CỦA ỨNG DỤNG WEB.
mật an toàn ứng dụng web
Để kiểm tra cơ sở hạ tầng quản lý cấu hình, những bước sau cần được thực hiện:
• Các thành phần khác nhau tạo nên cơ sở hạ tầng cần được xác định để hiểu cách chúng tương tác với một ứng dụng Web và cách chúng ảnh hưởng đến an ninh.
• Các thành phần của cơ sở hạ tầng cần phải được xem xét để đảm bảo không có bất kỳ lỗ hổng nào.
• Cần đánh giá lại bằng các công cụ quản trị để duy trì, bảo dưỡng các thành phần khác nhau.
• Các hệ thống xác thực, nếu có, cần phải xem xét để đảm bảo rằng chỉ phục vụ nhu cầu của các ứng dụng và không bị thao tác bởi người dùng bên ngoài để leo thang truy cập.
• Danh sách các cổng xác định cho các ứng dụng cần được duy trì và tuân thủ dưới sự kiểm soát. sử dụng một tool quét tự động các cổng truy cập để đảm bảo tất cả các host trong mạng lưới có được đảm bảo an toàn trong mạng nội bộ và không bị truy cập bất hợp pháp từ một mạng ngoài không.
• Tool quét thường dùng cho trường hợp này là NMap.
b)Kiểm tra phương thức HTTP
HTTP cung cấp một số phương thức có thể được sử dụng để thực hiện hành động trên máy chủ web.Nhiều trong số các phương thức đó được thiết kế để hỗ trợ các nhà phát triển trong việc triển khai và thử nghiệm các ứng dụng HTTP.
Trong khi GET và POST là bởi đến nay các phương thức phổ biến nhất được sử dụng để truy cập thông tin được cung cấp bởi một máy chủ web, Hypertext Transfer Protocol (HTTP) cho phép một số phương thức khác (và phần nào ít được biết đến). RFC 2616 (trong đó mô tả HTTP phiên bản 1.1 là tiêu chuẩn hiện nay) định nghĩa một số phương thức sau đây:
- GET: Phương thức lấy một đối tượng hoặc tài nguyên nào đó trên Server.
- POST: Phương thức mà Client sử dụng để gửi thông tin đến các Server. - PUT: Phương thức dùng để Client upload dữ liệu lên Server.
- DELETE: Phương thức giúp Client xoá các đối tượng, tài nguyên từ các Server.
- HEAD: Phương thức xác minh rằng một đối tượng có tồn tại hay không.
- TRACE: Phương thức được sử dụng để gọi từ xa một lớp ứng dụng trở lại ví dụ như cookie, tiêu đề ủy quyền, …
- CONNECT : Phương pháp này có thể cho phép khách hàng sử dụng các máy chủ web như là một proxy.
mật an toàn ứng dụng web
Một số trong những phương thức đó khả năng có thể gây ra một nguy cơ bảo mật cho một ứng dụng web, vì chúng cho phép kẻ tấn công để sửa đổi các tập tin được lưu trữ trên các máy chủ web và ăn cắp các thông tin của người sử dụng hợp pháp. Ví dụ:
• DELETE: Phương pháp này cho phép một khách hàng xóa một tập tin trên máy chủ web. Một kẻ tấn công có thể khai thác nó một cách đơn giản và trực tiếp từ đó thay đổi một trang web hoặc để gắn nó với một cuộc tấn công DoS.
Phương pháp kiểm tra rất đơn giản là sử dụng netcat (hoặc telnet).