II. PHÂN TÍCH VÀ THIẾT KẾ HỆ THỐNG
2. Nhận dạng và đặc tả các ca sử dụng (Use Case)
Theo cách tiếp nhận và kiểm thử blackbox:
- Các lỗ hổng kiểu (1) được phát hiện bằng cách gửi các dữ liệu fuzzing dựa trên các điểm đầu vào hệ thống đã nhận được từ quá tình Crawler. Và phân tích các kết quả trả về từ hệ thống.
- Các lỗ hổng kiểu (2) bằng cách xây dựng một CSDL lỗi đã được công bố hoặc đang là zero-day (lỗi đã được công bố nhưng nhà sản xuất chưa đưa ra bản vá). Chương trình sẽ xác định các phần mềm đang thực hiện trên hệ thống kèm theo phiên bản đang sử dụng và so khớp với các dữ liệu đã có trong CSDL.
Như vậy chỉ xét riêng khả năng quét lỗ hổng website, zScanner sẽ có 1 chức năng chính là:
zScanner: quá trình nhận yêu cầu quét lỗ hổng bảo mật từ người dùng và thực hiện quét trên hệ thống.
Ngoài ra do còn một số chức năng khác liên quan tới việc xuất báo cáo và quản lý người dùng, xem thông tin kết quả quét từ hệ thống.
Register Login
Scanning management View Result
Hình : Biểu đồ Usecase của hệ thống
2.1. Đặc tả cho ca sử dụng chinh Web Vulnerability Scanner
Usecase: WEB VULNERABILITY SCANNER
Mục đích Nhận yêu cầu từ người dùng và đưa dữ liệu quét vào hàng đợi. Gọi module Core Scan để thực hiện việc quét hệ thống.
Đối tác chính zScanner UI Website Điều kiện đầu
vào Thực hiện khi người sử dụng nhập vào Domain và Protocol của website. Đầu ra Danh sách các lỗ hổng website, các dữ liệu crawler, các thông
tin về hệ thống đã thu thập được.
Bảng : Đặc tả Usecase chính Web Vulnerability Scanner Usecase
zScanner gồm 3 thành phần chính:
- Web Gathering Information: Là quá tình thực hiện việc thu thập các thông tin về hệ thống bao gồm: Port Scan, Detect Framework và Thu thập thông tin về nền tảng hệ thống (Language, WebServer, Database).
- Web Crawler: Là quá tình thu thập các điểm đầu vào của hệ thống (URL, POST FORM) và dựng cấu trúc của website.
- Web Fuzzing: Là quá trình fuzzing các lỗ hổng bảo mật dựa trên tập dữ liệu fuzzing nhận diện và các điểm đầu vào của hệ thống đã thu thập được.
2.2. Đặc tả cho các ca sử dụng phụ
Usecase: Register
Mục đích Đăng ký tài khoản với hệ thống Đối tác chính zScanner UI Website
Điều kiện đầu
vào Người dùng nhập vào các thông tin cần thiết để đăng ky thành viên hệ thống. Đầu ra Tài khoản đã được tạo trong CSDL
Usecase: Login
Mục đích Đăng nhập vào hệ thống bằng tài khoản đã đăng ký Đối tác chính Web Fuzzing Scanner UI Website
Điều kiện đầu
vào Người dùng cần thực hiện đăng ký trước khi thực hiện đăng nhập. Đầu ra Đăng nhập vào hệ thống và thực hiện các chức năng của hệ
thống.
Usecase: View Result
Mục đích Xem thông tin và kết quả của quá trình quét hệ thống Đối tác chính zScanner UI Website
Điều kiện đầu
vào Người dùng đã đăng nhập vào hệ thống và thực hiện thao tác quét lỗ hổng website. Đầu ra Các kết quả quét được hiển thị trên giao diện website.
Usecase: Export a Report
Mục đích Xuất báo cáo từ các kết quả quét đã thu được. Đối tác chính zScanner UI Website
Điều kiện đầu
vào Người dùng đã xem được kết quả quét của hệ thống. Đầu ra Tệp tin báo cáo kết quả kiểm tra hệ thống
Bảng : Đặc tả cho các Usecase phụ của hệ thống