Lỗ hổng bảo mật Website rất đa dạng và có thể do nhiều nguyên nhân khác nhau, có thể phát sinh từ những yếu tố thuần túy kỹ thuật; cũng có thể do các yếu tố về tổ chức và quản lý như: thiếu hoặc khiếm khuyết trong các biện pháp bảo vệ thông tin. Tuy nhiên, lỗ hổng bảo mật Website có thể được chia thành ba loại: lỗ hổng khách quan, lỗ hổng chủ quan và lỗ hổng ngẫu nhiên. Lỗ hổng khách quan xuất phát từ các đặc tính kỹ thuật vốn có của thiết bị và phần mềm của Website. Lỗ hổng chủ quan xuất phát từ hành vi của chủ thể, có thể là nhà thiết kế, các quản trị viên và người sử dụng. Lỗ hổng ngẫu nhiên xuất phát từ môi trường của hệ thống Website và những bối cảnh không dự đoán trước được.
Hình 2.1 dưới đây mô tả mô hình tổng quát phát hiện lỗ hổng bảo mật Website.
Theo hình 2.1, quá trình phát hiện lỗ hổng bảo mật Website được xây dựng bằng cách thực hiện kiểm tra thụ động và kiểm tra thăm dò tích cực (active probe) các lỗ hổng. Trong quá trình rà quét (scan), các phương tiện phân tích lỗ hổng bảo
mật Website sẽ gửi yêu cầu đến địa chỉ của Website (lên cổng máy chủ), phân tích các gói dữ liệu nhận được, sau đó đưa ra các kết luận tương ứng về các lỗ hổng có thể tồn tại.
Phương pháp thăm dò tích cực cung cấp khả năng phân tích dấu vết số đoạn phần mềm của Website, thực hiện quá trình so sánh kết quả nhận được với dấu vết số lỗ hổng đã được biết của Website đang được kiểm tra. Trong quá trình kiểm tra thăm dò tích cực, các phương tiện phân tích an toàn mô phỏng các tấn công vào Website, sử dụng thông tin lỗ hổng nhận được khi quét.
Hình 2.1. Mô hình tổng quát phát hiện lỗ hổng bảo mật Website [2]
Kết quả rà quét và kiểm tra thăm dò tích cực được đưa vào cơ sở dữ liệu lỗ hổng, trong đó lưu giữ thông tin các lỗ hổng của Website. Trên cơ sở so sánh thông tin lỗ hổng được phát hiện với thông tin các lỗ hổng của Website, các phương tiện phân tích an toàn hệ thống lập báo cáo về sự vắng mặt hay hiện diện của những
trùng hợp trong thông tin của các lỗ hổng, báo cáo này được lưu trong cơ sở dữ liệu lỗ hổng.
Mô tả thông tin các lỗ hổng đã được biết đến và lỗ hổng chưa biết (lỗ hổng zero-day) được lưu giữ bằng thông tin về các tính chất đặc thù của từng lỗ hổng cụ thể. Để nhận dạng chính xác thông tin lỗ hổng được phát hiện, cơ sở dữ liệu lỗ hổng cần chứa thông tin về tên gọi và phiên bản phần mềm của Website, về định danh, tên và lớp của các lỗ hổng được phát hiện. các lỗ hổng đã được biết đến và lỗ hổng zero-day được lưu giữ bằng thông tin về các tính chất đặc thù của từng lỗ hổng cụ thể. Để nhận dạng chính xác thông tin lỗ hổng được phát hiện, cơ sở dữ liệu lỗ hổng cần chứa thông tin về tên gọi và phiên bản phần mềm của Website, về định danh, tên và lớp của các lỗ hổng được phát hiện
Dựa trên các thông tin trên, các phương tiện phân tích an toàn sẽ phân loại các mức độ của lỗ hổng. Để đánh giá một cách chính xác thông tin về lỗ hổng bao gồm: loại khiếm khuyết của Website, vị trí phát hiện và phương pháp phát hiện lỗ hổng. Quá trình đánh giá lỗ hổng kết thúc bằng các khuyến nghị về việc loại bỏ lỗ hổng hoặc loại trừ khả năng sử dụng chúng.
Trong trường hợp lỗ hổng được phát hiện lần đầu tiên, các phương tiện phân tích sẽ đưa thông tin về nó vào cơ sở dữ liệu lỗ hổng và hình thành cơ sở dữ liệu mới của lỗ hổng zero-day. Khi các nhà phát triển Website đưa ra các bản cập nhật và các biện pháp bảo vệ thông tin, thì lỗ hổng zero-day sẽ chuyển thành lỗ hổng đã biết.
Trong phần tiếp theo, luận văn sẽ khảo sát ba giải pháp phát hiện lỗ hổng bảo mật Website: giải pháp sử dụng công cụ phần mềm rà quét lỗ hổng, giải pháp sử dụng hệ thống IDS và giải pháp sử dụng các kỹ thuật học máy.