Xuất quy trình triển khai, đánh giá cổng thông tin điện tử

Một phần của tài liệu Nghiên cứu một số công cụ để đánh giá sản phẩm an toàn bảo mật thông tin (Trang 63)

3.2.1. Mục đích

Quy trình này nhằm thống nhất và hƣớng dẫn các công việc trong quá trình triển khai, kiểm định đánh giá cổng thông tin điện tử phục vụ cho các đơn vị cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tử và các đơn vị có yêu cầu đánh giá cổng thông tin điện tử

3.2.2. Phạm vi áp dụng

Áp dụng cho các đơn vị đƣợc quyền cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tửtheo quy định của pháp luật

64 3.2.3. Lƣu đồ LƯU ĐỒ KẾT QUẢ Bắt đầu Xác định cổng thông tin điện tử cần đánh giá Lập kịch bản Kiểm tra, dò quét cồng thông tin điện tử

Thực hiện kiểm tra, dò quét cổng thông tin điện tử Xuất báo cáo kết quả

kiểm tra, dò quét Phân tích kết quả, đánh giá

nguy cơ có thể xả ra Thẩm định, đánh giá an

ninh bảo mật website

Xem xét và phê duyệt kịch bản Kết thúc (1) (2) (3) (4) (5) (6) (7) Báo cáo kết quả kiểm tra

Tài liệu thẩm định an ninh cổng thông tin điệ tử Không duyệt Phê duyệt Kịch bản kiểm tra, dò quét Kịch bản kiểm tra, dò quét đã được duyệt

65

3.2.4. Mô tả quy trình thực hiện

Bảng 3-1 Nội dung quy trình STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

Bƣớc 1: Xác định cổng điện tử cần đánh giá

1 Yêu cầu đánh giá cổng thông tin điện tử Đơn vị thực hiện đánh giá; Đơn vị yêu cầu đánh giá

Căn cứ vào yêu cầu đánh giá cổng thông tin điện tử của một số tổ chức, cá nhân hoặc doanh nghiệp. Đơn vị chịu trách nhiệm đánh giá cần xác định rõ các thông tin về cổng thông tin điện tử:

- Địa chỉ Website.

- Địa chỉ webservices nếu có - Phiên bản.

- Tài khoản để thực hiện kiểm tra. - Ip sử dụng để đánh giá. Thông tin về cổng thông tin điện tử cần đánh giá

Bƣớc 2: Lập kịch bản kiểm tra, dò quét cổng thông tin điện tử

1 Thông tin về cổng thông tin điện tử Ngƣời chịu trách nhiệm lập kịch bản của đơn vị đánh giá

Kịch bản kiểm tra, đánh giá sẽ gồm các hoạt động:

- Lập kịch bản để dò quét các lỗ hổng sẽ thực hiện dò quét và phát hiện.

-

Kịch bản kiểm tra, đánh giá cổng thông tin điện tử

Bƣớc 3: Xem xét và phê duyệt kịch bản

1 Kịch bản chƣa đƣợc duyệt , thông tin về cổng thông tin điện tử Cán bộ phê duyệt kịch bản - Xem xét kịch bản đã đúng các thông tin đã xác định đƣợc ở bƣớc 1

- Kịch bản đáp ứng đủ yêu cầu để đánh giá an ninh an toàn website.

Kịch bản đã đƣợc duyệt

66 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

Bƣớc 4: Thực hiện kiểm tra, dò quét cổng thông tin điện tử

1 Kịch bản đã đƣợc phê duyệt Đơn vị thực hiện đánh giá

- Thực hiện kiểm tra, dò quét website

- Thực hiện kiểm tra, dò quét webservices theo kịch bản đã đƣợc duyệt Thông tin trong quá trình kiểm tra, dò quét theo nội dung kiểm tra theo kịch bản

Bƣớc 5: Xuất báo cáo kết quả kiểm tra, dò quét

1 Hoàn thành việc kiểm tra, dò quét Đơn vị thực hiện đánh giá

- Thực hiện xuất các báo cáo theo yêu cầu

- Xuất báo cáo theo định dạng yêu cầu

Báo cáo kết quả kiểm tra, dò quét website, webservices

Bƣớc 6: Phân tích kết quả, đánh giá nguy cơ có thể xảy ra

1 Báo cáo kết quả kiểm tra

Đơn vị thực hiện đánh giá

- Thống kê các nguy cơ có thể dẫn tới mất an ninh an toàn website, webservices theo các mức: Rất nguy hiểm, nguy hiểm, trung bình, thấp

- Thống kê các nguy cơ

- Phân tích, đánh giá số lƣợng lỗi, lổ hổng phát hiện đƣợc - Mức độ nghiêm trọng của các

lỗ hổng: Cao, trung bình, thấp - Phân loại các lỗ hổng phát hiện đƣợc: Lỗi server, lỗi do lập trình....

67 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra

2 Báo cáo kết quả kiểm tra.

Đơn vị thực hiện đánh giá

- Các nguy cơ đánh sập hệ thống

- Nguy cơ đánh cắp thông tin , CSDL..

Bƣớc 7: Thẩm định, đánh giá an ninh bảo mật cổng thông tin điện tử

1 Kết quả phân tích, đánh giá các nguy cơ

Đơn vị đánh giá, đơn vị yêu cầu đánh giá

- Liệt kê chi tiết các mục kiểm tra và tình trạng

- Kiểm định đánh giá website, webservie đang ở mức độ an toàn nào: Mất an toàn ở mức nghiêm trọng, mức bình thƣờng, mức thấp Tài liệu thẩm tra, kiểm định an ninh an toàn cổng thông tin điện tử

3.2.5. Đánh giá quy trình Ƣu điểm

- Là quy trình đầu tiên đƣợc đề xuất để áp dụng vào quá trình triển khai, thẩm định, đánh giá cổng thông tin điện tử tại Việt Nam.

- Quy trình đƣợc đề xuất có tính thời sự và thực tiễn cao vì đánh giá cổng thông tin điện tử đang là vấn đề nóng và đƣợc nhiều đơn vị, cá nhân quan tâm.

- Tính thống nhất của quy trình đƣợc thể hiện rõ ở mục đích đề xuất.

- Nội dung quy trình nêu rõ trách nhiệm của từng đơn vị tham gia trong quá trình, bao gồm: Đơn vị cung cấp dịch vụ đánh giá cổng thông tin điện tử và đơn vị có nhu cầu thẩm tra, đánh giá cổng thông tin điện tử.

- Quy trình bao gồm đầy đủ các bƣớc cơ bản để có thể thẩm định, đánh giá cổng thông tin điện tử.

- Đã đƣợc áp dụng trong thực tế việc test bảo mật trong dự án phục vụ công việc của tác giá luận văn.

Nhƣợc điểm:

- So với các quy trình triển khai, đánh giá sản phẩm an toàn bảo mật thông tin nhƣ đã đề cập thì quy trình đề xuất còn khá đơn giản.

68

3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Công ty NEO sử dụng công cụ Acunetix sử dụng công cụ Acunetix

3.3.1. Xây dựng kịch bản đánh giá

Bảng 3-2 Kịch bản đánh giá

STT Trƣờng hợp test Kết quả mong muốn Đánh

giá

1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested

Không bị lỗi XSS

2. SQL Injection Không bị lỗi SQL Injection

3. Blind SQL/XPath injection Không bị lỗi

4. Buffer overflows Không bị lỗi tràn bộ nhớ

5. Input Validation Có validate dữ liệu truyền vào

6. SSL Không bị lỗi SSL

7. Security and configuration checks for badly configured proxy servers

Không bị lỗi bảo mật do cấu hình Proxy trên Server

8. Port scans the web server and obtains a list of open ports with banners

Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080)

9. Apache httpOnly Cookie

Disclosure Không bị lỗi

10. Application error message Không bị lỗi

11. Session Cookie without Secure

flag set Không bị lỗi

12. Broken links Không bị lỗi

13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde

14. Error page Web Server version disclosure

Không bị lỗi

15. URL redirection Không tự động redirect sang các trang web khác

16. CSRF Không bị lỗi CSRF

17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống

69

STT Trƣờng hợp test Kết quả mong muốn Đánh

giá

19. Arbitrary File deletion Không xóa đƣợc file mà không sử dụng các chức năng của hệ thống cung cấp

20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên Cookie

21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file

3.3.2. Thực hiện đánh giá

Để thực hiện đánh giá một cổng thông tin điện tử, ta cần tạo một phiên đánh giá. Phiên đánh giá này có các phần chính

- Thu thập dữ liệu và cấu trúc của website (Crawler site)

- Thực hiện phân tích dò quét lỗ hổng website dựa trên cấu trúc đã thu thập đƣợc Công cụ Acunetix cho phép ngƣời dùng có thể thu thập cấu trúc của website trƣớc, và sử dụng cho các lần quét khác nhau để giảm thiểu thời gian dò quét.

a) Tuỳ chọn Thu thập dữ liệu website (Crawler site)

Tùy chọn Site Crawler sẽ phân tích website và xây dựng cấu trúc của site đó dựa trên các thông tin thu thập đƣợc bao gồm các file thƣ mục hoặc các dối tƣợng trong website. Do đó, bạn có thể sử dụng tùy chọn này để phân tích cấu trúc của website

Các bƣớc Crawler site (thu thập dữ liệu)

- Vào Menu File>New>Website crawl

70

- Nhập địa chỉ website sẽ thực hiện crawl

- Chọn Login đã đƣợc tạo sẵn hoặc không

- Nhấn nút Start để bắt đầu Crawl

Màn hình chính khi crawl

Hình 3.2: Cấu trúc website

- Màn hình gồm 2 cửa số chính: Cửa sổ hiển thị cấu trúc site ở bên trái và cửa sổ hiển thị chi tiết ở bên phải.

- Cửa sổ bên trái hiển thị thông tin về website nhƣ: file, thƣ mục, cookies.

71

b) Thực hiện quét

Giao diện chính của Acunetix:

Hình 3.3: Giao diện chính của Acunetix

Bước 1:Nhấn nút New Scan Hoặc vào menu File >New> Web site Scan

Hình 3.4: Nhập địa chỉ và tuỳ chọn quét

72

- Nhấn Next

Chú ý:Tùy chọn “Scan using saved crawling results ” nếu đã có sẵn file crawler như đã thực hiện trong phần a

Bƣớc 2:

Hình 3.5: Chọn Scaning Profile

- Chọn loại lỗi muốn quét trong website trong trƣờng Scanning profile(Nếu chọn default hệ thống sẽ quét tất cả các lỗi của website)

- Chọn tùy chọn khi quét bằng cách nhấn nút Customize trong trƣờng Scan settings

- Nhấn vào checks box “Save scan results to databse for report generation” nếu muốn lƣu kết quả test vào cơ sở dữ liệu để báo cáo sau này

- Nhấn vào checks box “After crawling let me choose the files to scan” nếu muốn chọn các file đẻ quét sau khi chƣơng trình crawling xong

73 Bƣớc 3:

Hình 3.6: Thông tin về server

- Hệ thống hiển thị thông tin cơ bản về sever cài đặt website.

- Chọn công cụ phát triển website trong phần Opimize for following technologies.

- Nhấn Next Bƣớc 4:

74

- Chọn Login sequence để hệ thống tự động đăng nhập khi quét. Nhấn nút New Loging sequence để tạo Login mới (chi tiết xem trong phần VIII)

- Nhấn Next

Bƣớc 5: Nhấn Finish để bắt đầu quét

Hình 3.8: Kết thúc quá trình tuỳ chọn

Màn hình khi đang thực hiện quét website

75 3.3.3. Kết quả đánh giá

Màn hình sau khi quét xong sẽ nhƣ sau:

Hình 3.10: Màn hình sau khi thực hiện quét xong

a) Phân tích kết quả thực hiện đánh giá

- Danh sách các loại lỗi sẽ đƣợc hiển thị trong phần Scan results. Số lỗi của mỗi loại sẽ đƣợc hiển thị bằng con số cuối mỗi loại

- Nhấn vào dấu cộng trong mỗi loại để xem chi tiết

Hình 3.11: Giao diện chi tiết từng lỗi Mức độ cảnh báo lỗi:

76

Hình 3.12: Mức độ cảnh báo

Hệ thống hiển thị 4 mức độ cảnh báo an ninh với các màu tƣơng ứng:

- Màu đỏ(level 3): Cảnh báo cho những lỗi nguy hiểm, đƣa website và tình trạng rủi do cao nhất, dễ bị hack và trộm cắp dữ liệu. Ở đây có 20 lỗi có mức độ nguy hiểm

- Màu vàng (level 2)(20 lỗi): Cảnh báo cho những lỗi nhƣ thiếu cấu hình máy chủ, mã hóa trang web site dẫn đến tạo điều kiện cho sự gián đoạn và xâm nhập vào máy chủ.

- Màu xanh da trời(5 lỗi): Cảnh báo cho những lỗi thiếu mã hóa trên đƣờng truyền dữ liệu hoặc bị lộ đƣờng dẫn thƣ mục.

- Màu xanh lá cây(7 lỗi): Thông tin cảnh báo cho những trang web dễ bị tiết lộ thông tin qua tìm kiếm trên google hoặc dễ bị tiết lộ địa chỉ email.

Hiển thị thông tin chi tiết về một lỗi đƣợc tìm thấy:

Khi nhấn vào một lỗi trong danh sách các lỗi ở phần kết quả, cửa số bên phải sẽ hiểu thị chi tiết về lỗi đó bao gồm:

- Mô tả về lỗi.

- Đƣờng dẫn/ nơi chứa file gây ra lỗi đó.

- Mức độ nguy hiểm mà lỗi này có thể mang lại.

- Chi tiết về các tham số, biến đƣợc đùng để test ra lỗi này.

- Cách để fix lỗi này.

- Thông tin chi tiết về lỗi.

77

Bảng 3-3 Kết quả theo kịch bản

STT Trƣờng hợp test Kết quả mong muốn Đánh

giá

1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested

Không bị lỗi XSS Không đạt

2. SQL Injection Không bị lỗi SQL Injection Đạt

3. Blind SQL/XPath injection Không bị lỗi Không đạt

4. Buffer overflows Không bị lỗi tràn bộ nhớ Đạt 5. Input Validation Có validate dữ liệu truyền

vào

Đạt

6. SSL Không bị lỗi SSL Không

Đạt

7. Security and configuration checks

for badly configured proxy servers Không bị lỗi bảo mật do cấu hình Proxy trên Server Không đạt

8. Port scans the web server and obtains a list of open ports with banners

Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080)

Đạt

9. Apache httpOnly Cookie

Disclosure Không bị lỗi Không đạt

10. Application error message Không bị lỗi Không đạt

11. Session Cookie without Secure flag set

Không bị lỗi Không

đạt

12. Broken links Không bị lỗi Không

đạt

13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde Đạt 14. Error page Web Server version

disclosure Không bị lỗi Không đạt

15. URL redirection Không tự động redirect sang các trang web khác Đạt

16. CSRF Không bị lỗi CSRF Không

đạt

17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống

Đạt

78

STT Trƣờng hợp test Kết quả mong muốn Đánh

giá đạt

19. Arbitrary File deletion Không xóa đƣợc file mà không sử dụng các chức năng của hệ thống cung cấp

Đạt

20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên

Cookie Đạt

21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file Đạt

b) Xuất báo cáo đánh giá

Để mở màn hình báo cáo, nhấn nút Report trên thanh toolbar

Hình 3.13: Giao diện xuất báo cáo

79

Hình 3.14 : Báo cáo Danh sách các loại báo cáo

- Affected Items: Báo cáo này đƣợc tổ chức theo từng Item bị lỗi trên web site cùng với chi tiết về lỗi đƣợc tìm thấy.

- Developer Report: Đƣợc dùng cho các dev để dễ dàng cho việc fix các bug đƣợc tìm thấy.

- Executive Summary: Dùng cho các quản lý nhóm để xem xét đƣợc tình hình bảo mật của một website.

- Quick Report: Báo cáo nhanh danh sách các lỗ hổng trên các file hoặc các tham số bị lỗi.

- Compliance: Báo cáo theo một số chuẩn nhƣ PCI DSS, OWASP và WASC.

- Scan Comparison: Cho phép so sánh với các lần quét trƣớc để dễ dàng xác định các lỗi đã đƣợc fix và các lỗi chƣa đƣợc fix.

- Monthly Vulnerabilities: Thống kê các lỗi đƣợc tìm thấy theo từng tháng.

Cách tạo report

80

Hình 3.15: Tuỳ chọn xuất báo cáo

- Nếu chọn Display all scan: Hệ thống sẽ hiển thị danh sách tất cả các lần quét để bạn chọn sẽ báo cáo cho lần quét nào.

- Nếu chọn Filter displayed scans: Hệ thống cho phép bạn lọc các lần quét để báo cáo.

- Nhấn Next

Chọn lần quét, các lỗi sẽ đƣợc báo cáo trong mỗi lần

Hình 3.16: Chọn lần quét để xuất báo cáo

- Tích chọn vào lần quét sẽ báo cáo.

- Nhấn để mở các lỗi đã đƣợc tìm thấy, chọn lỗi sẽ báo cáo.

Một phần của tài liệu Nghiên cứu một số công cụ để đánh giá sản phẩm an toàn bảo mật thông tin (Trang 63)

Tải bản đầy đủ (PDF)

(92 trang)