3. Cấu trúc luận văn
2.6. Mô hình hoạt động của WVS
Quy trình công việc của máy quét lỗ hổng Web thường là như sau: Đầu tiên, một quy trình công việc thông qua các ứng dụng Web phải được xác định. Điều này có thể được thực hiện bằng cách theo dõi sự tương tác của người dùng như cách nhấp vào liên kết, nhập dữ liệu đầu vào, hoặc các gửi biểu mẫu. Công việc được thực hiện từng bước một. Khi thực hiện, các payload được nhúng vào các tham số và các mô-đun phân tích quét tất cả các truy vấn trả về và kiểm tra, đánh giá sự xuất hiện của các kết quả trả về đó. Một vector tấn công ( attack vector) là một đoạn mã hoặc một tập hợp các đoạn script, được đánh giá là có khả năng gây ra lỗi trên ứng dụng web, thường được sử dụng để nhúng vào các trang web có khả năng bị lỗi.
Hình 2.11. Một workflow-base WVS
Quy trình thực thi công việc có thể được thực thi theo 2 cách, cả 2 cách đều có những ưu điểm riêng
HTTP replay: Một cách thực hiện quy trình công việc đơn giản và có hiệu quả cao là ghi lại tất cả các yêu cầu HTTP và sau này gửi lại trong giai đoạn tấn công. Các thông số đầu vào thường xuyên được thay thế bằng các vectơ tấn công. Quy trình làm việc được định nghĩa như là một trình tự các yêu cầu HTTP . Ưu điểm là, các câu trả lời không cần phải giải thích theo bất kỳ cách nào, vì vậy dễ dàng thực hiện hơn. WVS giữ lại các yêu cầu đã gửi và thậm chí có thể xem lại các yêu cầu AJAX đã bị giữ trước đó.
Nhược điểm lớn nhất của HTTP replay là nó đòi hỏi hiệu quả đáng kể trong việc đối phó với các kỹ thuật phòng chống CSRF. Để xử lý bảo vệ CSRF, mã thông báo hợp lý phải có trước mỗi lần phát lại. Tên mã thông báo có thể thay đổi thường xuyên và cần phải được xác định đầu tiên, đó có thể là thử thách.
Mô phỏng thao tác của người sử dụng: iStar, ví dụ, kết hợp quy trình công việc bằng cách mô phỏng sự tương tác của người dùng. Quy trình làm việc không được xác
định bởi các yêu cầu HTTP thô mà bởi sự kiện bên trong trình duyệt chẳng hạn như cách nhấp vào liên kết HTML hoặc mở một URL. Để phát lại quy trình làm việc, trình duyệt được lập trình để kích hoạt một trong các sự kiện này sau các sự kiện khác.Bằng cách này, cây DOM Sare tạo ra từ các phản ứng HTTP.Cách tiếp cận này có lợi thế mà CSRF phòng chống mã thông báo Sare sẽ tự động được thêm vào tất cả các yêu cầu HTTP như mọi yêu cầu bị bao gồm tự nhiên bên trong trình duyệt.
Để hiểu rõ về máy quét iStar trước tiên cần phải làm rõ để được hiểu lý do tại sao iStar sử dụng phương pháp tiếp cận mô phỏng. iStar cần lặp lại kiểm tra an ninh trên hàng trăm các ứng dụng web trong môi trường doanh nghiệp với một lịch trình thường xuyên. Bằng cách mô phỏng hành động của người sử dụng, nó cũng phục vụ như một công cụ kiểm tra hồi quy cho các giao diện người dùng của các ứng dụng Web. Sự thật thì mục đích chính của IDE Selenium là để thực hiện các kiểm tra hồi quy cho ứng dụng Web UIs.