5.1.1 Nền tảng
Từ những kiến thức đã học và từ kết quả nghiên cứu lý thuyết, tác giả đã lựa chọn xây dựng cơng cụ dựa trên ngơn ngữ lập trình C sharp (C#) để làm cơ sở dị tìm và đánh giá an tồn website. Ngơn ngữ này được sử dụng trên mơi trường mã nguồn đóng, đảm bảo tính bảo mật và an tồn dữ liệu, phù hợp cho việc dị qt và tìm kiếm lỗ hổng giữa các nền tảng và câu lệnh khác nhau giữa các plugin.
C# là một ngôn ngữ lập trình đơn giản, được phát triển bởi đội ngũ kỹ sư của Microsoft vào năm 2000, trong đó người dẫn đầu là Anders Hejlsberg và Scott Wiltamuth. Đồng thời, nó cũng là ngơn ngữ lập trình hiện đại, hướng đối tượng và được xây dựng trên nền tảng của hai ngôn ngữ là C++ và Java. Cho phép chúng ta sử dụng các ngôn ngữ high-level đa dạng trên các nền tảng và cấu trúc máy tính khác nhau. Với sự hỗ trợ mạnh mẽ của .NET Framework giúp cho việc tạo một ứng dụng Windows Forms hay WPF (Windows Presentation Foundation),… trở nên rất dễ dàng.
Tận dụng các dữ liệu, thông tin và phương pháp thực hiện có sẵn trên các phần mềm quét, một trong số các nhiệm vụ của cơng cụ là tích hợp và kế thừa các vấn đề này để sử dụng và thu về kết quả. Với phương pháp này, công cụ sẽ khơng bao giờ lỗi thời vì có sự cập nhật về tính năng và hiệu suất một cách thường xuyên và liên tục. Nếu phần mềm quét nào đó trong danh sách các plugin có vấn đề nguy hại hoặc đã ngưng hoạt động, ngưng phát triển,… thì người quản trị hồn tồn có thể thay thế bất kỳ các phần mềm nào nếu muốn.
Các lỗ hổng bảo mật này thường xuyên được tham chiếu, quy chuẩn dựa trên bộ tiêu chí đánh giá theo chuẩn OWASP.
5.1.2 Giao diện
Giao diện sử dụng dành cho người dùng được thiết kế tối giản, đầy đủ chức năng hoạt động, dễ hình dung chức năng và thân thiện với người dùng, giao diện màn hình chính như hình dưới.
Giao diện thể hiện các thông tin đầu vào và kết quả hiển thị đầu ra cần thiết. Bố cục và thơng tin thể hiện một cách rõ ràng, dễ hiểu.
Hình 5.1 Giao diện màn hình chính .
Chú thích
- URL cho phép người dùng nhập vào giá trị là đường dẫn URL cần quét. - ZAP, GoLismero, Arachni, Wapiti, SQLmap, Tất cả cho phép người dùng lựa chọn một hoặc nhiều phần mềm sẽ thực hiện chạy quét, chọn vào tên những phần mềm nào thì phần mềm đó sẽ thực thi.
- Thư mục nhấn vào để xem thư mục chứa các file dữ liệu đầu ra sau khi các phần mềm thực hiện chạy quét (Hình 5.2).
- Quét nhấn vào để công cụ bắt đầu nhận yêu cầu quét lỗ hổng bảo mật của URL và tên phần mềm quét dựa vào thông tin mà người dùng vừa cung cấp.
- Xem kết quả nhấn vào để tải kết quả báo cáo cuối cùng ra giao diện, mặc định sẽ là vơ hiệu hóa, nút chỉ sử dụng được sau khi các phần mềm chạy quét xong.
- Kết quả nơi hiển thị kết quả cuối cùng, kết quả sẽ hiển được hiển thị sau khi nhấn nút “Xem kết quả” (Hình 5.3).
Hình 5.3 Hiển thị kết quả cuối cùng sau khi nhấn nút “Xem kết quả” .
Sau khi đã hiển thị kết quả cuối cùng trên giao diện, người dùng có nhu cầu cần xem đầy đủ thơng tin chi tiết thì có thể nhấn vào bất kỳ thơng tin nào trên bảng kết quả (Hình 5.4).
Hình 5.4 Hiển thị đầy đủ thông tin chi tiết sau khi nhấn vào bảng kết quả .