Đánh giá các công cụ dò quét lỗ hổng website- 123docz.net

2.5.1. Đánh giá kỹ thuật và thuật toán sử dụng a) So sánh kỹ thuật phân tích

Dựa trên nghiên cứu bên trên và thực tiễn sử dụng cho ta thấy rõ. Các công cụ trên đều có thể thực hiện dò quét và phát hiện lỗ hổng của một website khi không đƣợc cung cấp mã nguồn của website đó

Do vậy tất cả các công cụ trên đều sử dụng kỹ thuật phân tích tĩnh và chúng đề tiếp cận dựa trên phỏng đoán.

b) Đánh giá thuật toán sử dụng

Dựa trên các kiến thức vừa nghiên cứu, chúng ta có thể đƣa ra đánh giá cơ bản về thuật toán mà các công cụ sử dụng là: Công cụ Acunetix và Webscan đều sử dụng fuzzing để phát hiện lỗ hổng. Tuy nhiên, với acunetix thì số lƣợng thƣ viện đầu vào là rất lớn do đó có thể phát hiện đƣợc rất nhiều lỗ hổng khác nhau. Trong khi Webscan thì chỉ có thể phát hiện đƣợc lỗ hổng sql injection, Xpath injection, XSS, Directory listing.

Đặc biệt IBM Glass Box (đối thủ cạnh tranh của Acusensor Technology ) chỉ hỗ trợ JAVA trong khi AcuSensor hỗ trợ PHP và NET . Đƣợc sử dụng rộng rãi hơn các công nghệ web. Đây là lý do ngƣời quét web sử dụng cả 2 loại công cụ này

Ngoài ra, so với các công cụ là AppScan và Webscan thì Acunetix có sử dụng thêm công vụ vƣợt trội đó là :Acusensor Technology và một số công cụ khác nhƣ Portscan, crawler, Blind SQL injection

2.5.2. Khả năng ứng dụng thực tiễn a) Về mặt giá cả a) Về mặt giá cả

Khi sử dụng một công cụ nào đó, giá cả là một trong những vấn đề đầu tiên mà ngƣời sử dụng quan tâm. So với một số công cụ thì Acunetix có ƣu điểm là rẻ hơn rất nhiều so với các công cụ khác

Acunetix duy trì một chính sách giá cạnh tranh để cung cấp cho khách hàng với chi phí sở hữu thấp nhất và lợi nhuận cao nhất về đầu tƣ đối với hình thức cao nhất của công nghệ .

Cụ thể để sở hữu công cụ nhƣ AppScan ngƣời dùng phải bỏ ra tới 5,000$, con số đó với công cụ Webinspect của HP là 25000$, trong khi đó Acunetix chỉ có giá 1,445$

 Nhƣ vậy, ƣu điểm của Acunetix là rẻ hơn so với các công cụ khác

b) Giao diện sử dụng

Nmap, netcat hoặc nessus là công cụ rất hữu ích trong quá trình scanning port, tuy nhiên nhƣợc điểm lớn nhất của các công cụ này là ta phải nhớ từng dòng lệnh thì mới có thể thao tác và sử dụng đƣợc.

Để khắc phục hạn chế này, Acunetix cũng có công cụ Tager Finder rất tốt trong việc quét các port mà đặc biệt ƣu điểm của Tool này là tƣơng tác trực quan mà không phải nhớ từng dòng lệnh nhƣ Nmap hoặc Netcat đồng thời sử dụng giao diện đồ họa, tổ chức tốt, có phƣơng pháp, đáng nhớ để ngƣời dùng trở nên quen với việc nhanh chóng để sử dụng nó. Truy cập thông qua một giao diện web, lập chƣơng trình mới cho phép các quản trị viên tải về kết quả quét từ bất kỳ máy trạm, máy tính xách tay, hoặc điện thoại thông minh.

 Acunetix có giao diện trực quan, dễ sử dụng, thân thiện với ngƣời dùng.

 Giao diện trạng thái đồ họa scan cho ngƣời dùng thấy chi tiết quét dạng nút.

 Tổng hợp các yếu điểm để tạo điều kiện thuận lợi cho việc phối hợp khắc phục các lỗ hổng.

c) Công cụ hỗ trợ

Tƣơng tự nhƣ các công cụ AppScan hay Webinspect, Acunetix cũng có một số công cụ để hỗ trợ các việc nhƣ: Reporter để xuất báo cáo, Scheduler để lập lịch quét tự động hay HTTP editor, HTTP Sniffer, Encode /Decode, Authentication Tester.

Tuy nhiên, Acunetix còn có một số ƣu điểm vƣợt trội hơn so với các công cụ này đó là nó còn đƣợc trang bị một số tool sau:

-Port Scanner and network alert để thực thi việc quét các cổng có thể từ đó tấn

công vào máy chủ web chứa website đang thực hiện quét. Khi phát hiện có cổng nào đó đƣợc mở, Acunetix sẽ thực hiện kiểm tra mức độ an ninh mạng trống lại các ứng dụng web chạy trên các cổng này.

-Subdomain Scanner: Sử dụng nhiều kỹ thuật khác nhau để nhanh chóng quét

các subdomain hoạt động trên cùng một DNS.

-Acusensor Technology: Acunetix có một bộ engine phát hiện lỗ hổng hàng đầu

kèm theo là Acunetix AcuSensor thực hiện các cuộc tấn công tự động và hiển thị các lỗ hổng đƣợc tìm thấy. Đây là một công nghệ bảo mật duy nhất có thể nhanh chóng tìm thấy lỗ hổng với số lƣợng cảnh báo giả rất thấp, cho thấy lỗ hổng trong mã và báo cáo thông tin gỡ lỗi. Đồng thời xác định CRLF, Code execution, Directory Traversal, File inclusion, lỗ hổng trong xác thực và các lỗ hổng khác.

-Blind SQL injection: Đây là một cơ sở dữ liệu tự động có thể sử dụng để phân

tích các báo cáo lỗi SQL injection, ngoài ra công cụ này cũng có thể liệt kê các cơ sở dữ liệu, bảng biểu, nơi chứa dữ liệu và cũng có thể đọc các tập tin cụ thể về hệ thống của máy chủ web nếu lỗ hổng SQL injection đƣợc phát hiện. -Trình thu thập dữ liệu (crawler). Trình thu thập dữ liệu là điều cần thiết cho

một kết quả quét website, những gì bạn không thể thu thập thông tin bạn không thể quét, do đó thu thập là cầu thủ lớn trong một máy quét.

-Phân tích trang web của Acunetix nhằm giúp bạn chống lại kiểu tấn công Google Hacking Database Google Hacking Cơ sở dữ liệu (GHDB) là một cơ sở dữ liệu của các truy vấn đƣợc sử dụng bởi tin tặc để xác định các thông tin nhạy cảm trên trang web của bạn, chẳng hạn nhƣ trang đăng nhập cổng thông tin, các bản ghi thông tin an ninh mạng, và nhƣ vậy. Acunetix thực hiện các truy vấn GHDB vào các nội dung thông tin đã thu thập của trang web của bạn và xác định các dữ liệu nhạy cảm hoặc các mục tiêu khai thác trƣớc khi bị tấn công qua các công cụ tìm kiếm.

-So sánh giữa các kết quả test: công cụ này giúp ngƣời sử dụng dễ dàng so sánh đƣợc kết quả giữa các lần quét để phát hiện ra các lỗ hổng đã đƣợc vá hay chƣa.

 Acunetix cung cấp các công cụ hỗ trợ phong phú trong việc thực hiện dò quét lỗ hổng website, đặc biệt với Acusensor Technology giúp phát hiện đƣợc nhiều lỗ hổng hơn, chính xác hơn, và chỉ rõ đƣợc nơi mã nguồn phát sinh lỗi.

d) Chức năng

Chức năng hỗ trợ quét website nhanh chóng từ các dữ liệu đã đƣợc thu thập từ trƣớc. Để tăng tốc độ quét trong một lần quét, Acunetix hỗ trợ chức năng thực hiện quét một website từ tập dữ liệu đã đƣợc thu thập từ trƣớc. Điều này sẽ giúp đẩy nhanh thời gian quét trong một số trƣờng hợp yêu cầu cụ thể

IBM AppScan chủ yếu đƣợc xây dựng để quét các ứng dụng web JAVA . Trong khi họ đã hỗ trợ rất tốt cho JAVA , trình thu thập của họ là rất hạn chế khi cố gắng thu thập thông tin và quét các trang web đƣợc xây dựng với công nghệ web khác, chẳng hạn nhƣ PHP, ASP, . NET , Perl vv... Thực tế này cũng đã đƣợc đề cập trong một số đánh giá độc lập và so sánh. Ví dụ, trong biểu đồ so sánh sau đây, IBM không hoạt động tốt.

Bảng 2-1 So sánh giữa các công cụ

- Chức năng xuất báo cáo

Việc xuất báo cáo cũng là vấn đề mà ngƣời sử dụng công cụ quan tâm. Trong đó có vấn đề xuất báo cáo dƣới nhiều định dạng. Acunetix có ƣu điểm vƣợt trội trong tính

năng này. Nó cho phép xuất báo cáo theo nhiều dịnh dạng nhƣ: PDF, HTML, Word, Text, BMP.

 Báo cáo không chỉ cung cấp câu trả lời tổng thể mà đƣa ra lời giải thích sâu với tài liệu tham khảo web liên kết để biết thêm thông tin để các lỗ hổng có thể đƣợc hiểu và tránh đƣợc trong tƣơng lai.

 Tính năng báo cáo cụ thể với nhiều chuẩn báo cáo khác nhau.

 Hỗ trợ quyết nhiều hơn/ nhanh hơn - Acunetix WVS 8 có thể quét đồng thời nhiều website trên cùng một máy, cho phép ngƣời dùng quét nhiều trang web cho phép hỗ trợ thêm cho các kịch bản đa ngƣời dùng trên máy chủ / máy trạm.

 Acunetix làm giảm thời gian khi quét một website, và cho phép xuất báo cáo kết quả test dƣới nhiều định dạng thông thƣờng.

e) Nguồn nhân lực phát triển

Toàn công ty tập trung vào một sản phẩm, làm việc trên một sản phẩm chuyên dụng duy nhất. IBM là tập trung vào nhiều sản phẩm cùng lúc.

 Nhƣ vậy phần nào nói lên chất lƣợng công cụ Acunetix sẽ đƣợc chuyên sâu hơn trong lĩnh vực này.

f) Bảng so sánh giữa các công cụ phổ biến

Bảng 2-2So sách các công cụ về mặt công cụ hỗ trợ

Bảng so sánh trên đã một lần nữa thống kê các lợi thế của Acunetix WVS so với các công cụ khác về một số mặt: Giá cả, công cụ hỗ trợ, chức năng, các tuỳ chọn cấu hình chức năng.

Nhƣ vậy, dựa vào các số liệu so sánh giữa các công cụ, cũng nhƣ các ƣu điểm về kỹ thuật và lợi thế cạnh chanh của công cụ Acunetix so với các công cụ khác

Tác giả quyết định chọn công cụ Acunetix để đánh giá cổng thông điện tử và áp dụng trong thực tiễn.

Kết chƣơng: Chƣơng 2 đã trình bày rất chi tiết về các công cụ để đánh giá sản phẩm an toàn bảo mật thông tin. Đặc biệt trong chƣơng đã trình bày về các kỹ thuật cũng nhƣ thuật toán đƣợc sử dụng để phân tích và phát hiện các lỗ hổng trong các website. Từ đó giúp ta đánh giá đƣợc ƣu nhƣợc điểm của hệ thống công cụ này cả về mặt kỹ thuật cũng nhƣ mặt áp dụng thực tiễn. Tuy nhiên, nếu chỉ nắm đƣợc cách thức hoạt động cũng nhƣ đánh giá đƣợc các công cụ thì chƣa đủ, mà ta cần phải áp dụng đƣợc chúng vào triển khai trong thực tiễn. Chƣơng 3 của luận văn sẽ tập trung đề xuất vấn đề này.

CHƢƠNG III: ĐỀ XUẤT LƢ̣A CHỌN CÔNG CỤ , XÂY DƢ̣NG QUY TRÌNH ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TƢ̉ VÀ TRIỂN KHAI ÁP DỤNG TRONG THỰC TIỄN

Dựa vào thực trạng vấn đề an ninh an toàn website đã nghiên cứu ở chƣơng I, chúng ta đều thấy rằng vấn đề đánh giá các sản phẩm an toàn thông tin nói chung, cũng nhƣ đánh giá cổng thông tin điện tử nói riêng, ngày càng trở nên cấp thiết. Một số tổ chức cũng đã cung cấp các dịch vụ để đánh giá sản phẩm an toàn thông tin nhƣ đã nêu trong phần 1.2

Tuy nhiên, quy trình về việc đánh giá này vẫn chƣa đƣợc đề cập tới. Trong luận văn này, em xin đề xuất Quy trình triển khai, kiểm định đánh giá cổng thông tin điện tử với nội dung nhƣ bên dƣới . xuất công cụ

3.1. Đề đánh giá cổng thông tin điện tử

Dựa trên các nghiên cứu và đánh giá về mặt kỹ thuật cũng nhƣ tính thực tiễn. Em xin đề xuất lựa chọn công cụ Acunetix để thực hiện dò quét lỗ hổng trong các cổng thông tin điện tử. Các thử nghiệm và quy trình để áp dụng công cụ này trong thực tiễn sẽ đƣợc đề xuất và trình bày trong các phần sau của chƣơng.

3.2. Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử 3.2.1. Mục đích 3.2.1. Mục đích

Quy trình này nhằm thống nhất và hƣớng dẫn các công việc trong quá trình triển khai, kiểm định đánh giá cổng thông tin điện tử phục vụ cho các đơn vị cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tử và các đơn vị có yêu cầu đánh giá cổng thông tin điện tử

3.2.2. Phạm vi áp dụng

Áp dụng cho các đơn vị đƣợc quyền cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tửtheo quy định của pháp luật

64 3.2.3. Lƣu đồ LƯU ĐỒ KẾT QUẢ Bắt đầu Xác định cổng thông tin điện tử cần đánh giá Lập kịch bản Kiểm tra, dò quét cồng thông tin điện tử

Thực hiện kiểm tra, dò quét cổng thông tin điện tử Xuất báo cáo kết quả

kiểm tra, dò quét Phân tích kết quả, đánh giá

nguy cơ có thể xả ra Thẩm định, đánh giá an

ninh bảo mật website

Xem xét và phê duyệt kịch bản Kết thúc (1) (2) (3) (4) (5) (6) (7) Báo cáo kết quả kiểm tra

Tài liệu thẩm định an ninh cổng thông tin điệ tử Không duyệt Phê duyệt Kịch bản kiểm tra, dò quét Kịch bản kiểm tra, dò quét đã được duyệt

3.2.4. Mô tả quy trình thực hiện

Bảng 3-1 Nội dung quy trình STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

Bƣớc 1: Xác định cổng điện tử cần đánh giá

1 Yêu cầu đánh giá cổng thông tin điện tử Đơn vị thực hiện đánh giá; Đơn vị yêu cầu đánh giá

Căn cứ vào yêu cầu đánh giá cổng thông tin điện tử của một số tổ chức, cá nhân hoặc doanh nghiệp. Đơn vị chịu trách nhiệm đánh giá cần xác định rõ các thông tin về cổng thông tin điện tử:

- Địa chỉ Website.

- Địa chỉ webservices nếu có - Phiên bản.

- Tài khoản để thực hiện kiểm tra. - Ip sử dụng để đánh giá. Thông tin về cổng thông tin điện tử cần đánh giá

Bƣớc 2: Lập kịch bản kiểm tra, dò quét cổng thông tin điện tử

1 Thông tin về cổng thông tin điện tử Ngƣời chịu trách nhiệm lập kịch bản của đơn vị đánh giá

Kịch bản kiểm tra, đánh giá sẽ gồm các hoạt động:

- Lập kịch bản để dò quét các lỗ hổng sẽ thực hiện dò quét và phát hiện.

Kịch bản kiểm tra, đánh giá cổng thông tin điện tử

Bƣớc 3: Xem xét và phê duyệt kịch bản

1 Kịch bản chƣa đƣợc duyệt , thông tin về cổng thông tin điện tử Cán bộ phê duyệt kịch bản - Xem xét kịch bản đã đúng các thông tin đã xác định đƣợc ở bƣớc 1

- Kịch bản đáp ứng đủ yêu cầu để đánh giá an ninh an toàn website.

Kịch bản đã đƣợc duyệt

66 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

Bƣớc 4: Thực hiện kiểm tra, dò quét cổng thông tin điện tử

1 Kịch bản đã đƣợc phê duyệt Đơn vị thực hiện đánh giá

- Thực hiện kiểm tra, dò quét website

- Thực hiện kiểm tra, dò quét webservices theo kịch bản đã đƣợc duyệt Thông tin trong quá trình kiểm tra, dò quét theo nội dung kiểm tra theo kịch bản

Bƣớc 5: Xuất báo cáo kết quả kiểm tra, dò quét

1 Hoàn thành việc kiểm tra, dò quét Đơn vị thực hiện đánh giá

- Thực hiện xuất các báo cáo theo yêu cầu

- Xuất báo cáo theo định dạng yêu cầu

Báo cáo kết quả kiểm tra, dò quét website, webservices

Bƣớc 6: Phân tích kết quả, đánh giá nguy cơ có thể xảy ra

1 Báo cáo kết quả kiểm tra

Đơn vị thực hiện đánh giá

- Thống kê các nguy cơ có thể dẫn tới mất an ninh an toàn website, webservices theo các mức: Rất nguy hiểm, nguy hiểm, trung bình, thấp

- Thống kê các nguy cơ

- Phân tích, đánh giá số lƣợng lỗi, lổ hổng phát hiện đƣợc - Mức độ nghiêm trọng của các

lỗ hổng: Cao, trung bình, thấp - Phân loại các lỗ hổng phát hiện đƣợc: Lỗi server, lỗi do lập trình....

67 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

2 Báo cáo kết quả kiểm tra.

Đơn vị thực hiện đánh giá

- Các nguy cơ đánh sập hệ thống

- Nguy cơ đánh cắp thông tin , CSDL..

Bƣớc 7: Thẩm định, đánh giá an ninh bảo mật cổng thông tin điện tử

1 Kết quả phân tích, đánh giá các nguy cơ

Đơn vị đánh giá, đơn vị yêu cầu đánh giá

- Liệt kê chi tiết các mục kiểm tra và tình trạng

- Kiểm định đánh giá website,

Đánh giá các công cụ dò quét lỗ hổng website

Kỹ thuật phân tích động

Mô tả quy trình thực hiện