Đánh giá các công cụ dò quét lỗ hổng website

2.5.1. Đánh giá kỹ thuật và thuật toán sử dụng a) So sánh kỹ thuật phân tích

Dựa trên nghiên cứu bên trên và thực tiễn sử dụng cho ta thấy rõ. Các công cụ trên đều có thể thực hiện dò quét và phát hiện lỗ hổng của một website khi không đƣợc cung cấp mã nguồn của website đó

Do vậy tất cả các công cụ trên đều sử dụng kỹ thuật phân tích tĩnh và chúng đề tiếp cận dựa trên phỏng đoán.

b) Đánh giá thuật toán sử dụng

Dựa trên các kiến thức vừa nghiên cứu, chúng ta có thể đƣa ra đánh giá cơ bản về thuật toán mà các công cụ sử dụng là: Công cụ Acunetix và Webscan đều sử dụng fuzzing để phát hiện lỗ hổng. Tuy nhiên, với acunetix thì số lƣợng thƣ viện đầu vào là rất lớn do đó có thể phát hiện đƣợc rất nhiều lỗ hổng khác nhau. Trong khi Webscan thì chỉ có thể phát hiện đƣợc lỗ hổng sql injection, Xpath injection, XSS, Directory listing.

Đặc biệt IBM Glass Box (đối thủ cạnh tranh của Acusensor Technology ) chỉ hỗ trợ JAVA trong khi AcuSensor hỗ trợ PHP và NET . Đƣợc sử dụng rộng rãi hơn các công nghệ web. Đây là lý do ngƣời quét web sử dụng cả 2 loại công cụ này

Ngoài ra, so với các công cụ là AppScan và Webscan thì Acunetix có sử dụng thêm công vụ vƣợt trội đó là :Acusensor Technology và một số công cụ khác nhƣ Portscan, crawler, Blind SQL injection

2.5.2. Khả năng ứng dụng thực tiễn a) Về mặt giá cả a) Về mặt giá cả

Khi sử dụng một công cụ nào đó, giá cả là một trong những vấn đề đầu tiên mà ngƣời sử dụng quan tâm. So với một số công cụ thì Acunetix có ƣu điểm là rẻ hơn rất nhiều so với các công cụ khác

Acunetix duy trì một chính sách giá cạnh tranh để cung cấp cho khách hàng với chi phí sở hữu thấp nhất và lợi nhuận cao nhất về đầu tƣ đối với hình thức cao nhất của công nghệ .

Cụ thể để sở hữu công cụ nhƣ AppScan ngƣời dùng phải bỏ ra tới 5,000$, con số đó với công cụ Webinspect của HP là 25000$, trong khi đó Acunetix chỉ có giá 1,445$

 Nhƣ vậy, ƣu điểm của Acunetix là rẻ hơn so với các công cụ khác

b) Giao diện sử dụng

Nmap, netcat hoặc nessus là công cụ rất hữu ích trong quá trình scanning port, tuy nhiên nhƣợc điểm lớn nhất của các công cụ này là ta phải nhớ từng dòng lệnh thì mới có thể thao tác và sử dụng đƣợc.

59

Để khắc phục hạn chế này, Acunetix cũng có công cụ Tager Finder rất tốt trong việc quét các port mà đặc biệt ƣu điểm của Tool này là tƣơng tác trực quan mà không phải nhớ từng dòng lệnh nhƣ Nmap hoặc Netcat đồng thời sử dụng giao diện đồ họa, tổ chức tốt, có phƣơng pháp, đáng nhớ để ngƣời dùng trở nên quen với việc nhanh chóng để sử dụng nó. Truy cập thông qua một giao diện web, lập chƣơng trình mới cho phép các quản trị viên tải về kết quả quét từ bất kỳ máy trạm, máy tính xách tay, hoặc điện thoại thông minh.

 Acunetix có giao diện trực quan, dễ sử dụng, thân thiện với ngƣời dùng.

 Giao diện trạng thái đồ họa scan cho ngƣời dùng thấy chi tiết quét dạng nút.

 Tổng hợp các yếu điểm để tạo điều kiện thuận lợi cho việc phối hợp khắc phục các lỗ hổng.

c) Công cụ hỗ trợ

Tƣơng tự nhƣ các công cụ AppScan hay Webinspect, Acunetix cũng có một số công cụ để hỗ trợ các việc nhƣ: Reporter để xuất báo cáo, Scheduler để lập lịch quét tự động hay HTTP editor, HTTP Sniffer, Encode /Decode, Authentication Tester.

Tuy nhiên, Acunetix còn có một số ƣu điểm vƣợt trội hơn so với các công cụ này đó là nó còn đƣợc trang bị một số tool sau:

-Port Scanner and network alert để thực thi việc quét các cổng có thể từ đó tấn

công vào máy chủ web chứa website đang thực hiện quét. Khi phát hiện có cổng nào đó đƣợc mở, Acunetix sẽ thực hiện kiểm tra mức độ an ninh mạng trống lại các ứng dụng web chạy trên các cổng này.

-Subdomain Scanner: Sử dụng nhiều kỹ thuật khác nhau để nhanh chóng quét

các subdomain hoạt động trên cùng một DNS.

-Acusensor Technology: Acunetix có một bộ engine phát hiện lỗ hổng hàng đầu

kèm theo là Acunetix AcuSensor thực hiện các cuộc tấn công tự động và hiển thị các lỗ hổng đƣợc tìm thấy. Đây là một công nghệ bảo mật duy nhất có thể nhanh chóng tìm thấy lỗ hổng với số lƣợng cảnh báo giả rất thấp, cho thấy lỗ hổng trong mã và báo cáo thông tin gỡ lỗi. Đồng thời xác định CRLF, Code execution, Directory Traversal, File inclusion, lỗ hổng trong xác thực và các lỗ hổng khác.

-Blind SQL injection: Đây là một cơ sở dữ liệu tự động có thể sử dụng để phân

tích các báo cáo lỗi SQL injection, ngoài ra công cụ này cũng có thể liệt kê các cơ sở dữ liệu, bảng biểu, nơi chứa dữ liệu và cũng có thể đọc các tập tin cụ thể về hệ thống của máy chủ web nếu lỗ hổng SQL injection đƣợc phát hiện. -Trình thu thập dữ liệu (crawler). Trình thu thập dữ liệu là điều cần thiết cho

một kết quả quét website, những gì bạn không thể thu thập thông tin bạn không thể quét, do đó thu thập là cầu thủ lớn trong một máy quét. (adsbygoogle = window.adsbygoogle || []).push({});

60

-Phân tích trang web của Acunetix nhằm giúp bạn chống lại kiểu tấn công Google Hacking Database Google Hacking Cơ sở dữ liệu (GHDB) là một cơ sở dữ liệu của các truy vấn đƣợc sử dụng bởi tin tặc để xác định các thông tin nhạy cảm trên trang web của bạn, chẳng hạn nhƣ trang đăng nhập cổng thông tin, các bản ghi thông tin an ninh mạng, và nhƣ vậy. Acunetix thực hiện các truy vấn GHDB vào các nội dung thông tin đã thu thập của trang web của bạn và xác định các dữ liệu nhạy cảm hoặc các mục tiêu khai thác trƣớc khi bị tấn công qua các công cụ tìm kiếm.

-So sánh giữa các kết quả test: công cụ này giúp ngƣời sử dụng dễ dàng so sánh đƣợc kết quả giữa các lần quét để phát hiện ra các lỗ hổng đã đƣợc vá hay chƣa.

 Acunetix cung cấp các công cụ hỗ trợ phong phú trong việc thực hiện dò quét lỗ hổng website, đặc biệt với Acusensor Technology giúp phát hiện đƣợc nhiều lỗ hổng hơn, chính xác hơn, và chỉ rõ đƣợc nơi mã nguồn phát sinh lỗi.

d) Chức năng

Chức năng hỗ trợ quét website nhanh chóng từ các dữ liệu đã đƣợc thu thập từ trƣớc. Để tăng tốc độ quét trong một lần quét, Acunetix hỗ trợ chức năng thực hiện quét một website từ tập dữ liệu đã đƣợc thu thập từ trƣớc. Điều này sẽ giúp đẩy nhanh thời gian quét trong một số trƣờng hợp yêu cầu cụ thể

IBM AppScan chủ yếu đƣợc xây dựng để quét các ứng dụng web JAVA . Trong khi họ đã hỗ trợ rất tốt cho JAVA , trình thu thập của họ là rất hạn chế khi cố gắng thu thập thông tin và quét các trang web đƣợc xây dựng với công nghệ web khác, chẳng hạn nhƣ PHP, ASP, . NET , Perl vv... Thực tế này cũng đã đƣợc đề cập trong một số đánh giá độc lập và so sánh. Ví dụ, trong biểu đồ so sánh sau đây, IBM không hoạt động tốt.

Bảng 2-1 So sánh giữa các công cụ

- Chức năng xuất báo cáo

Việc xuất báo cáo cũng là vấn đề mà ngƣời sử dụng công cụ quan tâm. Trong đó có vấn đề xuất báo cáo dƣới nhiều định dạng. Acunetix có ƣu điểm vƣợt trội trong tính

61

năng này. Nó cho phép xuất báo cáo theo nhiều dịnh dạng nhƣ: PDF, HTML, Word, Text, BMP.

 Báo cáo không chỉ cung cấp câu trả lời tổng thể mà đƣa ra lời giải thích sâu với tài liệu tham khảo web liên kết để biết thêm thông tin để các lỗ hổng có thể đƣợc hiểu và tránh đƣợc trong tƣơng lai.

 Tính năng báo cáo cụ thể với nhiều chuẩn báo cáo khác nhau.

 Hỗ trợ quyết nhiều hơn/ nhanh hơn - Acunetix WVS 8 có thể quét đồng thời nhiều website trên cùng một máy, cho phép ngƣời dùng quét nhiều trang web cho phép hỗ trợ thêm cho các kịch bản đa ngƣời dùng trên máy chủ / máy trạm.

 Acunetix làm giảm thời gian khi quét một website, và cho phép xuất báo cáo kết quả test dƣới nhiều định dạng thông thƣờng.

e) Nguồn nhân lực phát triển

Toàn công ty tập trung vào một sản phẩm, làm việc trên một sản phẩm chuyên dụng duy nhất. IBM là tập trung vào nhiều sản phẩm cùng lúc.

 Nhƣ vậy phần nào nói lên chất lƣợng công cụ Acunetix sẽ đƣợc chuyên sâu hơn trong lĩnh vực này.

f) Bảng so sánh giữa các công cụ phổ biến

Bảng 2-2So sách các công cụ về mặt công cụ hỗ trợ

62

Bảng so sánh trên đã một lần nữa thống kê các lợi thế của Acunetix WVS so với các công cụ khác về một số mặt: Giá cả, công cụ hỗ trợ, chức năng, các tuỳ chọn cấu hình chức năng.

Nhƣ vậy, dựa vào các số liệu so sánh giữa các công cụ, cũng nhƣ các ƣu điểm về kỹ thuật và lợi thế cạnh chanh của công cụ Acunetix so với các công cụ khác

Tác giả quyết định chọn công cụ Acunetix để đánh giá cổng thông điện tử và áp dụng trong thực tiễn.

Kết chƣơng: Chƣơng 2 đã trình bày rất chi tiết về các công cụ để đánh giá sản phẩm an toàn bảo mật thông tin. Đặc biệt trong chƣơng đã trình bày về các kỹ thuật cũng nhƣ thuật toán đƣợc sử dụng để phân tích và phát hiện các lỗ hổng trong các website. Từ đó giúp ta đánh giá đƣợc ƣu nhƣợc điểm của hệ thống công cụ này cả về mặt kỹ thuật cũng nhƣ mặt áp dụng thực tiễn. Tuy nhiên, nếu chỉ nắm đƣợc cách thức hoạt động cũng nhƣ đánh giá đƣợc các công cụ thì chƣa đủ, mà ta cần phải áp dụng đƣợc chúng vào triển khai trong thực tiễn. Chƣơng 3 của luận văn sẽ tập trung đề xuất vấn đề này.

63

CHƢƠNG III: ĐỀ XUẤT LƢ̣A CHỌN CÔNG CỤ , XÂY DƢ̣NG QUY TRÌNH ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TƢ̉ VÀ TRIỂN KHAI ÁP DỤNG TRONG THỰC TIỄN

Dựa vào thực trạng vấn đề an ninh an toàn website đã nghiên cứu ở chƣơng I, chúng ta đều thấy rằng vấn đề đánh giá các sản phẩm an toàn thông tin nói chung, cũng nhƣ đánh giá cổng thông tin điện tử nói riêng, ngày càng trở nên cấp thiết. Một số tổ chức cũng đã cung cấp các dịch vụ để đánh giá sản phẩm an toàn thông tin nhƣ đã nêu trong phần 1.2

Tuy nhiên, quy trình về việc đánh giá này vẫn chƣa đƣợc đề cập tới. Trong luận văn này, em xin đề xuất Quy trình triển khai, kiểm định đánh giá cổng thông tin điện tử với nội dung nhƣ bên dƣới . xuất công cụ (adsbygoogle = window.adsbygoogle || []).push({});

3.1. Đề đánh giá cổng thông tin điện tử

Dựa trên các nghiên cứu và đánh giá về mặt kỹ thuật cũng nhƣ tính thực tiễn. Em xin đề xuất lựa chọn công cụ Acunetix để thực hiện dò quét lỗ hổng trong các cổng thông tin điện tử. Các thử nghiệm và quy trình để áp dụng công cụ này trong thực tiễn sẽ đƣợc đề xuất và trình bày trong các phần sau của chƣơng.

3.2. Đề xuất quy trình triển khai, đánh giá cổng thông tin điện tử 3.2.1. Mục đích 3.2.1. Mục đích

Quy trình này nhằm thống nhất và hƣớng dẫn các công việc trong quá trình triển khai, kiểm định đánh giá cổng thông tin điện tử phục vụ cho các đơn vị cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tử và các đơn vị có yêu cầu đánh giá cổng thông tin điện tử

3.2.2. Phạm vi áp dụng

Áp dụng cho các đơn vị đƣợc quyền cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tửtheo quy định của pháp luật

64 3.2.3. Lƣu đồ LƯU ĐỒ KẾT QUẢ Bắt đầu Xác định cổng thông tin điện tử cần đánh giá Lập kịch bản Kiểm tra, dò quét cồng thông tin điện tử

Thực hiện kiểm tra, dò quét cổng thông tin điện tử Xuất báo cáo kết quả

kiểm tra, dò quét Phân tích kết quả, đánh giá

nguy cơ có thể xả ra Thẩm định, đánh giá an

ninh bảo mật website

Xem xét và phê duyệt kịch bản Kết thúc (1) (2) (3) (4) (5) (6) (7) Báo cáo kết quả kiểm tra

Tài liệu thẩm định an ninh cổng thông tin điệ tử Không duyệt Phê duyệt Kịch bản kiểm tra, dò quét Kịch bản kiểm tra, dò quét đã được duyệt

65

3.2.4. Mô tả quy trình thực hiện

Bảng 3-1 Nội dung quy trình STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

Bƣớc 1: Xác định cổng điện tử cần đánh giá

1 Yêu cầu đánh giá cổng thông tin điện tử Đơn vị thực hiện đánh giá; Đơn vị yêu cầu đánh giá

Căn cứ vào yêu cầu đánh giá cổng thông tin điện tử của một số tổ chức, cá nhân hoặc doanh nghiệp. Đơn vị chịu trách nhiệm đánh giá cần xác định rõ các thông tin về cổng thông tin điện tử:

- Địa chỉ Website.

- Địa chỉ webservices nếu có - Phiên bản.

- Tài khoản để thực hiện kiểm tra. - Ip sử dụng để đánh giá. Thông tin về cổng thông tin điện tử cần đánh giá

Bƣớc 2: Lập kịch bản kiểm tra, dò quét cổng thông tin điện tử

1 Thông tin về cổng thông tin điện tử Ngƣời chịu trách nhiệm lập kịch bản của đơn vị đánh giá

Kịch bản kiểm tra, đánh giá sẽ gồm các hoạt động:

- Lập kịch bản để dò quét các lỗ hổng sẽ thực hiện dò quét và phát hiện.

-

Kịch bản kiểm tra, đánh giá cổng thông tin điện tử

Bƣớc 3: Xem xét và phê duyệt kịch bản

1 Kịch bản chƣa đƣợc duyệt , thông tin về cổng thông tin điện tử Cán bộ phê duyệt kịch bản - Xem xét kịch bản đã đúng các thông tin đã xác định đƣợc ở bƣớc 1 (adsbygoogle = window.adsbygoogle || []).push({});

- Kịch bản đáp ứng đủ yêu cầu để đánh giá an ninh an toàn website.

Kịch bản đã đƣợc duyệt

66 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

Bƣớc 4: Thực hiện kiểm tra, dò quét cổng thông tin điện tử

1 Kịch bản đã đƣợc phê duyệt Đơn vị thực hiện đánh giá

- Thực hiện kiểm tra, dò quét website

- Thực hiện kiểm tra, dò quét webservices theo kịch bản đã đƣợc duyệt Thông tin trong quá trình kiểm tra, dò quét theo nội dung kiểm tra theo kịch bản

Bƣớc 5: Xuất báo cáo kết quả kiểm tra, dò quét

1 Hoàn thành việc kiểm tra, dò quét Đơn vị thực hiện đánh giá

- Thực hiện xuất các báo cáo theo yêu cầu

- Xuất báo cáo theo định dạng yêu cầu

Báo cáo kết quả kiểm tra, dò quét website, webservices

Bƣớc 6: Phân tích kết quả, đánh giá nguy cơ có thể xảy ra

1 Báo cáo kết quả kiểm tra

Đơn vị thực hiện đánh giá

- Thống kê các nguy cơ có thể dẫn tới mất an ninh an toàn website, webservices theo các mức: Rất nguy hiểm, nguy hiểm, trung bình, thấp

- Thống kê các nguy cơ

- Phân tích, đánh giá số lƣợng lỗi, lổ hổng phát hiện đƣợc - Mức độ nghiêm trọng của các

lỗ hổng: Cao, trung bình, thấp - Phân loại các lỗ hổng phát hiện đƣợc: Lỗi server, lỗi do lập trình....

67 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

2 Báo cáo kết quả kiểm tra.

Đơn vị thực hiện đánh giá

- Các nguy cơ đánh sập hệ thống

- Nguy cơ đánh cắp thông tin , CSDL..

Bƣớc 7: Thẩm định, đánh giá an ninh bảo mật cổng thông tin điện tử

1 Kết quả phân tích, đánh giá các nguy cơ

Đơn vị đánh giá, đơn vị yêu cầu đánh giá

- Liệt kê chi tiết các mục kiểm tra và tình trạng

- Kiểm định đánh giá website,