3. Cấu trúc luận văn
2.5.3. Phân tích mã
Phân tích mã là một kỹ thuật hộp trắng điển hình, bởi vì pentester có quyền truy cập mã nguồn ứng dụng web. Kẻ tấn công cũng có thể sử dụng phân tích mã để tìm trong phần mềm mã nguồn mở những lỗ hổng bảo mật. Phân tích mã nguồn có thể được thực hiện bằng thủ công hoặc tự động. Cách tiếp cận thủ công cũng giống như bất kỳ phương pháp tiếp cận mã đọc khác, pentester truy tìm vị trí của dữ liệu, dữ liệu đó được xử lý như thế nào và nơi mà nó chuyển tới.
Kỹ thuật hộp đen chỉ hoạt động trên các giao diện có thể được truy cập từ bên ngoài. Tuy nhiên, các ứng dụng web cũng nên lọc dữ liệu từ cơ sở dữ liệu. Nếu không, một nhân viên có quyền truy cập vào cơ sở dữ liệu có thể tiêm mã độc hại từ bên trong, sau đó gửi cho tất cả các khách hàng của các ứng dụng Web. Trong kỹ thuật hộp đen là việc chuyển giao dữ liệu từ cơ sở dữ liệu tới các giao diện đầu ra cũng có thể được xem xét và phân tích cho các vấn đề bảo mật.
Hình 2.9: Kỹ thuật White-Box thực hiện trong quá trình xử lý dữ liệu
Phân tích mã cũng có thể được thực hiện tự động. Điều này thường hoạt động bằng cách mô hình hóa hoạt động chương trình và xác định các điều kiện đầu tiên và các điều kiện lúc gửi của các chức năng bằng cách tạo ra một biểu đồ điều khiển luồng và một đồ thị luồng dữ liệu. Sau đó, các luồng dữ liệu từ một nguồn tới máy chủ sẽ liên tục được kiểm tra các vấn đề bảo mật.