Báo cáo thuyết trình học phần an toàn và bảo mật hệ thống thông tin Đề tài tìm hiểu về acunetix

Acunetix - Trình quét lỗ hổng bảo mật website hiệu quả nhất hiện nay...5 Hình1.. Cho tới thời điểm hiện tại, đã có trên 6000 công ty trên toàn cầu sử dụng trình quét lỗ hổng bảo mật webs

TRƯỜNG ĐẠI HỌC KINH TẾ - ĐẠI HỌC ĐÀ NẴNG

KHOA THỐNG KÊ – TIN HỌC



BÁO CÁO THUYẾT TRÌNH HỌC PHẦN

AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN

ĐỀ TÀI: TÌM HIỂU VỀ ACUNETIX

Sinh viên thực hiện : Trần Trương Nhật Huy

Bùi Lê Khánh Vy Phạm Thị Sương

Lê Thị Phương Yến Nguyễn Vũ Nguyên Khang Ngô Ngọc Phương Uyên

Đà Nẵng, 09/2023

MỤC LỤC

MỤC LỤC HÌNH ẢNH 2

CHƯƠNG I: TÌM HIỂU VỀ CÔNG CỤ ACUNETIX 3

1 Khái niệm 3

2 Các tính năng nổi bật của Acunetix 3

2.1 Quét lỗ hổng bảo mật 3

2.2 Phần mềm Pentest 4

2.3 Tính năng bảo mật ứng dụng web 5

2.4 Quét bảo mật mạng 6

2.5 Quét lỗ hổng WordPress 6

3 Acunetix hoạt động như thế nào? 7

4 Đánh giá 10

4.1 Ưu điểm 10

4.2 Nhược điểm 10

CHƯƠNG II: HƯỚNG DẪN CÀI ĐẶT ACUNETIX 10

1 Yêu cầu hệ thống tối thiểu 10

2 Trình duyệt được hỗ trợ 11

3 Cách cài đặt Acunetix trên Windows 11

4 Cách cài đặt Acunetix trên Linux 12

5 Hướng dẫn chi tiết cài đặt Acunetix trên Kali Linux trong máy ảo VM Ware 12

CHƯƠNG III: DEMO SỬ DỤNG CÔNG CỤ ACUNETIX 14

TÀI LIỆU THAM KHẢO 14

MỤC LỤC HÌNH ẢNH Hình1 1 Acunetix - Trình quét lỗ hổng bảo mật website hiệu quả nhất hiện nay 5

Hình1 2 Pentest là một kiểu của Security Testing 6

Hình1 3 Tính năng bảo mật ứng dụng web của Acunetix rất hiệu quả 7

Hình1 4 Acunetix là công cụ cần thiết để bảo mật trình xây dựng website WordPress 8

CHƯƠNG I: TÌM HIỂU VỀ CÔNG CỤ ACUNETIX

1 Khái niệm

- Acunetix là một phần mềm/trình quét lỗ hổng bảo mật website hiệu quả và phổ biến nhất hiện nay Các lỗ hổng trên web thường gặp như SQL Injection, Cross Site Scripting,… Acunetix có kỹ thuật quét bảo mật website rất vượt trội Nó có thể phát hiện những lỗ hổng có độ phức tạp cao nhất và rất triệt để trong quá trình quét lỗi

- Trình quét lỗ hổng bảo mật Acunetix được ra mắt vào năm 2005, bởi Nick Galea Và được xây dựng tập trung phục vụ cho hệ điều hành Windows Năm

2014, Acunetix được nâng cấp với phiên bản trực tuyến và tiếp sau đó năm 2018, phiên bản dành cho hệ điều hành Linux cũng ra đời Cho tới thời điểm hiện tại, đã

có trên 6000 công ty trên toàn cầu sử dụng trình quét lỗ hổng bảo mật website này

2 Các tính năng nổi bật của Acunetix

Acunetix có rất nhiều tính năng hữu ích dành cho doanh nghiệp Nó thực sự là một công cụ tuyệt vời, giúp các doanh nghiệp có thể bảo vệ website và thông tin dữ liệu trên website của mình hiệu quả Dưới đây là tổng hợp 5 tính năng nổi bật nhất ở trình

Acunetix.

2.1 Quét lỗ hổng bảo mật

- Sự phát triển của công nghệ, đặc biệt là công nghệ điện toán đám mây giúp cho các hoạt động thông tin trở nên thuận tiện hơn, mạnh mẽ hơn Điều này cũng thu hút các hacker vào các website quan trọng Làm xuất hiện các lỗ hổng bảo mật website ngày càng gia tăng và bất cập hơn

- Mặc dù đã có rất nhiều giải pháp giúp tăng cường bảo mật ứng dụng web như: chứng chỉ SSL hay tường lửa Tuy nhiên, đó chỉ là những giải pháp căn bản Nó không thể giúp các nhà quản trị có thể phát hiện ra các lỗ hổng có mức độ tinh vi

Để làm được điều này, người ta cần phải sử dụng đến Acunetix

Hình1 1 Acunetix - Trình quét lỗ hổng bảo mật website hiệu quả nhất hiện nay

2.2. Phần mềm Pentest

- Đây là tính năng kiểm thử thâm nhập tự động từ Acunetix Nó cho phép nhân viên an ninh kiểm tra SQL injection, Cross-site Scripting và thực hiện quét tự động theo lịch trình Bên cạnh đó, Pentest cũng hỗ trợ đầy đủ cho các SPA mới nhất hiện nay

- Bằng việc kiểm thử các thâm nhập, Acunetix giúp nhân viên bảo mật hiểu và kiểm tra được các ứng dụng phụ thuộc vào các framework JavaScript Có nghĩa là

nó có thể quét mọi thứ từ những ứng dụng website được xây dựng trên nền tảng các stack truyền thống và hiện đại

- Điều tuyệt vời hơn nữa, tính năng này của Acunetix còn có thể tạo ra các báo cáo như: HIPAA, OWASP Top 10, PCI DSS,… Hơn nữa, khi người dùng phát hiện ra bất kỳ lỗ hổng bảo mật nào, các bạn có thể xuất file chung để phát hành các trình theo dõi

Hình1 2 Pentest là một kiểu của Security Testing

2.3 Tính năng bảo mật ứng dụng web

- Tính năng bảo mật ứng dụng web của Acunetix là gì? Đó là khả năng cho phép nhân viên bảo mật xác định nhanh chóng các lỗ hổng đã biết Đặc biệt, Acunetix không giới hạn các kỹ thuật kiểm thử ở hộp đen Nhờ đó, người dùng có thể dễ dàng đánh giá code ở phía máy chủ Java, PHP và ASP.net đã được thực thi

Hình1 3 Tính năng bảo mật ứng dụng web của Acunetix rất hiệu quả

2.4 Quét bảo mật mạng

- Các network perimeter không được bảo mật cũng là mục tiêu tấn công mạng, tạo

ra các lỗ hổng rò rỉ thông tin Việc sử dụng Acunetix giúp người dùng kiểm soát được các cổng mạng đang mở và những service đang hoạt động Tính năng quét bảo mật mạng của Acunetix cho phép người dùng phân tích tính bảo mật của switch, router hay bộ cân bằng tải

- Đồng thời, nó cũng có khả năng thực hiện các kiểm tra về mật khẩu yếu (POP3, Socks, SSH và Telnet, IMAP, Database server) Kiểm tra cấu hình Proxy server không hợp lệ, truy cập FTP ẩn danh hay mật mã TLS/SSL yếu

2.5 Quét lỗ hổng WordPress

- Theo thống kê, hiện tại có khoảng trên 75 triệu trang web đang sử dụng phần mềm xây dựng web WordPress Giao diện đơn giản, tiện ích giúp các việc cập nhật thông tin dữ liệu lên website của các doanh nghiệp trở nên dễ dàng hơn Điều

đó cũng khiến cho WordPress trở thành mục tiêu tấn công của các hacker

- Với Acunetix, trình quét lỗ hổng này có thể giúp người dùng phát hiện và ngăn chặn kịp thời những lỗ hổng trên WordPress Acunetix có tác dụng:

+ Sàng lọc tìm kiếm các phiên bản và bảo mật đi kèm

+ Xác định các phần mềm độc hại dưới vỏ bọc Theme và Plugin WordPress thuộc bên thứ ba

+ Kiểm tra WordPress xem có dễ bị tấn công Brute force XML-PRC không

+ Phát hiện tài khoản đăng nhập WordPress được dùng để xâm nhập vào trang web

Hình1 4 Acunetix là công cụ cần thiết để bảo mật trình xây dựng website WordPress

3 Acunetix hoạt động như thế nào?

- Theo document của Acunetix thì công cụ này được hoạt động theo luồng chính sau:

1 Acunetix DeepScan phân tích toàn bộ trang web bằng cách truy vết tất

cả các liên kết trên trang web, bao gồm các liên kết được xây dựng động bằng JavaScript và các liên kết được tìm thấy trong tệp robots.txt và sitemap.xml (nếu có) Kết quả là một bản đồ của trang web, mà Acunetix sẽ sử dụng để khởi chạy các kiểm tra được nhắm mục tiêu đối với từng phần của trang web

2 Nếu Acunetix AcuSensor Technology (kỹ thuật hỗ trợ dò quét mã nguồn của Acunetix) được cài đặt, bộ thu thập (sensor) sẽ lấy danh sách tất cả các tệp có trong thư mục ứng dụng web và thêm các tệp mà trình thu thập thông tin không tìm thấy vào đầu ra của trình thu thập thông tin Các tệp như vậy thường không được trình thu thập thông tin phát hiện vì chúng không thể truy cập được từ máy chủ web hoặc không được liên kết thông qua trang web chẳng hạn như web.config

3 Sau quá trình thu thập dữ liệu, máy quét sẽ giả lập như một hacker, tự động khởi chạy một loạt các kiểm tra lỗ hổng trên mỗi trang được tìm thấy Acunetix cũng phân tích từng trang cho những nơi có thể nhập dữ liệu và sau đó thử tất cả khả năng đầu vào độc hại Đây là Giai đoạn quét tự động Nếu AcuSensor Technology được bật, các mẫu kiểm tra lỗ hổng bổ sung sẽ được đưa ra đối với trang web

4 Các lỗ hổng được xác định được hiển thị trong Scan Result Các thông tin về lỗ hổng như data trong một request POST được sử dụng, mục bị ảnh hưởng, phản hồi HTTP của máy chủ và các thông tin khác được cung cấp chi tiết trong mỗi cảnh báo lỗ hổng Các thông tin này trong hầu hết trường hợp có thể giúp cho người quản trị có thể dựng lại kịch bản tấn công và dễ dàng vá lỗi hơn, ví dụ như trong lỗ hổng sau của một website

5 Nếu AcuSensor Technology được sử dụng, các chi tiết như số dòng mã nguồn dẫn đến lỗ hổng được liệt kê Các khuyến nghị về cách khắc phục

lỗ hổng cũng được hiển thị

6 Sau khi việc dò quét hoàn tất, Acunetix có thể tạo ra các báo cáo như Executive Summary, Developer report hay các báo cáo tuân theo các tiêu chuẩn PCI DSS hoặc ISO 270001

4 Đánh giá

4.1 Ưu điểm

- Giao diện website trực quan dễ sử dụng

- Có lượng mẫu thử khổng lồ

- Hỗ trợ phát hiện được hầu hết các lỗ hổng web phổ biến

- Báo cáo cho các lỗ hổng rất chi tiết, cụ thể

- Giữ lại lịch sử, kết quả dò quét

4.2 Nhược điểm

- Trong quá trình quét rất tốn Ram và bộ nhớ

- Khi quét trang web lớn tốn nhiều thời gian

- Là công cụ có phí, không công bố mã nguồn

- Khó để có thể nghiên cứu sâu, tận dụng những module có sẵn của nó để hỗ trợ cho viện xây dựng một công cụ của bản thân

CHƯƠNG II: HƯỚNG DẪN CÀI ĐẶT ACUNETIX

1 Yêu cầu hệ thống tối thiểu

- Hệ điều hành được hỗ trợ: Microsoft Windows 10 hoặc Windows Server

2016 R2 trở lên

*Xin lưu ý rằng:

+ Acunetix sẽ sớm ngừng hỗ trợ cho Windows 8, Windows 2012 và Windows 2012 R2 Thay vào đó, Acunetix sẽ yêu cầu Microsoft Windows

10 hoặc Windows 2016 và các phiên bản mới hơn

+ Máy tính để bàn/Máy chủ Ubuntu 18.0.4 LTS trở lên + Sử dụng máy chủ doanh nghiệp Linux 15

+ OpenSUSE Bước nhảy vọt 15.0 và 15.1

+ Phiên bản Kali Linux 2019.1 trở lên + CentOS 8 và CentOS Stream Server và Workstation (đã tắt SELinux)

+ RedHat 8 và 9 (đã tắt SELinux) + Oracle Linux 8 (đã tắt SELinux) Chúng tôi đang tích cực thử nghiệm các bản phân phối Linux khác Vui lòng cho chúng tôi biết nếu bạn có yêu cầu về các bản phân phối

cụ thể

- CPU: bộ xử lý 64-bit

- Bộ nhớ hệ thống: RAM tối thiểu 2 GB

- Dung lượng: 1 GB dung lượng ổ cứng khả dụng

Điều này không bao gồm dung lượng lưu trữ cần thiết để lưu kết quả quét, điều này sẽ phụ thuộc vào mức độ sử dụng Acunetix

Lưu ý: Acunetix Premium On-Premise không còn được hỗ trợ trên macOS Nếu bạn

đang sử dụng macOS, bạn sẽ cần chuyển sang một trong các tùy chọn sau:

- Chuyển sang Acunetix Premium trực tuyến

- Sử dụng Acunetix trên máy ảo

- Sử dụng Acunetix trên Docker

2 Trình duyệt được hỗ trợ

- Giao diện người dùng Acunetix được cung cấp thông qua máy chủ web Các trình duyệt được hỗ trợ là:

+ Firefox + Chrome + Edge + Safari

- Nếu bạn gặp phải sự cố liên quan đến trình duyệt, trước tiên hãy đảm bảo rằng bạn đang chạy phiên bản mới nhất của một trong các trình duyệt được hỗ trợ trước khi liên hệ với bộ phận hỗ trợ

3 Cách cài đặt Acunetix trên Windows

Bước 1: Tải xuống phiên bản Windows mới nhất của Acunetix từ vị trí tải

xuống được cung cấp khi bạn mua giấy phép

Bước 2: Bấm đúp vào tệp cài đặt để khởi chạy trình hướng dẫn cài đặt

Acunetix, sau đó bấm Tiếp theo khi được nhắc

Bước 3: Xem xét và chấp nhận Thỏa thuận cấp phép.

Bước 4: Cung cấp thông tin xác thực cho tài khoản người dùng Quản trị.

Chúng sẽ được sử dụng để truy cập và định cấu hình Acunetix

Bước 5: Định cấu hình cách truy cập giao diện người dùng web Acunetix

và liệu có cho phép truy cập giao diện người dùng từ xa hay không

Bước 6: Xem lại các tác vụ cài đặt, sau đó nhấp vào Cài đặt để bắt đầu cài

đặt

Bước 7: Quá trình thiết lập bây giờ sẽ sao chép tất cả các tệp và cài đặt dịch

vụ Acunetix

Bước 8: Nhấn Finish khi quá trình cài đặt hoàn tất.

4 Cách cài đặt Acunetix trên Linux

Bước 1: Tải xuống phiên bản Acunetix Linux mới nhất từ vị trí tải xuống

được cung cấp khi bạn mua giấy phép

Bước 2: Mở Terminal Window.

Bước 3: Sử dụng chmod để thêm quyền thực thi vào tệp cài đặt.

Ví dụ: chmod +x acunetix_13.0.200205121_x64.sh

4 Chạy cài đặt

Bước 5: Ví dụ: Sudo /acunetix_13.0.200205121_x64.sh

Bước 6: Nếu thiếu phần phụ thuộc, hãy tham khảo phần Ghi chú bên dưới Bước 7: Xem xét và chấp nhận Thỏa thuận cấp phép.

Bước 8: Định cấu hình tên máy chủ sẽ được sử dụng để truy cập giao diện

người dùng Acunetix

Bước 9: Cung cấp thông tin xác thực cho tài khoản người dùng Quản trị

Chúng sẽ được sử dụng để truy cập và định cấu hình Acunetix

Bước 10: Tiến hành cài đặt.

5 Hướng dẫn chi tiết cài đặt Acunetix trên Kali Linux trong máy ảo VM Ware

Bước 1: Vào máy ảo chạy hệ điều hành Kali Linux

Tiếp sau mở trình duyệt Firefox tra đường link sau:

https://drive.google.com/drive/folders/11dmQR4xk0cgvXcTOThK0qPCLwsIdOtIm?

fbclid=IwAR0kuIXV4lfmx9236OhoCzOqw-cw7eSBrz77EUIllTFFlIm6hmB8iId6EAw

Ấn tải thư mục ACUNETIX LINUX

Bước 2: Mở Home vào Downloads giải nén thư mục mới tải về

Bước 3: Mở Terminal gõ lệnh cài đặt theo thứ tự như sau:

- Is

- cd Downloads

- ls

- cd ‘ACUNETIX LINUX’

- ls

Acunetix là phần mềm scan lỗ hổng bảo mật cực mạnh trên win gần đây bản mới nhất của nó đã hỗ trợ cho linux trong bài này mình sẽ hướng dẫn các bạn cài đặt và crack phiên bản mới nhất của nó trên linux

Download bản cài đặt về bằng lệnh tải từ trang chủ

https://s3.amazonaws.com/a280ccaaf904330a389db759e6275285/

acunetix_trial.sh

Sau đó chờ cho quá trình tải về hoàn tất

CHƯƠNG III: DEMO SỬ DỤNG CÔNG CỤ ACUNETIX

TÀI LIỆU THAM KHẢO

1 https://lanit.com.vn/acunetix-la-gi.html

2 https://viblo.asia/p/gioi-thieu-cong-cu-do-quet-lo-hong-acunetix-ORNZqjDbl0n

3 https://www.studocu.com/vn/document/truong-cao-dang-kinh-te-cong-nghiep-ha-noi/ke-toan/ acunetix-web-vulnerability-scanner/34391528

4 https://www.youtube.com/watch?v=m1V1oel3qaI

5 https://linuxteamvietnam.us/cai-dat-acunetix-moi-nhat-va-crack-tren-linux/

6 https://viblo.asia/p/su-dung-acunetix-web-vulnerability-scanner-de-danh-gia-phat-hien-diem-yeu-cua-ung-dung-web-OeVKBdvJlkW

7 https://thangdx.files.wordpress.com/2015/10/vi_hdsd_acunetix.pdf