ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA TRẦN THỊ THANH THỦY ĐÁNH GIÁ ĐỘ AN TOÀN CỦA WEB SITE Chuyên ngành: Khoa học máy tính LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng năm 2011 ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc lập - Tự - Hạnh phúc -oOo - NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: TRẦN THỊ THANH THỦY MSHV: 09070466…… ……… Ngày, tháng, năm sinh: 24/02/1984 Nơi sinh: BÀ RỊA–VŨNG TÀU Chuyên ngành: Khoa học máy tính Khố: 2009 I TÊN ĐỀ TÀI : ………ĐÁNH GIÁ ĐỘ AN TOÀN CỦA WEB SITE II NHIỆM VỤ LUẬN VĂN : III NGÀY GIAO NHIỆM VỤ : IV NGÀY HOÀN THÀNH NHIỆM VỤ : V CÁN BỘ HƯỚNG DẪN : TS.NGUYỄN ĐỨC THÁI Nội dung đề cương Luận văn thạc sĩ Hội Đồng Chuyên Ngành thông qua TP HCM, ngày …… tháng …… năm 2011 CÁN BỘ HƯỚNG DẪN CHỦ NHIỆM BỘ MÔN KHOA QUẢN LÝ (Họ tên chữ ký) QUẢN LÝ CHUYÊN NGÀNH CHUYÊN NGÀNH (Họ tên chữ ký) (Họ tên chữ ký) CƠNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH Cán hướng dẫn khoa học : TS Nguyễn Đức Thái…… Cán chấm nhận xét 1: Cán chấm nhận xét 2: Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 06 tháng 09 năm 2011 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: TS Trần Văn Hoài ………………… TS Vũ Đức Lung …………………… TS Phạm Trần Vũ ………………… TS Nguyễn Đức Thái ……………… TS Nguyễn Quốc Minh …………… Xác nhận Chủ tịch Hội đồng đánh giá LV Bộ môn quản lý chuyên ngành sau luận văn sửa chữa (nếu có) Chủ tịch Hội đồng đánh giá LV   Bộ mơn quản lý chun ngành Đánh giá độ an tồn Web site LỜI CAM ĐOAN Tôi cam đoan rằng, ngoại trừ kết tham khảo từ công trình khác ghi rõ luận văn, cơng việc trình bày luận văn tơi thực chưa có phần nội dung luận văn nộp để lấy cấp trường trường khác Ngày tháng năm 2011 Trần Thị Thanh Thủy i Đánh giá độ an toàn Web site LỜI CẢM ƠN Tôi xin gởi lời cảm ơn chân thành sâu sắc đếnTS Nguyễn Đức Thái, người Thầy tận tình hướng dẫn tơi suốt q trình thực luận văn cao học tạo điều kiện để tơi hồn thành luận văn Tơi xin cảm ơn gia đình động viên tạo điều kiện tốt để tơi tiếp tục theo đuổi việc học tập nghiên cứu Tôi trân trọng dành tặng thành luận văn cho Cha Mẹ Nhờ công lao dưỡng dục Người mà chúng có thành ngày hơm Con xin hứa tiếp tục cố gắng phấn đấu để vươn cao Tơi gởi lịng tri ân đến tất bạn bè, người động viên, thăm hỏi giúp đỡ thiết thực giúp tơi hồn tất luận văn ii Đánh giá độ an tồn Web site TĨM TẮT LUẬN VĂN Các ứng dụng dựa công nghệ Web mua sắm, đấu giá trực tuyến, ngân hàng điện tử, mạng xã hội, diễn đàn thảo luận … ngày trở nên phổ biến sống Tuy nhiên, với phát triển công nghệ Web gia tăng nhanh chóng công vào ứng dụng nhằm lấy thông tin quan trọng, nhạy cảm, chí làm tê liệt hệ thống, gây thiệt hại nghiêm trọng Vấn đề an toàn ứng dụng Web dần trở nên quan trọng Ứng dụng Web phải kiểm tra phân tích an ninh nghiêm ngặt nhằm phát lỗ hổng bảo mật giảm thiểu khả bị lợi dụng, khai thác Luận văn tóm tắt ngắn gọn hình thức công phổ biến ứng dụng Web với phương pháp loại bỏ lỗ hổng bảo mật mã nguồn ứng dụng Các tiêu chí phổ biến việc đánh giá độ an toàn ứng dụng Web số hướng tiếp cận phân tích tìm kiếm lỗ hổng bảo mật tình hình phát triển cơng cụ phân tích, tìm kiếm lỗ hổng bảo mật tự động trình bày luận văn Luận văn hướng đến việc xây dựng giải pháp hỗ trợ cho q trình đánh giá độ an tồn ứng dụng Web thực ứng dụng cụ thể Ứng dụng cho phép tìm kiếm, phát lỗ hổng phổ biến cách tự động thông qua cơng cụ sẵn có, đồng thời hỗ trợ chun gia bảo mật q trình phân tích mã nguồn, quản lý lỗi, đánh giá mức độ rủi ro lỗ hổng iii Đánh giá độ an toàn Web site ABSTRACT The Web-based enterprise applications, such as e-commerce, online banking, online auction, social network, forum…, has been more and more popular in our modern activities However, along with the improvement of Web technology, there has been a dramatically increase in attacks that target at these applications Web vulnerabilities may result in stealing of sensitive and confidential data, affect the application or take millions of dollars in damages The security of Web application has become increasingly important These have to strictly sanitize and analyze in security in order to be protected against vulnerabilities and exploitations This article will give a brief review of the major security vulnerabilities found in nowadays Web applications and how to hunt them down at the source code itself Then this will present common criteria in Web security assessment, but also the approaches to find out the security flaws The discussion is focuses on a state of development of automated Web application security tools The purpose of this article is to propose a solution to support the assessing Web application security process and to implement it in an application which could find out the vulnerabilities by using availability Web application security tools, import the results from the others It also supports security experts and consultants in vulnerability management and evaluation iv Đánh giá độ an toàn Web site MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii TÓM TẮT LUẬN VĂN iii ABSTRACT iv MỤC LỤC v DANH MỤC HÌNH .viii DANH MỤC BẢNG ix Chương GIỚI THIỆU ĐỀ TÀI 1.1 Lý thực đề tài 1.2 Mục tiêu giới hạn đề tài 1.3 Tóm lượt kết đạt 1.4 Cấu trúc luận văn Chương CƠ SỞ LÝ THUYẾT 2.1 Các hình thức cơng phổ biến ứng dụng Web 2.1.1 Cố tình thay đổi nội dung liệu đầu vào từ phía người dùng 2.1.2 Khai thác việc không kiểm tra liệu đầu vào 2.1.3 Các hình thức cơng khác 14 2.2 Phương pháp loại bỏ lỗ hổng bảo mật mã nguồn ứng dụng 16 2.2.1 Rà soát mã nguồn tay 17 2.2.2 Thâm nhập ứng dụng thử nghiệm 17 2.2.3 Phân tích mã nguồn tự động 19 2.2.4 Các mặt hạn chế phân tích tĩnh phân tích động 20 2.3 Các phương pháp phân tích tĩnh 21 2.3.1 Phân tích luồng điều khiển dịng liệu 21 2.3.2 Phân tích dịng liệu mơ hình Tainted Mode 22 v Đánh giá độ an toàn Web site 2.3.3 So trùng mẫu chuỗi 25 2.4 Các tiêu chí đánh giá độ an tồn ứng dụng Web 26 2.4.1 Hệ thống đánh giá độ an toàn ứng dụng Web – CCWASPSS 26 2.4.2 Cơng thức tính điểm CCWAPSS 27 2.4.3 Các tiêu chí đánh giá CCWAPSS 30 2.4.4 Nhận xét 33 Chương CÁC CƠNG TRÌNH LIÊN QUAN 34 3.1 Các hướng tiếp cận, phân tích, tìm kiếm lỗ hổng bảo mật 34 3.2 Một số cơng cụ phân tích tự động 36 3.3 Nhận xét 40 Chương GIẢI PHÁP ĐỀ NGHỊ 42 4.1 Tiêu chí lựa chọn cơng cụ phân tích mã nguồn tự động 42 4.2 Giải pháp đề nghị 43 4.2.1 Hướng tiếp cận 43 4.2.2 Công cụ phân tích mã nguồn tự động – Yasca 44 4.3 Kịch yêu cầu công cụ 46 4.3.1 Các kịch 46 4.3.2 Yêu cầu công cụ 47 Chương HIỆN THỰC 48 5.1 Đặc điểm 48 5.2 Kiến trúc tổng quát 49 5.3 Cấu trúc liệu 52 5.4 Các giao diện 53 Chương KẾT LUẬN 58 6.1 Tổng kết 58 6.2 Những đóng góp đề tài 59 6.3 Những mặt hạn chế hướng phát triển 59 TÀI LIỆU THAM KHẢO 61 PHỤ LỤC 64 vi Đánh giá độ an toàn Web site Hướng dẫn cài đặt sử dụng chương trình 64 A Điều kiện để thực thi chương trình 64 B Biên dịch chỉnh sửa chương trình 64 C Thực thi kết thúc chương trình 65 D Quản lý lỗ hổng 66 E Tìm kiếm lỗ hổng thông qua plugin Yasca 68 F Đọc kết từ bên vào thông qua file XML 69 G Đánh giá độ an tồn với tiêu chí CCWAPSS 72   vii Đánh giá độ an toàn Web site Chương KẾT LUẬN Chương đưa tổng kết, nhận xét kết đạt hướng phát triển tương lai đề tài 6.1 Tổng kết Phần lớn cơng cụ phân tích mã nguồn tự động tập trung hỗ trợ việc tìm kiếm các lỗ hổng phổ biến, khai thác việc không kiểm tra liệu nhập vào người dùng Quá trình đánh giá độ an tồn ứng dụng Web ln địi hỏi phải có can thiệp người việc phát lỗi logic nghiệp vụ, mang tính ngữ nghĩa, phức tạp xác định mức độ rủi ro, thiệt hại gây ra, mức độ tác động đến ứng dụng lỗ hổng bảo mật Thừa kế từ nghiên cứu trước, đề tài phát triển xây dựng giải pháp hỗ trợ trình đánh giá độ an tồn ứng dụng Web thực ứng dụng cụ thể Ứng dụng cho phép khả tìm kiếm tự động lỗ hổng bảo mật phổ biến dựa công cụ phân tích mã nguồn Yasca Ứng dụng cịn cho phép nhận vào kết từ báo cáo công cụ phân tích tự động khác Người dùng thêm vào cơng cụ tìm kiếm chức đặc thù riêng nhờ vào chế mở rộng plugin ứng dụng Dựa việc so trùng phương pháp công kiểu phân loại lỗ hổng, kết phân loại, đánh giá sơ ban đầu hồn tồn chỉnh sửa theo ý muốn người sử dụng 58 Đánh giá độ an toàn Web site 6.2 Những đóng góp đề tài Các đóng góp quan trọng đề tài bao gồm: 1) Xây dựng giải pháp cho q trình đánh giá độ an tồn ứng dụng Web thực cơng cụ có khả cập nhật, thay đổi, quản lý thông tin lỗ hổng bảo mật 2) Dự đoán nguyên nhân gây lỗi, biện pháp khắc phục, đặc biệt dự đoán mức độ rủi ro, ảnh hưởng lỗ hổng đến ứng dụng làm sở cho việc đánh giá sơ độ an toàn ứng dụng Web theo tiêu chí CCWAPSS Bên cạnh đó, đề tài thành công việc thực tiền điều kiện cho hoạt động giải pháp, bao gồm:  Xây dựng công cụ hỗ trợ việc quản lý lỗ hổng bảo mật ứng dụng Web  Chuyển đổi kết báo cáo cơng cụ phân tích tự động theo chuẩn định dạng trước liệu chương trình  Xây dựng khung framework có khả mở rộng, tạo mơi trường thuận lợi, linh hoạt cho việc thay đổi, thêm/bớt khối chức theo nhu cầu riêng  Xây dựng tiên đoán nguyên nhân gây lỗi, mức độ rủi ro cập nhật thơng tin lỗ hổng cách dễ dàng  Hiện thực phương pháp đánh giá sơ độ an toàn ứng dụng Web theo tiêu chí CCWAPSS 6.3 Những mặt hạn chế hướng phát triển Đề tài xây dựng ứng dụng có khả tìm kiếm, phát lỗ hổng phổ biến cách tự động thông qua cơng cụ sẵn có, đồng thời hỗ trợ q trình phân tích mã nguồn, quản lý lỗi, đánh giá mức độ rủi ro an toàn chuyên gia bảo mật Tuy nhiên, ứng dụng tập trung vào việc quản lý lỗ 59 Đánh giá độ an toàn Web site hổng bảo mật đánh giá mức độ rủi ro thông qua bảng phân loại, đặc tả chúng Phần phân tích mã nguồn tự động cịn phụ thuộc vào cơng cụ mã nguồn mở Yasca Ứng dụng hỗ trợ yếu tố người trình đánh giá mức độ cho phép người dùng quản lý lỗi tìm được, xem xét, thay đổi trạng thái, rủi ro độ ưu tiên chúng Trong tương lai, đề tài cịn nhiều hướng phát triển để hồn thiện sau:  Sử dụng kỹ thuật phân tích mã nguồn để hỗ trợ q trình rà soát mã nguồn tay dễ dàng cách cung cấp lược đồ thể gọi hàm lớp, mối quan hệ đối tượng, lược đồ thể dòng chảy liệu, luồng điều khiển ứng dụng  Cho phép người sử dụng sửa chữa lỗi bảo mật mã nguồn ứng dụng Web đồng thời tự động cập nhật lại thông tin lỗ hổng liên quan  Hồn thiện phương pháp phân tích, tìm kiếm lỗ hổng bảo mật nhằm tìm lỗ hổng phức tạp, địi hỏi phải có can thiệp người chưa tìm thấy cơng cụ phổ biến mã nguồn ứng dụng (các lỗi liên quan đến logic ứng dụng, vấn đề phân quyền, quản lý session, tính riêng tư liệu người dùng,…)  Khả đọc hiểu, chuyển đổi báo cáo kết từ cơng cụ phân tích tự động khác Ứng dụng nhận vào báo cáo định dạng XML theo chuẩn đưa trước  Đưa thêm vào phương pháp đánh giá độ an toàn ứng dụng Web CCWAPSS nhằm tạo thêm lựa chọn cho người sử dụng  Tích hợp với cơng cụ tìm kiếm, phát lỗ hổng bảo mật trình thiết kế ứng dụng Web 60 Đánh giá độ an toàn Web site TÀI LIỆU THAM KHẢO [1] Open Web Application Security Project OWASP Top 10-2010,The ten most critical Web application security risks http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project [2] Open Web Application Security Project WebScarab http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project [3] M Curphey, A Wiesmann, A Van der Stock, and R Stirbei Open Web Application Security Project A guide to building secure Web applications http://sourceforge.net/projects/owasp/files/Guide/2.0.1/OWASPGuide2.0.1.pdf/dow nload [4] Open Web Application Security Project OWASP Application Security Verification Standard 2009 – Web application standard http://www.owasp.org/index.php/ASVS [5] Open Web Application Security Project What is a Web application? http://www.owasp.org/tutorials/webapps.shtml [6] Ethical Hacking and Countermeasures Version Web application vulnerabilities CEHv6 Module 17 [7] A Petukhov, and D Kozlov Detecting security vulnerabilities in Web applications using dynamic analysis with penetration testing, In  OWASP AppSec Europe 2008 AppSecEU08, Belgium, 2008 [8] S Bandhakavi, P Bisht, P Madhusudan, and V N Venkatakrishnan CANDID: Preventing SQL injection attacks using dynamic candidate evaluations In Proceedings of the ACM Conference on Computer and Communications Security (CCS), Virginia, USA, 2007, pp 12-24 [9] M Cova, V Felmetsger, and G Vigna Testing and analysis of Web services Springer 2007 61 Đánh giá độ an toàn Web site [10] Z Su and G Wassermann The essence of command injection attacks in Web applications In Proceeding of Annual Symposium on Principles of Programming Languages (POPL), 2006, pp 372-382 [11] Y Xie, A Aiken, Static detection of security vulnerabilities in scripting languages, In Proceedings of the 15th USENIX Security Symposium, 2006, pp 179192 [12] N.-T Anh, S Guarnieri, D Greene, J Shirley, and D Evans Automatically hardening Web applications using precise tainting In IFIP Security Conference 2005, 2005 [13] V Haldar, D Chandra, and M Franz Dynamic taint propagation for Java In Proceedings of the 21st Annual Computer Security Applications Conference, 2005 [14] W Halfond and A Orso AMNESIA: Analysis and monitoring for neutralizing SQL injection attacks In Proceedings of the 20th IEEE/ACM International Conference on Automated Software Engineering, California, USA, 2005, pp 174183 [15] Y.W Huang, C.T Tsai, T.P Lin, S.K Huang, D.T Lee, and S.Y Kuo A testing framework for Web application security assessment In Journal: Computer Networks: The International Journal of Computer and Telecommunications Networking - Web security, Volume 48 Issue 5, 2005, pp 739-761 [16] V Livshits and M Lam Finding security vulnerabilities in Java applications with static analysis In Proceedings of the 14th USENIX Security Symposium, 2005, pp 271-286 [17] Y.W Huang, F Yu, C Hang, C.H Tsai, D Lee, and S.Y Kuo Securing Web application code by static analysis and runtime protection In Proceedings of the 13th ACM International World Wide Web Conference, 2004, pp 40-52 [18] Y.W Huang, F Yu, C Hang, C.H Tsai, D.T Lee, and S.Y Kuo Verifying Web applications using bounded model checking In Proceedings of the 2004 International Conference Dependable Systems and Networks (DSN2004), Italy, 2004 [19] D Scott, and R Sharp Abstracting application-level Web security In The 11th International Conference on the World Wide Web, Hawaii, 2002, pp 396-407 62 Đánh giá độ an toàn Web site [20] L Auronen Tool-based approach to assessing Web application security Seminar on Network Security, 2002 [21] D Scott, and R Sharp Developing secure Web applications In IEEE Internet Computing 6, 2002, pp 38-45 [22] D Ragle Introduction to Perl's taint mode http://www.webreference.com/programming/perl/taint [23] ParosProxy http://www.parosproxy.org/index.shtml [24] Acunetix Team White paper The importance of Web application scanning 2005, www.acunetix.com/websitesecurity/webappsecuritywhitepaper.pdf [25] Ounce Labs Inc’s White paper The dirty dozen: The top Web application vulnerabilities and how to hunt them down at the source [26] The Web Application Security Consortium WASC Web application security statistics, http://projects.webappsec.org/w/page/13246989/Web-ApplicationSecurity-Statistics [27] Open Web Application Security Project OWASP code review guide Version 1.1, 2008 [28] G McGraw, Building security in: Static analysis for security [29] T Hofer, Evaluating Static Source Code Analysis Tools, Luận văn Thạc sĩ ngành khoa học máy tính, 2010 [30] F Charpentier, Common Criteria Web Application Security Scoring – CCWASS, white paper [31] http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html,ngày 07/06/2011 [32] Homeland Security, Software Security Assessment Tools Review, 2010 [33] http://en.wikipedia.org/wiki/Model-view-controller, ngày 20/06/2011 [34] http://sourceforge.net/projects/opendbcopy/, ngày 20/06/2011 63 Đánh giá độ an toàn Web site PHỤ LỤC Hướng dẫn cài đặt sử dụng chương trình A Điều kiện để thực thi chương trình Chương trình chạy mơi trường Java phiên 1.5 trở lên Các gói Java Runtime Environment Developer Kit 1.5 tải địa http://www.oracle.com/technetwork/java/index.html Ngồi ra, chương trình cịn yêu cầu hệ thống cài đặt hệ quản trị sở liệu MySQL đăng nhập với tài khoản “sa” mà không cần mật MySQL tải http://dev.mysql.com/downloads/mysql/ Để thực thi plugin Yasca, người dùng phải đảm bảo cài đặt thực thi thành công công cụ Yasca theo hướng dẫn http://yasca.org B Biên dịch chỉnh sửa chương trình Phần source code chương trình nằm thư mục source/workspace/sca/ Thư mục workspace thư mục làm việc Eclipse, có sẵn thư viện SWT, project SWT project sca tích hợp vào SWT Mặc dù viết Java, SWT chạy hệ điều hành khác cần phải có gói jar thích hợp nên cần phải biên dịch lại Chương trình compile sẵn chạy mơi trường Window, kiểm tra hệ điều hành Window XP SP3, CPU Pentium D 2.0GHz, RAM 1.5G Khi biên dịch lại khơng có u cầu đặc biệt phần cứng, ngoại trừ khoảng 400MB dung lượng đĩa cứng để cài đặt thêm IDE Eclipse phiên 3.3 trở lên Để tích hợp SWT vào project Eclipse, vui lịng xem thơng tin http://wiki.eclipse.org/FAQ_How_do_I_configure_an_Eclipse_Java_project_to_use 64 Đánh giá độ an toàn Web site _SWT%3F Cách biên dịch chương trình stand-alone với SWT Eclipse hướng dẫn địa http://wiki.eclipse.org/FAQ_How_do_I_create_an_executable_JAR_file_for_a_stan d-alone_SWT_program%3F Để triển khai chương trình, sử dụng ant build có sẵn workspace để tạo gói sca.jar chép vào thư mục Deploy\Demo\lib Ngồi ra, cần lưu ý công cụ Yasca thực thi mơi trường Window Vì chương trình biên dịch chạy Unix không sử dụng plugin Yasca C Thực thi kết thúc chương trình Để thực thi chương trình, nhấp đơi vào tập tin start.bat thư mục Deploy\Demo\bin Chương trình khởi động lên với sau: Hình C.1: Giao diện quản lý dự án 65 Đánh giá độ an tồn Web site Thơng tin q trình thực thi lưu log file thư mục sca thư mục home người dùng (thường C:\Documents and Settings\[tài khoản Window]\.sca) Để cấu hình thực thi plugin, chọn plugin tương ứng “Plugin” menu Để quay lại hình chính, chọn “Project management” menu Chương trình kết thúc lúc cách tắt cửa sổ chương trình (nhấn vào nút “X” phía bên phải cửa sổ) nhấn tổ hợp phím CTRL-C Nếu chương trình kết thúc plugin chưa thực thi xong, liệu không lưu database (các transaction thư viện Hibernate quản lý) Nếu plugin Yasca gọi tiến trình thực thi Yasca tiến trình chưa trở về, kết thúc chương trình đột ngột dẫn đến việc phải kết thúc tiến trình Yasca tạo tiến trình php tay thơng qua chương trình Task Manager lệnh kill D Quản lý lỗ hổng Trên giao diện chương trình, người dùng xem thống kê dự án có mã nguồn cần đánh giá cách chọn dự án tương ứng danh sách bên trái Người dùng tạo xóa dự án với nút “New” “Delete” Để xem thông tin chi tiết lỗ hổng, nhấn nút “Details” 66 Đánh giá độ an tồn Web site Hình D.2: Thơng tin chi tiết lỗ hổng Các lỗ hổng gom nhóm theo mức độ nghiêm trọng (Severity) Critical, High, Warning, Low Informational Nội dung file lỗi hiển thị để review, khơng thể edit Dịng lệnh nghi ngờ gây lỗi tơ màu vàng hình Người dùng thay đổi thơng tin lỗ hổng lựa chọn danh sách bên trái Status (New, Ignored Fixed), Severity, Business Impact (High Low), mơ tả, thích lỗ hổng Việc thay đổi có hiệu lực sau nhấn nút “Save” Để xóa lỗ hổng lựa chọn, nhấn nút “Delete” Để thêm lỗ hổng mới, nhấn nút “New”, nhập thông tin cần thiết nhấn “Save” Lỗ hổng thêm vào danh sách tương ứng 67 Đánh giá độ an tồn Web site Hình D.3: Tạo lỗ hổng E Tìm kiếm lỗ hổng thông qua plugin Yasca Để hỗ trợ việc tìm kiếm lỗ hổng bảo mật cách tự động, chương trình sử dụng cơng cụ mã nguồn mở Yasca Chọn menu “Plugin” -> “Yasca” -> “Scan” Trên hình, chọn option tương ứng với plugin sử dụng Yasca (các plugin phải cài đặt sẵn q trình cài đặt Yasca trước đó) Sau nhấn “Browse” để định thư mục cài đặt file thực thi Yasca Nhấn “Scan” để thực thi Yasca scan dự án chưa import kết scan qua trước đó, dự án bị xóa hết kết Việc tìm kiếm kết thúc log console xuất dòng sau: INFO 2011-07-14 01:39:49,421 : Importing finished 68 Đánh giá độ an toàn Web site INFO 2011-07-14 01:39:49,484 : Execution done (Total execution time 00:01:29:063) Các lỗ hổng tìm tự lưu vào sở liệu Hình E.4: Plugin Yasca Thời gian thực thi plugin Yasca phụ thuộc vào kích thước mã nguồn cần quét cơng cụ tích hợp bên Yasca Khi tiến trình gọi Yasca đợi thời gian quy định, kết thúc tự quay Tuy nhiên, người dùng phải tự kết thúc tiến trình khác Yasca tạo (như php, PMD) tay F Đọc kết từ bên vào thơng qua file XML Ngồi ra, chương trình cịn hỗ trợ việc đọc kết từ bên vào thông qua file XML Chọn menu “Plugin” -> “Import vulnerabilities” Màn hình xuất sau: 69 Đánh giá độ an tồn Web site Hình F.5: Giao diện đọc kết từ file File kết yêu cầu có định dạng sau: ]> Hình F.6: Định dạng file kết 70 Đánh giá độ an toàn Web site Người dùng thay tên thẻ tag số trường giá trị tag file kết cách đưa vào file CDATA có định dạng bên Các thẻ tag để trống lấy giá trị mặc định new_tag_plugin_name new_tag_filename_name new_tag_category_name new_tag_category_link_name new_tag_severity_name new_tag_severity_description_name new_value_critical new_value_high new_value warning new_value_low new_value_informational new_tag_source_name new_tag_line_number_name new_tag_source_context_name new_tag_status_name new_value_new new_value_fixed new_value_ignored new_tag_impact_name new_value_high new_value_low new_custom Hình F.7: Định dạng file CDATA Sau chọn file CDATA, chương trình hiển thị tag name value dựa CDATA cho người dùng xem lại chỉnh sửa cần thiết Các giá trị text field sử dụng để phân tích file kết Tương tự plugin Yasca, plugin import đọc kết vào dự án chưa scan import kết trước đó, dự án bị xóa hết kết 71 Đánh giá độ an toàn Web site G Đánh giá độ an tồn với tiêu chí CCWAPSS Trên menu “Plugin” chọn “CCWAPSS” Nếu dự án có kết , chương trình tự động dự đốn điểm đánh giá theo tiêu chí CCWAPSS với giá trị mặc định Người dùng thay đổi đánh giá yêu cầu tính lại điểm cách nhấn “Calculate” lưu đánh giá với nút “Save” Đối với dự án chưa có kết quả, chương trình cho phép người dùng nhập vào đánh giá cho dự án, tính điểm lưu lại kết Hình G.8: Giao diện đánh giá CCWAPSS   72 ... Mode 22 v Đánh giá độ an toàn Web site 2.3.3 So trùng mẫu chuỗi 25 2.4 Các tiêu chí đánh giá độ an toàn ứng dụng Web 26 2.4.1 Hệ thống đánh giá độ an toàn ứng dụng Web – CCWASPSS... thời gian công sức đầu tư 25 Đánh giá độ an toàn Web site để thu kết lợi hẳn phương pháp trình bày 2.4 Các tiêu chí đánh giá độ an tồn ứng dụng Web 2.4.1 Hệ thống đánh giá độ an toàn ứng dụng Web. .. ứng dụng Web cách tự động, hỗ trợ người sử dụng quản lý lỗ hổng, đánh giá sơ ban đầu mức độ rủi ro ảnh hưởng, tác động chúng đến ứng dụng mức độ an toàn ứng dụng Đánh giá độ an toàn Web site 1.4