ct.googleapis.com/

Revocation Mechanism Provider Satus — ReveeadonDate Last Observed in CRL Last Checked (= ocsP The CA Chạếk 2 va Seperation ca eRL The CA (Usknown (Expired) a

7 (CRLSet/Blocklist [Google [NorRevoked n/a disalowedcert tl Microsoft Not Revoked ns

OnsCRL Mesils NotRevoked ns Certificate Fingerprints ‘SHA-256 [55 123453306726A8759935FD823206F CFEDDDGSSAE7ESAG07E499352F23A9304) SHA-1 2752E0112A001C26562F 1CE353448673091 45438)

08:8e:28:3f :fb:43:ec :7c: 1b:85:đđ:1a: 1 9e :b9:ef :e9:ce uncabint Signature Algorithm: sha256MithRSAEncryption

Real organizationNane = Let's Encrypt countryNane = US

Not Before: Jul 18 67:39:88 2021 GHT Not After : Oct 8 67:38:59 2021 GHT Subject consonNane = henccovidsafe tech4covid uit edu.vn Subject Public Key Info

Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus:

“d1:ac:64:1d:ec :6c:ba:97-1d 'c:e5:b8:đ1 :79-fb:8745 7:1e 48zfe:ce fc :2e: 1f:4f:a5:2a:c7:64:87 :cf:42:5f 23:f6 :7b: 18:38:34 sed:66 :87 c2 :ce :b3 :4f 0d

58:ác bd: Sd fe :31 -@F :24 :df:4a:2f 99:15:72

Hình 4.5 chỉ tiết về một ert id 4840954530 4.1.2.4 Thông tin về dnslytic ip từ dnslytics.com/ip

Mục tiêu đặt ra của nhà phát hình là cung cấp cho quản trị viên web, quản trị viên của hệ thống, chuyên gia pháp lý hoặc là bất kỳ ai có sự quan tâm đến thông tin họ cần để xem chỉ tiết kỹ thuật về internet, cung cấp công cụ chân đoán và hiền thị thông tin để theo dõi những kẻ gửi thư rác, tin tặc hoặc các hoạt động đáng ngờ khác.

Domain uit.edu.vn is listed in the top million list of Alexa on number 169,503 The highest ranking ever is 28,995 and was reached on 2022-02-20 It is not listed in the DMOZ directory.

This domain is hosted by CMC Telecom Infrastructure

Company (AS45903) The first DNS server is ns2.pavietnam.vn.

The current IPv4 address is 45.122.249.77 The mail server with the highest priority is aspmx.l.google.com.

Hình 4.6 kết quả của uit.edu.vn từ dnslytic

Như trên hình 4.6 ta có thể xem được đánh giá thứ hạng hiện tại của tên miền cũng như hạng cao nhất mà tên miền đạt được.

Ngoài ra còn có DNS đầu tiên của server, ipv4 hiện tại và mail server có độ ưu tiên cao nhất trong các name server là gì.

4.1.2.5 Thông tin về Grey Noise từ viz.greynoise.io/ip/

Grey Noise là một nền tảng an ninh mạng thu thập và phân tích lưu lượng quét và tan công trên toàn Internet Dữ liệu này được gửi đến thông qua API Visualizer và Grey

Noise dựa trên web dé người dùng có thé bối cảnh hóa các cảnh báo hiện có, lọc thông báo sai, xác định thiết bị xâm nhập và theo dõi các mối nguy cơ đe dọa mới nổi. Đường dẫn trực tiếp dé truy cập đến trang web là viz.greynoise.io/ip/ippage (ip page là địa chỉ truy cập ip trang web mà ta cần để trích xuất thông tin từ greynoise).

Vv lỡ T | Facebook Social Media Reasonably Ignore

DESCRIPTION Facebook is an American online social media and social networking service.

Thực nghiệm và đánh giá . - - - Sky 43 1 Kết quả khi chạy code test web saureedemo . :-ccs+ 43

4.2.1 Kết quả khi chạy code test web saurcedemo

Lệnh thực thi npx wdio spec test\specs\testWhiteBox\testSaurceDemo.js

Registry Domain ID: 2289276675_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois google.com

Registrar URL: https://domains.google.com

Registrar Abuse Contact Email: [%email@google.com

Domain Status: ok https: //www icann.org/epp#ok

Registrant Name: Contact Privacy Inc Customer 7151571251

Registrant Organization: Contact Privacy Inc Customer 7151571251

Registrant Email: https://domains.google.com/contactregistrant ?domain=saucedemo com Registry Admin ID:

Admin Name: Contact Privacy Inc Customer 7151571251

Admin Organization: Contact Privacy Inc Customer 7151571251

Hình 4.23 kết qua report whois của saucedemo.com

Usage Type Data Center/Web Hosting/Transit

Country |p: United States of America

Hình 4.24 kết qua report IPDB của saucedemo.com

Country Announced Prefix Prefix Name Prefix Description ASN ASN Description

Hình 4.25 kết qua report bgpview ip của saucedemo.com crt.sh ID Logged At fNot Before Not After Common Name Matching Identities Issuer Name saucedemo.com

8293162190 2022-12-26 2022-12-26 2023-03-26 www.saucedemo.com C=US, O=Lets Encrypt, CN=R3

8289422550 2022-12-26 2022-12-26 2023-05-26www.saucedemo.com°^U2©demo.eom C=US, O=Let's Encrypt, CN=R3

'www.saucedemo.com saucedemo.com

7844796210 2022-10-27 2022-10-27 2023-01-25 www.saucedemo.com 'C=US, O=Lets Encrypt, CN=R3

7845232281 2022-10-27 2022-10-27 2023-01-25 www.saucodomo.com"2Uc©deO©O CV O-Lot's Encrypt, CN-R3 www.saucedemo.com

7424895710 2022-08-28 2022-08-28 2022-11-26 www.saucedemo.com 965/09A C-US, O=Let's Encrypt, CN=R3 ed www.saucedemo.com

7424890539 2022-08-28 2022-08-28 2022-11-26 www.saucedemo.com S@¥edemeOM _¡ G-Let's Encrypt, CN-Rg www.saucedemo.com

7029098190 2022-06-29 2022-06-29 2022-09-27 www.saucedemo.com 2242m6 G0N LÚC O=Let's Encrypt, CN=R3 ed www.saucedemo.com

7029098865 2022-06-29 2022-06-29 2022-09-27 www.saucedemo.com S2U€@democom ——_C_Ue G1 ot's Encrypt, CN-R3 www.saucedemo.com saucedemo.com

6643726164 2022-04-30 2022-04-30 2022-07-29 www.saucedemo.com C=US, O=Lets Encrypt, CN=R3

Hình 4.26 kết quả report certificate của saucedemo.com

Top Level Domain report -> com -> saucedemo.com book saucedemo.com

Domain saucedemo.com is listed in the top million list of Alexa on number 419,665 The highest ranking ever is 113,841 and was reached on 2022-08-28 It is not listed in the

DMOZ directory This domain is hosted by Fastly, Inc (AS54113) The first DNS server is ns2.pT7.dynect.net The current IPv4 address is 185.199.108.153.

Top-level domain (TLD) com

Rank based on number of inbound links

Hình 4.27 kết qua report DNS lytic ip của saucedemo.com

Hình 4.28 kết quả report ip alyzer của saucedemo.com

FSite: https://www.saucedemo.com/

Report Time: 01 Feb 2023 09:10:57 UTC ô %Strict-Transport-Security XContent-Security-Policy

Ouch, you should work on your security posture ata immediately:

HTTP/2 200 server GitHub.com content-type text/html; charset=utf-8 x-origin-cache HIT last-modified Mon, 19 Apr 2021 09:51:46 GMT access-control-allow-origin * etag W/"607d52b2-9ba" expires Wed, 01 Feb 2023 05:45:40 GMT cache-control max-age`0 content-encoding gzip x-proxy-cache HIT x-github-request-id AFE8:7663:47D32F:529765:63D9FA6F Hình 4.29 kết qua report security header domain của saucedemo.com

Verify structure page have tags

Verify CheckOut Complete Page Correct

Total price when choise product more than 1

Add product to basket and change quantity t hen remove product and apply coupon to che ck Basket Totals price

Login success then update account detail an d login again with new password

View home page and add product to basket t hen remove and undo remove product final a pply coupon and remove coupon

Hình 4.30 kết qua report white box bang allure report của saucedemo.com

* Verify structure page have tags © #3 have form tag chrome-109.0 5414 120 5s 368ms © #4 have h1 tag chrome-109.0.5414.120 5s 369ms © #6 have header tag chrome-109.0.5414.120 5s 274ms © #7 have iframe tag chrome-109.0.5414 120 5s 327ms © #12 have section tag chrome-109.0.5414.120 5s 526ms © #13 have table tag chrome-109.0.5414 120 5s 500ms

Hình 4.31 kết qua các tagname không được tìm thấy của saucedemo.com

Check Tool Available Tool UnAvailable wapiti available golismero unavailable.

'whatweb available uniscan unavailable. nmap available xsser unavailable. host available dnswalk unavailable. wget available golismero unavailable. wafw0Of available dnsmap unavailable. dirb available. davtest available. theHarvester available. dnsrecon available. fierce available. whois available. sslyze available. tbd available.

Hình 4.32 kết quả của việc kiểm tra trạng thái tool

Total Number of Vulnerability Checks 66.

Total Number of Vulnerability Checks Skipped:17

Total Number of Vulnerabilities Detected :18.

Total Time Elapsed for the Scan : 17m 8s

Uniscan - Brutesfor Filenames on the Domai

Uniscan - Checks for LFI, RFl and RCE.

Golismero Zone Transfer - Attempts Zone Transfer.

Golismero - BruteForces for certain directories on the Dom

Golismero SSL Scans - Performs SSL related Scans.

Golismero - SQLMap [Retrieves only the DB Banner]

Golismero - Does a fingerprint on the Domain.

Uniscan - Checks for robots.txt & sitemap.,xmÌ

Uniscan - Stress Tests the Domain.

XSSer - Checks for Cross-Site Scripting [XSS] Attacks.

Golismero Nikto Scans - Uses Nikto Plugin to detect vulnerabil

Golismero - Checks ifthe domain is spoofed or hijacked.

'Golismero - BruteForces for certain files on the Domain.

'Golismero - Checks only for Heartbleed Vulnera

Uniscan - Brutes Directories on the Domain.

Nikto ~Enumerates CGI Directories Scan Completed in im 20s Host - Checks for existence of IPV6 address Scan Completed in 26s.

‘Checks for SMB Service over UDP Scan Completed in 14s

“The Harvester - Scans for emails using Google's passive search Scan

‘Completed in 325 Nikto - Checks for HTTP Options on the Domain Scan Completed in 1m 43s

‘SSLyze - Checks for Secure Renegotiation Support and Client Renegotiation Scan Completed in 8s

Nmap - Checks for IS WebDAV Scan Completed in 27s Nmap [OpenSSL CCS Injection] - Checks only for CCS Injection San Completed in 7s

Nmap - Checks for MS-SQL Server DB Scan Completed in 3s, Nmap [FTP] - Checks if FTP service is running, Scan Completed in 135, NNikto - Checks for Injectable Paths Scan Completed in Im 18s

Nmap - Checks for Remote Desktop Service over TCP Scan Completed in 3s

Nmap [LOGJAM] - Checks for LOGJAM Vulnerability Scan Completed in 24s

Hình 4.34 Một sé tool đã thực thi scan

Usage Type Data Center/Web Hosting/Transit

Hình 4.36 kết qua report IPDB cia practice.automationtesting

Country Announced Prefix Prefix Name Prefix Description ASN ASN Description ASN Name

So 2zr212000 HOSTINGER-HOSTING HOSTNGERHOSING AS47585 AS-HOSTINGER _Hostinger International Ltd

Hình 4.37 kết qua report bgpview ip của practice.automationtesting crt.sh ID Logged At {Not Before Not After Common Name Matching Identities Issuer Name ©=AT,O=ZeroSSL, CN=ZeroSSL RSA Domain 846841i813 2023-0119 2023-01-49 2028-04 19 practice automationtstingin practice.eutomationtestinging WV nna

& C=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain.

‘ " ,_ C=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain.

9005546052 2022-1118 20721†18 2023-02-16 practice automationtesting.in practice.automationtesting ino"? O=

: œ1 E ©=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain saa 1118 2022-1148 2083-02-46 practice avtomationtesting in practice automationtesting.in

Ceorteates 9903844329 2022-18 2022-18 2023-02-46 practice atondontosinginpracieo automaontosingincseu cac.

7566160389 2022-09-18 2022-09-18 2022-12-17 practice.automationtesting.in practice.automationtesting in CA, Ô-2ereSSL, CN-Zere88SL RSA an

‘Secure Site CA é C=AT, O=ZeroSSL, CN=ZeroSSL RSA Domain.

7566160204 2022-09-18 2022-09-18 2022-12- practice-automationtesting.in practce.automationtesting inc A? Q2

‘7156244164 2022-07-19 2022-07-19 2022-10-17 practice.automationtesting.in practice.automationtesting ine L, O=Zero3SL, CN=ZeroSSL RS

7156244176 2022-0719 2022-07-19 2022-10-17 practice.automationtesting.in practice.automationtesting in SÁT, ©-2ereSSL, CN ZereSSL RSA Domain

Hinh 4.38 két qua report certificates cua practice.automationtesting

61 Lordou Vyronos Lumiel Building, 4th floor Address: 6023

Hình 4.39 kết qua report IP Alyzer của practice.automationtesting

DSite: https://practice.automationtesting.in/

Report Time: 01 Feb 2023 10:00:29 UTC ô “Content-Security-Policy ô XStrict-Transport-Security

Headers: ằ %X-Content-Type-Options ô XReferrer-Policy ô XPermissions-Policy

Your site could be at risk, let’s perform a deeper security analysis of your site Probely and APIs:

HTTP/2 200 x-powered-by PHP/7.4.33 content-type text/html; charset=UTF-8 link ; rel="https://api.v link ; link ; rel=shortlink content-encoding gzip vary Accept-Encoding

Hình 4.40 kết qua report security header domain của practice.automationtesting

Verify structure page have tags

Add product to basket and change quantity t hen remove product and apply coupon to che ck Basket Totals price

Login success then update account detail an d login again with new password

View home page and add product to basket t hen remove and undo remove product final a pply coupon and remove coupon

View product detai of product in stock and pr oduct out of stock

Login and add product to basket then checko. ut and check order

Hình 4.41 kết quả report white box của practice.automationtesting

Chương 5 KET LUẬN VA HƯỚNG PHÁT TRIEN

Với sự phát triển công nghệ hiện nay đạt được nhiều thành tựu nổi bật nhằm góp phần cho cuộc sống con người ngày càng được nâng cao Vì thế việc tạo ra và phát triển ứng dụng web không còn là điều đơn giản, phải đầu tư cả về mặt con người, chỉ phí và cả thời gian để tạo những ứng dụng đề phục vụ cho các nhu cầu của con người. Để đạt được chất lượng sự cải tiến và nâng cao phần mềm như mục tiêu dé ra, bước kiểm thử phần mềm là một bước quan trọng không thê thiếu vì nó giúp nhà phát hành đảm bảo chất lượng phần mềm của họ trước khi nó đến được với tay người dùng Ở khóa luận này, em đã trình bày chỉ tiết về cách mà ta xây dựng một framework hỗ trợ kiểm thử ứng dụng web tự động từ đó giúp ta có thể nâng cao được khả năng bảo mật cũng như biết được các 16 hỗng mà trang web đang gặp từ đó hỗ trợ cho người lập trình tiết kiệm thời gian công sức đói với việc thực hiện quét 16 hong.

Những van dé đã được giải quyết trong khóa luận: e Tim hiểu về kỹ thuật KTPM,ky thuật kiểm thử web tự động và sử dụng các công cụ hỗ trợ cho kiểm thử tự động. e _ Tìm hiểu các kỹ thuật và chiến lược phù hợp dé kết hợp toàn bộ mọi thứ đã học được lại với nhau nhằm tạo ra bộ khung kiểm thử web tự động. e Triển khai được bộ khung kiểm thử tự động với các tính năng sau:

— Áp dụng được cách KTPM bằng hộp đen.

— Có thể kiểm tra hộp xám.

— Áp dụng được mô hình POM.

— Xuất được kết quả theo khuôn mẫu tạo trước.

— Sử dụng được allure report.

5.43 Khó khăn © _ Nhiều web có hạn chế số lần có thể truy cập miễn phí trong ngày. © Một số trang web bị hạn chế truy cập tự động, có capcha. e _ Những element cần tương tác nằm ân dấu bên dưới những thẻ shadow. © _ Ít bài báo có liên quan với việc kiểm thử hộp đen. © _ Việc quét các lỗ hổng của trang web còn tốn nhiều thời gian.

Với kết quả hiện tại mà tôi đã đạt được, thì vẫn còn một số mặt có thể tiếp tục phát triển Cụ thể như: © C6 thé thực hiện thu thập nhiều dữ liệu từ những nguồn cung cấp di liệu khác nhau hơn. e Phat triển thêm sự lựa chọn dữ liệu để có thé chỉ lẫy những đữ liệu cần thiết đúng theo yêu cầu. e Hoan thiện bộ white box dé có thé kiểm thử trang web day đủ hơn © _ Tối ưu bộ mã của ứng dụng dé giảm thời gian thực thi và đạt được nhiều mong đợi hơn nữa.

Ngày đăng: 02/10/2024, 05:36

HÌNH ẢNH LIÊN QUAN

Hình 2.1 Kiểm thứ bằng hộp trắng - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 2.1 Kiểm thứ bằng hộp trắng (Trang 17)
Hình 2.2. Kiểm thử bằng hộp đen. - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 2.2. Kiểm thử bằng hộp đen (Trang 18)
Hình 3.1 Mô hình co bản của hệ thống - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 3.1 Mô hình co bản của hệ thống (Trang 22)
Hình 3.2 Sơ đồ cơ bản của metadata collecter 3.2.1 Các thành phần chính của metadata collecter - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 3.2 Sơ đồ cơ bản của metadata collecter 3.2.1 Các thành phần chính của metadata collecter (Trang 24)
Hình 3.3 Sơ đồ cơ ban của module vulnerability checker - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 3.3 Sơ đồ cơ ban của module vulnerability checker (Trang 26)
Hình 3.4 sơ đồ cơ ban của module automation - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 3.4 sơ đồ cơ ban của module automation (Trang 27)
Hình 3.6 Sơ đồ của hệ thống report - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 3.6 Sơ đồ của hệ thống report (Trang 30)
Hình 4.1 Sơ đồ cây thư mục của dự án - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.1 Sơ đồ cây thư mục của dự án (Trang 33)
Hình 4.2 Thông tin chỉ tiết Who is của trang web facebook.com - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.2 Thông tin chỉ tiết Who is của trang web facebook.com (Trang 36)
Hình 4.3 kết qua abuse ipdb của uit.edu.vn với ip là 45.122.249.77 - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.3 kết qua abuse ipdb của uit.edu.vn với ip là 45.122.249.77 (Trang 37)
Hình 4.4 một số kết quả khi tra các tín chỉ đang có của trang uit.edu. - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.4 một số kết quả khi tra các tín chỉ đang có của trang uit.edu (Trang 38)
Hình 4.5 chỉ tiết về một ert id 4840954530 4.1.2.4 Thông tin về dnslytic ip từ dnslytics.com/ip - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.5 chỉ tiết về một ert id 4840954530 4.1.2.4 Thông tin về dnslytic ip từ dnslytics.com/ip (Trang 39)
Hình 4.7 kết quả web facebook.com tir Grey Noise với địa chi ip là 31.13.71.36 - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.7 kết quả web facebook.com tir Grey Noise với địa chi ip là 31.13.71.36 (Trang 41)
Hình 4.8.1 kết quả về info va owner của web uit.edu.vn từ ipalyzer - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.8.1 kết quả về info va owner của web uit.edu.vn từ ipalyzer (Trang 42)
Hình 4.8.2 kết qua về Service của web uit.edu.vn từ ipalyzer - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.8.2 kết qua về Service của web uit.edu.vn từ ipalyzer (Trang 42)
Hình 4.11 kết qua A, AAAA, MX, NS record của facebook.com - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.11 kết qua A, AAAA, MX, NS record của facebook.com (Trang 45)
Hình 4.12 kết qua SOA, CNAME, TXT của facebook.com từ SecurityTrails - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.12 kết qua SOA, CNAME, TXT của facebook.com từ SecurityTrails (Trang 46)
Hình 4.13 Một số top của web facebook.com được tim thấy bang shodan - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.13 Một số top của web facebook.com được tim thấy bang shodan (Trang 47)
Hình 4.15 một phần code của kiểm tra tagname - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.15 một phần code của kiểm tra tagname (Trang 48)
Hình 4.16 sơ đồ cơ bản cúa người dùng khi tương tác với page - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.16 sơ đồ cơ bản cúa người dùng khi tương tác với page (Trang 49)
Hình 4.18 Một san phẩm của page và thanh lọc sắp xếp sản phẩm - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.18 Một san phẩm của page và thanh lọc sắp xếp sản phẩm (Trang 51)
Hình 4.20 một số thông tin cần điền cho phần check out - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.20 một số thông tin cần điền cho phần check out (Trang 52)
Hình 4.22 Sơ đồ các trang hiện có trong practice.automationtesting - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.22 Sơ đồ các trang hiện có trong practice.automationtesting (Trang 53)
Hình 4.24 kết qua report IPDB của saucedemo.com - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.24 kết qua report IPDB của saucedemo.com (Trang 56)
Hình 4.26 kết quả report certificate của saucedemo.com - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.26 kết quả report certificate của saucedemo.com (Trang 57)
Hình 4.30 kết qua report white box bang allure report của saucedemo.com - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.30 kết qua report white box bang allure report của saucedemo.com (Trang 60)
Hình 4.32 kết quả của việc kiểm tra trạng thái tool - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.32 kết quả của việc kiểm tra trạng thái tool (Trang 61)
Hình 4.36 kết qua report IPDB cia practice.automationtesting - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.36 kết qua report IPDB cia practice.automationtesting (Trang 63)
Hình 4.39 kết qua report IP Alyzer của practice.automationtesting - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.39 kết qua report IP Alyzer của practice.automationtesting (Trang 65)
Hình 4.41 kết quả report white box của practice.automationtesting - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng bộ khung phục vụ kiểm thử ứng dụng web tự động
Hình 4.41 kết quả report white box của practice.automationtesting (Trang 67)