Hình 10. Nh p URL đ quét web testasp c a OWASP ZAPậ ể ủ
Kết quả là có 18 cảnh báo mới (New Alerts), có thể click chuột vào từng Alerts để xem chi tiết.
2. Quét lỗ hổng bằng CyStack Scan
2.1. CyStack Scan là gì ?
CyStack Scan là cơng cụ quét lỗ hổng website, web server miễn phí được phát triển bởi CyStack. Hệ thống được tích hợp những cơng nghệ mới nhất về Plugins & Web fuzzing. Giúp cho việc kiểm tra bảo mật website và server trở nên dễ dàng. Phần mềm hoạt động hồn tồn online và miễn phí.
CyStack có 4 chức năng:
- Scanning: Dò quét, phát hiện và cảnh báo sớm lỗ hổng website định kỳ
- Monitoring: Giám sát và cảnh báo sớm các sự cố của website 24/7
- Responding: Dò quét và làm sạch mã độc trên website
- Protecting: Hệ thống tường lửa giúp bảo vệ website khỏi sự tấn công của malware và tin tặc
Ưu điểm:
- Quét lỗ hổng bảo mật cho website và cả server
Hình 11. Kêốt qu khi quét testasp bằềng OWASP ZAPả
- Sử dụng chung cơng nghệ với phần mềm Premium (trả phí) của CyStack là Cloud Security.
- Cơ sở dữ liệu được cập nhật thường xuyên, giúp bảo vệ website khỏi những rủi ro mới nhất
- Hoạt động online, không cần cài đặt
- Dễ sử dụng
Nhược điểm: Giới hạn 2 lượt quét miễn phí/ngày
2.2. Thực hiện quét lỗ hổng web bằng CyStack
Để sử dụng CyStack Scan, ta chỉ cần truy cập trang web https://cystack.net/
Chọn Products và chọn CyStack Web Security để quét lỗ hổng trang web
Hình 12. CyStack
Hình 13. Đằng ký tài kho n CyStackả
Đăng ký tài khoản CyStack:
Chọn Deep Scan
Nhập địa chỉ trang web: https://truyenfull.com/
Hình 14. Ch c nằng Deep Sacn c a CyStackứ ủ
Kết quả trả về:
Hình 15. Quét trang truyenfull.om bằềng CyStack
Hình 16. Kêốt qu quét truyenfull.com bằềng CyStackả
CHƯƠNG V: KẾT LUẬN
1.1. Kết quả đạt được
- Phân tích các phương thức tấn cơng lỗ hổng bảo mật website thường gặp hiện nay
- Tìm hiểu một số nguyên nhân gây ra lỗ hổng bảo mật website
- Tìm hiểu các giải pháp để phát hiện lỗ hổng, đảm bảo an toàn bảo mật website
1.2. Hạn chế của đề tài
Bên cạnh những kết quả đạt được còn một số hạn chế:
- Chưa tìm hiểu được cách thức tấn cơng một website
- Chỉ tìm hiểu, phân tích một số ít các phương thức tấn cơng, ngun nhân cũng như các giải pháp để phát hiện lỗ hổng, đảm bảo an toàn bảo mật website
1.3. Hướng nghiên cứu
- Tiếp tục tìm hiểu kỹ hơn các phương thức tấn công, nguyên nhân cũng
như các giải pháp để phát hiện lỗ hổng, đảm bảo an toàn bảo mật website để đưa ra góc nhìn đầy đủ nhất
- Tiếp tục tìm hiểu cách thức tấn cơng một website
TÀI LIỆU THAM KHẢO:
1. Bảo mật website A-Z: Hướng dẫn cách bảo mật trang web hiệu quả:
https://cystack.net/vi/blog/bao-mat-website
2. Wikipedia Việt Nam: https://vi.wikipedia.org/wiki/Website
3. Giáo trình An tồn thơng tin: TS.Trương Thành Cơng