HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần : An tồn mạng Bài báo cáo: Tìm hiểu cơng cụ OWASP ZAP Cài đặt quét số lỗ hổng phổ biến Giảng viên hướng dẫn: Sinh viên thực hiện: Mã sinh viên: Nhóm học phần: Email: TS Đặng Minh Tuấn Hồng Quế Long B18DCAT141 Nhóm 02 longhq.B18AT141@ stu.ptit.edu.vn Hà Nội, 12/2021 Mục lục Danh mục hình vẽ Danh mục từ viết tắt giải nghĩa LỜI MỞ ĐẦU Chương Kiểm thử bảo mật Một số kiến thức bản: Kiểm thử xâm nhập: Quá trình kiểm thử xâm nhập: Chương Cơng cụ chẩn đốn bảo mật OWASP ZAP Giới thiệu: Cài đặt cấu hình ZAP: Duy trì phiên: Giao diện ZAP máy tính: 10 Quét chế độ tự động: 12 Quét ứng dụng cách thủ công: 13 Các tính bổ sung: 16 Chương Thực hành với ZAP công số lỗ hổng OWASP 17 Cấu hình ZAP quét số trang web: 17 Tấn công lỗ hổng IDOR: 19 Tấn công vào JWT: 22 Chương Đánh giá OWASP ZAP 27 Một số ưu điểm, nhược điểm ZAP: 27 So sánh với công cụ Burp Suite: 28 Kết luận: 29 Tài liệu tham khảo 30 Danh mục hình vẽ Hình Vị trí ZAP Hình ZAP kết nối với Proxy mạng Hình Các phiên ZAP cho HĐH Hình Phiên ZAP Docker Hình Duy trì phiên ZAP 10 Hình Không gian làm việc ZAP 11 Hình Quét tự động 12 Hình Các cờ trạng thái 13 Hình Quét thủ công 14 Hình 10 Hiển thị cảnh báo trình duyệt 16 Hình 11 Quản lí tiện ích bổ sung 16 Hình 12 Thiết lập Proxy 17 Hình 13 Quét trang web demo.owasp-juice.shop 18 Hình 14 Các thông tin trang web 18 Hình 15 Các trạng thái rủi ro 19 Hình 16 Đăng nhập thành công 20 Hình 17 Các thông tin trả 21 Hình 18 Thông tin người dùng khác 21 Hình 19 Trang bình chọn 23 Hình 20 Cookie access token có 24 Hình 21 Thay đổi "alg" 24 Hình 22 Thay đổi "admin" 25 Hình 23 Access token Send 25 Hình 24 Kết trả 26 Hình 25 Kết trang bình chọn 26 Danh mục từ viết tắt giải nghĩa ZAP OWASP Pentesting EC AJAX HUD JWT API IANA IDOR Zed Attack Proxy The Open Web Application Security Project Penetration Testing Electronic Commerce Asynchronous JavaScript And XML Heads Up Display JSON Web Token Application Programming Interface Internet Assigned Numbers Authority Insecure Direct Object Reference Dự án Bảo mật Ứng dụng Web Mở Kiểm thử xâm nhập Thương mại điện tử JavaScript XML không đồng Hiển thị cảnh báo Mã thông báo web JSON Giao diện lập trình ứng dụng Tổ chức cấp phát số hiệu Internet Tham chiếu đối tượng trực tiếp khơng an tồn LỜI MỞ ĐẦU CNTT đóng vai trị quan trọng chiến lược cạnh tranh phát triển doanh nghiệp (DN) Tuy vậy, với phát triển, doanh nghiệp phải đối mặt với nguy bị công từ chối dịch vụ, thay đổi nội dung trang web, lấy trộm thông tin sở liệu… gây thiệt hại nặng nề tài uy tín DN Khi bạn team mình develop ứng dụng Web thì bạn có biết là, ứng dụng Web có biện pháp bảo mật hay chưa không ? Nếu lỗ hổng tồn ứng dụng web bạn, thì dễ phát sinh trường hợp trang web bạn bị giả mạo, bị đánh sập, chí bị rị rỉ thơng tin cá nhân Ví dụ dễ hiểu là, hình dung trường hợp site EC công ty mà bị sập thì ta hiểu vấn đề nghiêm trọng Tuy nhiên, đáng tiếc lại thường lỗ hổng ứng dụng Web mà xây dựng lên Nếu trước công tin tặc đa phần muốn thể khả thì nay, công dịch chuyển sang mục tiêu tài chính, trị Vì vậy, yêu cầu bảo mật cho hệ thống ngày quan tâm sâu sắc, trở thành ưu tiên đầu tư hàng đầu DN quan phủ thời gian gần Ở này, mình muốn giới thiệu công cụ chẩn đoán bảo mật "OWASP ZAP" Bằng cách sử dụng OWASP ZAP, bạn kiểm tra lỗ hổng ứng dụng web Và quan trọng là, bạn hoàn toàn sử dụng miễn phí Chương Kiểm thử bảo mật Một số kiến thức bản: Kiểm thử bảo mật phần mềm trình đánh giá thử nghiệm hệ thống để phát rủi ro lỗ hổng bảo mật hệ thống liệu Đánh giá việc phân tích phát lỗ hổng bảo mật mà không cố gắng thực khai thác lỗ hổng đó, thử nghiệm việc phát cố gắng khai thác lỗ hổng Kiểm thử bảo mật thường chia nhỏ ra, tùy theo loại lỗ hổng kiểm tra loại kiểm tra thực Phổ biến là: • Đánh giá lỗ hổng bảo mật - Hệ thống quét phân tích vấn đề bảo mật • Kiểm thử thâm nhập - Hệ thống trải qua trình phân tích cơng từ cơng độc hại mơ • Kiểm thử thời gian chạy - Hệ thống trải qua trình phân tích kiểm tra bảo mật từ người dùng cuối • Đánh giá mã nguồn – Mã nguồn hệ thống trải qua trình xem xét phân tích chi tiết, tìm kiếm cụ thể lỗ hổng bảo mật Lưu ý đánh giá rủi ro, thường liệt kê phần kiểm tra bảo mật, không bao gồm danh sách Đó vì đánh giá rủi ro thực kiểm tra mà phân tích mức độ nghiêm trọng nhận thức rủi ro khác (bảo mật phần mềm, bảo mật nhân sự, bảo mật phần cứng, v.v.) bước giảm thiểu rủi ro Kiểm thử xâm nhập: Kiểm thử thâm nhập (pentesting) thực thể người kiểm tra kẻ cơng bên ngồi với mục tiêu, đột nhập vào hệ thống đánh cắp liệu thực số loại công từ chối dịch vụ Pentesting có lợi xác vì có kết giả (kết báo cáo lỗ hổng thực không xuất hiện), tốn thời gian để chạy Pentesting sử dụng để kiểm tra chế phòng thủ, xác minh kế hoạch phản ứng xác nhận việc tuân thủ sách bảo mật Tự động pentesting phần quan trọng xác thực nguyên vẹn liên tục Nó giúp phát lỗ hổng hồi quy cho lỗ hổng trước mơi trường thay đổi nhanh chóng q trình phát triển mang tính cộng tác phân phối cao Quá trình kiểm thử xâm nhập: Cả hai phương pháp pentesting thủ công tự động sử dụng, thường kết hợp với nhau, để kiểm tra thứ từ máy chủ, đến mạng, thiết bị, đến điểm cuối Ở đây, tập trung vào ứng dụng web trang web pentesting Pentesting thường diễn theo giai đoạn sau: • Khám phá - Người thử nghiệm cố gắng tìm hiểu hệ thống thử nghiệm Bao gồm việc cố gắng xác định phần mềm sử dụng, điểm cuối tồn tại, vá lỗi cài đặt, v.v Nó bao gồm việc tìm kiếm trang web để tìm nội dung ẩn, lỗ hổng biết dấu hiệu điểm yếu khác • Tấn cơng - Người thử nghiệm cố gắng khai thác lỗ hổng biết bị nghi ngờ để chứng minh chúng tồn • Báo cáo - Người kiểm tra báo cáo lại kết kiểm tra họ, bao gồm lỗ hổng, cách họ khai thác chúng mức độ khó khăn việc khai thác mức độ nghiêm trọng việc khai thác Mục tiêu cuối pentesting tìm kiếm lỗ hổng để giải lỗ hổng Nó xác minh hệ thống không dễ bị tổn thương lớp biết khiếm khuyết cụ thể; hoặc, trường hợp lỗ hổng bảo mật báo cáo sửa chữa, chắn hệ thống khơng cịn dễ bị cơng khiếm khuyết Chương Cơng cụ chẩn đốn bảo mật OWASP ZAP Giới thiệu: Công cụ chẩn đoán bảo mật "OWASP ZAP" tạo cộng đồng quốc tế có tên The Open Web Application Security Project (OWASP) OWASP điều hành tổ chức có tên The OWASP Foundation (Quỹ OWASP) Hoa Kỳ thành lập vào năm 2001 Ngày thì có 200 chi nhánh khắp giới Tại Nhật Bản có OWASP Nhật Bản Mục đích The OWASP Foundation bảo vệ ứng dụng Web, vì thành viên OWASP thực 120 dự án Và OWASP ZAP tool tạo bên 120 dự án đó, kiểm tra lỗ hổng ứng dụng web cách miễn phí OWASP ZAP cơng cụ miễn phí phổ biến trì trăm nghìn tình nguyện viên tồn giới Nó cơng cụ bổ ích kiểm tra bảo mật thủ cơng vì giúp tìm lỗ hỏng bảo mật website cách tự động ZAP gọi "man-in-the-middle proxy", đứng trình duyệt người test ứng dụng web, ngăn chặn kiểm trả thông điệp gửi đi, sửa đổi gửi tiếp thơng điệp đến đích Hình Vị trí ZAP Và network proxy khác sử dụng, ZAP cấu hình để connect với proxy Hình ZAP kết nối với Proxy mạng ZAP cung cấp chức cho nhiều cấp độ kỹ - từ nhà phát triển, người thử nghiệm thử nghiệm bảo mật, đến chuyên gia thử nghiệm bảo mật ZAP có phiên cho hệ điều hành Docker, vì bạn không bị ràng buộc với hệ điều hành Chức bổ sung có sẵn miễn phí từ nhiều tiện ích bổ sung ZAP Marketplace, truy cập từ bên ứng dụng khách ZAP Bởi vì ZAP mã nguồn mở, mã nguồn kiểm tra để xem xác chức triển khai Bất kỳ tình nguyện làm việc ZAP, sửa lỗi, thêm tính năng, tạo yêu cầu để đưa sửa lỗi vào dự án tác giả tiện ích bổ sung để hỗ trợ tình chuyên biệt Cài đặt cấu hình ZAP: ZAP cài đặt hầu hết hệ điều hành Windows, Linux, MacOS… có phiên hỗ trợ Docker Điều cần làm cài đặt ZAP hệ thống mà bạn định thực pentest Tải xuống trình cài đặt thích hợp từ trang Tải xuống Hình Các phiên ZAP cho HĐH Hình Phiên ZAP Docker Lưu ý ZAP yêu cầu Java 8+ để chạy Các phiên Docker không yêu cầu bạn cài đặt Java Khi trình cài đặt hoàn tất, khởi chạy ZAP đọc điều khoản cấp phép Nhấp vào Đồng ý bạn chấp nhận điều khoản ZAP hoàn tất trình cài đặt, sau ZAP tự động bắt đầu Duy trì phiên: Khi bắt đầu ZAP, bạn hỏi có muốn trì phiên ZAP hay không Theo mặc định, phiên ZAP ghi vào sở liệu HSQLDB với tên vị trí mặc định Nếu bạn khơng tiếp tục phiên, tệp bị xóa bạn khỏi ZAP Nếu bạn chọn trì phiên, thông tin phiên lưu sở liệu cục để bạn truy cập sau bạn cung cấp tên vị trí tùy chỉnh để lưu tệp Hình Duy trì phiên ZAP Mặc định, chọn No, i not want persist this session at this moment in time, sau chọn Start Phiên ZAP không lưu phiên Giao diện ZAP máy tính: Giao diện trang chủ ZAP chia thành thành phần: Thanh Menu - Cung cấp quyền truy cập vào nhiều công cụ tự động thủ công Thanh công cụ - Bao gồm nút cung cấp khả truy cập dễ dàng vào tính thường sử dụng Cửa sổ Cây - Hiển thị Trang web Tập lệnh Cửa sổ Workspace - Hiển thị yêu cầu, phản hồi tập lệnh cho phép bạn chỉnh sửa chúng Cửa sổ Thông tin - Hiển thị chi tiết công cụ tự động thủ công Chân trang - Hiển thị tóm tắt cảnh báo tìm thấy trạng thái cơng cụ 10 Chương Thực hành với ZAP công số lỗ hổng OWASP Cấu hình ZAP quét số trang web: Chọn Tools tìm đến Options, có hình khác xuất hình Tại đây, ta thiết lập Address Port Mặc định Address localhost:8080, Port 8080 Trường hợp có ứng dụng khác sử dụng cổng 8080 rồi, bạn có thẻ thay đổi cổng khác tùy ý, sử dụng Port 8088, sau lưu lại thiết lập Hình 12 Thiết lập Proxy Tiến hành quét trang web http://demo.owasp-juice.shop cách quét thủ công Nhập địa vào hộp URL chọn Launch Brower 17 Hình 13 Quét trang web demo.owasp-juice.shop Trình duyệt web với HUD nhúng bên Hình 14 Các thông tin trang web Tab history HUD trình duyệt mục Information Window hiển thị thông tin mà công cụ quét được: • Thơng tin Id trang web gửi Proxy ZAP đánh số từ 1; • Req Timestamp: thời gian Proxy u cầu thơng tin; • Method: phương thức GET, POST, PUT, DELETE, … • URL: địa trả • Code: mã thơng báo: • 200: OK- thành cơng • 400: Bad Request- u cầu khơng hợp lệ • 504: Gateway Timeout- Phản hồi khơng kịp thời • 404: Not found- Lỗi máy chủ web 18 • RTT: Round-trip time – thời gian trễ trọn vịng • Size Resp Body: Kích cỡ phản hồi • Highest Alert: Trạng thái rủi ro web, chọn tab Alerts để biết chi tiết rủi ro Hình 15 Các trạng thái rủi ro - Cross-Domain Misconfiguration : trang web bị lỗi cấu hình Chia sẻ tài nguyên nguồn gốc cheo CORS( Cross-Origin Resource Sharing) - Session ID in URL Rewrite : ID phiên bị lộ URL - Vulnerable JS Library : Lỗ hổng thư viện JS - X-Frame-Options Header Not Set: X-Frame-Options không thiết lập khiến web bị cơng Clickjacking Tấn công lỗ hổng IDOR: IDOR lỗ hổng nằm OWASP A01:2021 Broken Access Control Lỗ hổng cho phép hacker cơng theo chiều ngang, khơng có bất kì chế xác thực sử dụng tham chiếu để đọc, thay đổi hay sử dụng liệu trái phép người dùng có level Ví dụ: Website bạn có chức xem thơng tin người dùng qua định danh ID Request: GET /account/123 HTTP 1.1 Host: example.com Cookie: 19 Response: {id: 123, username: MinhTuan, Address: 13F Keangnam, } Đây liệu cá nhân mà thơng thường có tài khoản người dùng xem Nhưng Attacker thay đổi giá trị id để xem thông tin người dùng khác GET /account/124 HTTP 1.1 Host: example.com Response: {id: 124, username: Nghia, Address: Trieu Khuc, } Hay chức thêm, sửa, xóa thơng tin mà người dùng thực tài khoản người dùng khác thì gọi lỗi IDOR Kịch demo: Ta đăng nhập vào trang web lab với tài khoản mật “tom” “cat” Sau đó, ta xem thông tin tài khoản mình ZAP bắt thông tin trả lấy trường thơng tin người dùng Sau đó, thay đổi id để xem thông tin người dùng khác Hình 16 Đăng nhập thành cơng Ta thấy có địa http://localhost:8080/WebGoat/IDOR/profile trả thông tin “role”, “color”, “size”, “userID”, “name” 20 Hình 17 Các thông tin trả Ta lấy địa http://localhost:8080/WebGoat/IDOR/profile thay đổi ID trang web trả thông tin người dùng khác “Buffalo Bill” Hình 18 Thông tin người dùng khác 21 Một số cách phòng chống IDOR: - Với liệu nhạy cảm source code, config, database key, cần hạn chế quyền truy cập Các tốt cho phép IP nội truy cập liệu - Tránh để lộ key đối tượng: Trong trường hợp nêu, id đối tượng số int, hacker đoán id đối tượng khác Để phịng tránh mã hóa id, dùng GUID để làm id Hacker khơng thể dị ID đối tượng khác - Kiểm tra chặt chẽ quyền truy cập user : Nguyễn nhân lỗi IDOR nằm chế phân quyền, vì mà phát triển ứng dụng tuân thủ chặt chẽ phân quyền kiểm tra quyền truy cập tới liệu điều quan trọng Luôn kiểm tra quyền truy cập người dùng tất request Việc kiểm tra phân quyền thực phía server Tấn công vào JWT: JWT chuẩn mở (RFC 7519) định nghĩa cách nhỏ gọn khép kín để truyền cách an tồn thơng tin bên dạng đối tượng JSON Thơng tin xác minh đáng tin cậy vì có chứa chữ ký số JWTs ký thuật tốn bí mật (với thuật tốn HMAC) public / private key sử dụng mã hoá RSA Cấu trúc JWT gồm có: Header • Header bao gồm hai phần chính: loại token (mặc định JWT - Thông tin cho biết Token JWT) thuật tốn dùng để mã hóa (HMAC SHA256 - HS256 RSA) Payload • Payload chứa claims Claims biểu thức thực thể (chẳng hạn user) số metadata phụ trợ Có loại claims thường gặp Payload: reserved, public private claims • Reserved claims: Đây số metadata định nghĩa trước, số metadata bắt buộc, số lại nên tuân theo để JWT hợp lệ đầy đủ thông tin: iss (issuer), iat (issued-at time) exp (expiration time), sub (subject), aud (audience), jti (Unique Identifier cho JWT) • Public Claims - Khóa định nghĩa tùy theo ý muốn người sử dụng JWT Tuy nhiên để tránh trùng lặp, chúng xác định IANA JSON Web Token Registry URI có chứa khơng gian tên khơng bị trùng lặp • Private Claims - Claims tự định nghĩa (không trùng với Reserved Claims Public Claims), tạo để chia sẻ thông tin parties thỏa thuận thống trước 22 Signature • Chữ ký Signature JWT chuỗi mã hóa header, payload với chuỗi bí mật • Do thân Signature bao gồm header payload nên Signature dùng để kiểm tra tính tồn vẹn liệu truyền tải Cấu trúc JWT đơn giản sau: .. Một ứng dụng phổ biến JWT xác thực API: Sau user login phía client nhận response bao gồm jwt, request sau gửi kèm JWT Server xác minh token user truy cập resouce, routes phép với token Bộ API dựa nguyên tắc CRUD( Create, Read, Update, Delete) Người dùng thơng thường có quyền Read Bằng cách đó, hacker lấy chỉnh sửa thông tin JWT, sau có đầy đủ quyền theo nguyên tắc CRUD mà không cần đăng nhập với tài khoản admin gây nguy hiểm đến hệ thống Kịch demo : Đăng nhập với tài khoản Jerry vào trang bình chọn Thông thường tài khoản user có quyền xem bình chọn ứng viên Ta dùng ZAP để lấy JWT chỉnh sửa thơng tin thành quyền admin để xóa bình chọn Hình 19 Trang bình chọn 23 Dùng ZAP để bắt cookie có chứa JWT người dùng Hình 20 Cookie access token có Dùng tool Encode/Decode Tools Thanh công cụ để giải mã JWT thay đổi “alg” Header thành “none” thay đổi “admin” thành “true” Payload Hình 21 Thay đổi "alg" 24 Hình 22 Thay đổi "admin" Ghép hai phần Header Payload thay đổi xóa Signature, ta có JWT nhấn Send Hình 23 Access token Send 25 Kết ta có quyền admin xóa bình chọn trước đó: Hình 24 Kết trả Hình 25 Kết trang bình chọn Link chi tiết demo: https://bit.ly/33Vz2Et 26 Một số cách bảo vệ JWT: • Phải sử dụng HTTPS để đảm bảo xác thực headers • Xác thực tên thuật tốn cách rõ ràng Khơng hồn tồn dựa vào thuật toán đề cập header JWT Có số cơng biết đến dựa header cơng khơng có bí danh, header stripping • Việc thu hồi phiên người dùng từ server khó Vì JWT thiết lập để tự động hết hạn, kẻ công lấy mã thơng báo trước hết hạn , dẫn đến nhiều cách khai thác khác Xây dựng danh sách thu hồi mã thông báo server bạn để làm hiệu lực mã thông báo cách tốt để giảm thiểu • Nếu JWT tồn cookies, cần tạo cookies HTTPOnly Điều hạn chế javascript bên thứ ba đọc mã thông báo jwt từ cookies • Theo RFC 7518: Phải sử dụng khóa có kích cỡ lớn cho thuật tốn (Ví dụ: 256 bits cho HS256) Nếu dùng khóa ngắn bị công brute force Chương Đánh giá OWASP ZAP Một số ưu điểm, nhược điểm ZAP: - Ưu điểm: • Là cơng cụ miễn phí, mã nguồn mở, đạt chuẩn an toan thơng tin • Thực sách kiểm tra bảo mật, an tồn cho mã nguồn • Ứng dụng đa tảng, hỗ trợ Linux, MacOS, Windows Docker • Dễ dàng cài đặt sử dụng • Có thể qt tự động thủ cơng • Tự động cập nhật nhiều tính cho người dùng • Là cơng cụ nhiều người dùng tham gia sử dụng, tạo thành cộng đồng nhiều thành viên phát triển chuyên gia lập trình chuyên biệt - Nhược điểm: Chức login phức tạp: Ở hệ thống lớn, đòi hỏi việc bảo mật cao, chức login phức, khơng đơn giản login logout, mà nhiều hệ thống cịn gửi token OTP tới điện thoại để mình nhập vô cho Login Khi test ZAP login khơng bắt regex pattern vì tài khoản chưa 27 thực login mà bước nhập token, dẫn đến ta không test chức cần login Trong số trường hợp, ZAP bỏ sót chức năng, API ứng dụng: Bạn muốn test toàn ứng dụng, thao tác bạn browser chưa đủ thiếu sót, dẫn đến việc OWASP ZAP khơng bắt link để test, có API chạy AJAX ứng dụng bạn OWASP ZAP khơng bắt Để tránh việc bỏ sót chức năng, bạn nên liệt kê hết tất action controller, truy cập vào một, bạn dùng postman để đánh vào API chạy ngầm bên ứng dụng Bộ nhớ heap: Trong trường hợp test trang web lớn dẫn đến tính trạng hết nhớ heap, OWASP ZAP set mặc định 512MB cho nhớ này, lỗi xảy ra, OWASP ZAP tiếp tục scan tìm kiếm lỗ hổng, kết việc tìm kiếm không ghi vào report Không lưu Sessions lớn, khơng mở Sessions q lớn: Khi scan tồn ứng dụng lớn, thời gian scan lâu, tuần, thời gian bị cúp điện chẳng hạn mà trình scan dc 50%, liệu scan hết, mà ví dụ scan 100% ta lưu session vì file session.data lớn, OWASP ZAP lưu tối đa 16GB Chính vì vấn đề ta nên chia nhỏ phần để test, sau tổng hợp file report lại Ví dụ quét folder account, quét xong quét tiếp folder khác, thời gian quét không lâu file session.data không lớn So sánh với công cụ Burp Suite: Bên cạnh OWASP ZAP thì Burp Suite “trợ thủ đắc lực” cho Tester Pentester trình kiểm tra ứng dụng Web Tên công cụ Điểm chung OWASP ZAP - Burp suite Đều công cụ hỗ trợ kiểm tra ứng dụng web; Có cộng đồng sử dụng phát triển lớn; Giao diện dễ sử dụng cho người dùng; Cung cấp số lượng lớn tiện ích người dùng tạo tiện ích thêm vào; Chạy nhiều tảng hệ điều hành yêu cầu môi trường JAVA trở lên; Các tài liệu hướng dẫn cung cấp chi tiết 28 Điểm riêng Là cơng cụ miễn phí Bản Professional 399$ đầy đủ Đứng thứ số 37 công cụ chức Community bảo mật trang web Đứng thứ số 37 công cụ bảo itcentralstation.com mật trang web itcentralstation.com Kết luận: Bài báo cáo trình bày tổng quan OWASP ZAP, cách cài đặt, sử dụng thông tin liên quan khác Hi vọng qua demo trình bày giúp cho bạn Tester có thêm gợi ý công cụ để tiến hành pentesting ứng dụng web vì hồn tồn miễn phí có cộng đồng người dùng đơng đảo Bên cạnh đó, lập trình viên cố gắng cẩn thận trình xây dựng phát triển ứng dụng web để không xảy lỗ hổng gây thiệt hại đáng tiếc đến hệ thống Em xin gửi lời cảm ơn tới thầy Đặng Minh Tuấn cung cấp cho em kiến thức hướng dẫn để hoàn thiện báo cáo Tuy nhiên, báo cáo có thiếu sót nên em mong góp ý từ thầy để hồn thiện Em xin chân thành cảm ơn! 29 Tài liệu tham khảo [1] The ZAP Dev Team (2021) Getting Started, https://www.zaproxy.org/getting-started/ , accessed 15/12/2021 [2] OWASP Top 10:2021 [online] Available at : https://owasp.org/Top10/ accessed 17/12/2021 [3] Michael B Jones, John Bradley, Nat Sakimura “JSON Web Token (JWT)” [online] Available at : https://datatracker.ietf.org/doc/html/rfc7519 , accessed 17/12/2021 [4] Michael B Jones “JSON Web Algorithms (JWA)” [online] Available at : https://datatracker.ietf.org/doc/html/rfc7518 , accessed 17/12/2021 [5] Makino, Yuma, and Vitaly Klyuev "Evaluation of web vulnerability scanners." 2015 IEEE 8th International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS) Vol IEEE, 2015 [online] Available at : https://ieeexplore.ieee.org/abstract/document/7340766 [Accessed 20/12/2021] [6] Laponina, Olga R., and Sergey A Malakhovsky "Using the ZAP vulnerability scanner to test web applications." International Journal of Open Information Technologies 5.8 (2017): 18-26 [online] Available at : http://injoit.org/index.php/j1/article/view/466 [Accessed 20/12/2021] [7] Mburano, Balume, and Weisheng Si "Evaluation of web vulnerability scanners based on owasp benchmark." 2018 26th International Conference on Systems Engineering (ICSEng) IEEE, 2018 [online] Available at : https://ieeexplore.ieee.org/abstract/document/8638176 [Accessed 21/12/2021] [8] Bennetts, Simon "Owasp zed attack proxy." AppSec USA (2013) [online] Available at : https://owasp.org/www-pdfarchive/OWASP_2014_OWASP_ROMANIA.pdf [Accessed 22/12/2021] [9] Guamán, Daniel, et al "Implementation of techniques and OWASP security recommendations to avoid SQL and XSS attacks using J2EE and WSSecurity." 2017 12th Iberian Conference on Information Systems and Technologies (CISTI) IEEE, 2017 [online] Available at : https://ieeexplore.ieee.org/abstract/document/7975981/ [Accessed 23/12/2021] 30 [10] Yoon, Jong Moon "SIEM OWASP-ZAP and ANGRY-IP Vulnerability Analysis Module and Interlocking." Convergence Security Journal 19.2 (2019): 83-89 [online] Available at : https://www.koreascience.or.kr/article/JAKO201924156251290.page [Accessed 23/12/2021] [11] Holík, Filip, and Sona Neradova "Vulnerabilities of modern web applications." 2017 40th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO) IEEE, 2017 [online] Available at : https://ieeexplore.ieee.org/abstract/document/7973616 [Accessed 23/12/2021] [12] Daud, Nor Izyani, Khairul Azmi Abu Bakar, and Mohd Shafeq Md Hasan "A case study on web application vulnerability scanning tools." 2014 Science and Information Conference IEEE, 2014 [online] Available at : https://ieeexplore.ieee.org/abstract/document/6918247 [Accessed 24/12/2021] [13] Barik, Kousik, et al "Penetration Testing Analysis with Standardized Report Generation." 3rd International Conference on Integrated Intelligent Computing Communication & Security (ICIIC 2021) Atlantis Press, 2021 [online] Available at : https://www.atlantis-press.com/article/125960824.pdf [Accessed 24/12/2021] 31 ... tiếp tục scan tìm kiếm lỗ hổng, kết việc tìm kiếm không ghi vào report Không lưu Sessions lớn, khơng mở Sessions q lớn: Khi scan tồn ứng dụng lớn, thời gian scan lâu, tuần, thời gian bị cúp... chức ZAP bị giảm đáng kể) cách chuyển sang chế độ an toàn Để chuyển ZAP sang chế độ an toàn, nhấp vào mũi tên menu thả xuống chế độ cơng cụ để mở rộng danh sách thả xuống chọn Safe Mode 11 Quét... trang web ghi lại cảnh báo cho lỗ hổng tiềm ẩn tìm thấy trình thăm dò Điều quan trọng để ZAP khám phá trang ứng dụng web bạn, cho dù liên kết với trang khác hay không, để tìm lỗ hổng Ẩn danh