3.2.1. Mục đích
Quy trình này nhằm thống nhất và hƣớng dẫn các công việc trong quá trình triển khai, kiểm định đánh giá cổng thông tin điện tử phục vụ cho các đơn vị cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tử và các đơn vị có yêu cầu đánh giá cổng thông tin điện tử
3.2.2. Phạm vi áp dụng
Áp dụng cho các đơn vị đƣợc quyền cung cấp dịch vụ đánh giá an ninh bảo mật cổng thông tin điện tửtheo quy định của pháp luật
64 3.2.3. Lƣu đồ LƯU ĐỒ KẾT QUẢ Bắt đầu Xác định cổng thông tin điện tử cần đánh giá Lập kịch bản Kiểm tra, dò quét cồng thông tin điện tử
Thực hiện kiểm tra, dò quét cổng thông tin điện tử Xuất báo cáo kết quả
kiểm tra, dò quét Phân tích kết quả, đánh giá
nguy cơ có thể xả ra Thẩm định, đánh giá an
ninh bảo mật website
Xem xét và phê duyệt kịch bản Kết thúc (1) (2) (3) (4) (5) (6) (7) Báo cáo kết quả kiểm tra
Tài liệu thẩm định an ninh cổng thông tin điệ tử Không duyệt Phê duyệt Kịch bản kiểm tra, dò quét Kịch bản kiểm tra, dò quét đã được duyệt
65
3.2.4. Mô tả quy trình thực hiện
Bảng 3-1 Nội dung quy trình STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra
Bƣớc 1: Xác định cổng điện tử cần đánh giá
1 Yêu cầu đánh giá cổng thông tin điện tử Đơn vị thực hiện đánh giá; Đơn vị yêu cầu đánh giá
Căn cứ vào yêu cầu đánh giá cổng thông tin điện tử của một số tổ chức, cá nhân hoặc doanh nghiệp. Đơn vị chịu trách nhiệm đánh giá cần xác định rõ các thông tin về cổng thông tin điện tử:
- Địa chỉ Website.
- Địa chỉ webservices nếu có - Phiên bản.
- Tài khoản để thực hiện kiểm tra. - Ip sử dụng để đánh giá. Thông tin về cổng thông tin điện tử cần đánh giá
Bƣớc 2: Lập kịch bản kiểm tra, dò quét cổng thông tin điện tử
1 Thông tin về cổng thông tin điện tử Ngƣời chịu trách nhiệm lập kịch bản của đơn vị đánh giá
Kịch bản kiểm tra, đánh giá sẽ gồm các hoạt động:
- Lập kịch bản để dò quét các lỗ hổng sẽ thực hiện dò quét và phát hiện.
-
Kịch bản kiểm tra, đánh giá cổng thông tin điện tử
Bƣớc 3: Xem xét và phê duyệt kịch bản
1 Kịch bản chƣa đƣợc duyệt , thông tin về cổng thông tin điện tử Cán bộ phê duyệt kịch bản - Xem xét kịch bản đã đúng các thông tin đã xác định đƣợc ở bƣớc 1
- Kịch bản đáp ứng đủ yêu cầu để đánh giá an ninh an toàn website.
Kịch bản đã đƣợc duyệt
66 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra (adsbygoogle = window.adsbygoogle || []).push({});
Bƣớc 4: Thực hiện kiểm tra, dò quét cổng thông tin điện tử
1 Kịch bản đã đƣợc phê duyệt Đơn vị thực hiện đánh giá
- Thực hiện kiểm tra, dò quét website
- Thực hiện kiểm tra, dò quét webservices theo kịch bản đã đƣợc duyệt Thông tin trong quá trình kiểm tra, dò quét theo nội dung kiểm tra theo kịch bản
Bƣớc 5: Xuất báo cáo kết quả kiểm tra, dò quét
1 Hoàn thành việc kiểm tra, dò quét Đơn vị thực hiện đánh giá
- Thực hiện xuất các báo cáo theo yêu cầu
- Xuất báo cáo theo định dạng yêu cầu
Báo cáo kết quả kiểm tra, dò quét website, webservices
Bƣớc 6: Phân tích kết quả, đánh giá nguy cơ có thể xảy ra
1 Báo cáo kết quả kiểm tra
Đơn vị thực hiện đánh giá
- Thống kê các nguy cơ có thể dẫn tới mất an ninh an toàn website, webservices theo các mức: Rất nguy hiểm, nguy hiểm, trung bình, thấp
- Thống kê các nguy cơ
- Phân tích, đánh giá số lƣợng lỗi, lổ hổng phát hiện đƣợc - Mức độ nghiêm trọng của các
lỗ hổng: Cao, trung bình, thấp - Phân loại các lỗ hổng phát hiện đƣợc: Lỗi server, lỗi do lập trình....
67 STT Đầu vào Ngƣời thực hiện Hoạt động Kết quả đầu ra
2 Báo cáo kết quả kiểm tra.
Đơn vị thực hiện đánh giá
- Các nguy cơ đánh sập hệ thống
- Nguy cơ đánh cắp thông tin , CSDL..
Bƣớc 7: Thẩm định, đánh giá an ninh bảo mật cổng thông tin điện tử
1 Kết quả phân tích, đánh giá các nguy cơ
Đơn vị đánh giá, đơn vị yêu cầu đánh giá
- Liệt kê chi tiết các mục kiểm tra và tình trạng
- Kiểm định đánh giá website, webservie đang ở mức độ an toàn nào: Mất an toàn ở mức nghiêm trọng, mức bình thƣờng, mức thấp Tài liệu thẩm tra, kiểm định an ninh an toàn cổng thông tin điện tử
3.2.5. Đánh giá quy trình Ƣu điểm
- Là quy trình đầu tiên đƣợc đề xuất để áp dụng vào quá trình triển khai, thẩm định, đánh giá cổng thông tin điện tử tại Việt Nam.
- Quy trình đƣợc đề xuất có tính thời sự và thực tiễn cao vì đánh giá cổng thông tin điện tử đang là vấn đề nóng và đƣợc nhiều đơn vị, cá nhân quan tâm.
- Tính thống nhất của quy trình đƣợc thể hiện rõ ở mục đích đề xuất. (adsbygoogle = window.adsbygoogle || []).push({});
- Nội dung quy trình nêu rõ trách nhiệm của từng đơn vị tham gia trong quá trình, bao gồm: Đơn vị cung cấp dịch vụ đánh giá cổng thông tin điện tử và đơn vị có nhu cầu thẩm tra, đánh giá cổng thông tin điện tử.
- Quy trình bao gồm đầy đủ các bƣớc cơ bản để có thể thẩm định, đánh giá cổng thông tin điện tử.
- Đã đƣợc áp dụng trong thực tế việc test bảo mật trong dự án phục vụ công việc của tác giá luận văn.
Nhƣợc điểm:
- So với các quy trình triển khai, đánh giá sản phẩm an toàn bảo mật thông tin nhƣ đã đề cập thì quy trình đề xuất còn khá đơn giản.
68
3.3. Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Công ty NEO sử dụng công cụ Acunetix sử dụng công cụ Acunetix
3.3.1. Xây dựng kịch bản đánh giá
Bảng 3-2 Kịch bản đánh giá
STT Trƣờng hợp test Kết quả mong muốn Đánh
giá
1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested
Không bị lỗi XSS
2. SQL Injection Không bị lỗi SQL Injection
3. Blind SQL/XPath injection Không bị lỗi
4. Buffer overflows Không bị lỗi tràn bộ nhớ
5. Input Validation Có validate dữ liệu truyền vào
6. SSL Không bị lỗi SSL
7. Security and configuration checks for badly configured proxy servers
Không bị lỗi bảo mật do cấu hình Proxy trên Server
8. Port scans the web server and obtains a list of open ports with banners
Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080)
9. Apache httpOnly Cookie
Disclosure Không bị lỗi
10. Application error message Không bị lỗi
11. Session Cookie without Secure
flag set Không bị lỗi
12. Broken links Không bị lỗi
13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde
14. Error page Web Server version disclosure (adsbygoogle = window.adsbygoogle || []).push({});
Không bị lỗi
15. URL redirection Không tự động redirect sang các trang web khác
16. CSRF Không bị lỗi CSRF
17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống
69
STT Trƣờng hợp test Kết quả mong muốn Đánh
giá
19. Arbitrary File deletion Không xóa đƣợc file mà không sử dụng các chức năng của hệ thống cung cấp
20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên Cookie
21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file
3.3.2. Thực hiện đánh giá
Để thực hiện đánh giá một cổng thông tin điện tử, ta cần tạo một phiên đánh giá. Phiên đánh giá này có các phần chính
- Thu thập dữ liệu và cấu trúc của website (Crawler site)
- Thực hiện phân tích dò quét lỗ hổng website dựa trên cấu trúc đã thu thập đƣợc Công cụ Acunetix cho phép ngƣời dùng có thể thu thập cấu trúc của website trƣớc, và sử dụng cho các lần quét khác nhau để giảm thiểu thời gian dò quét.
a) Tuỳ chọn Thu thập dữ liệu website (Crawler site)
Tùy chọn Site Crawler sẽ phân tích website và xây dựng cấu trúc của site đó dựa trên các thông tin thu thập đƣợc bao gồm các file thƣ mục hoặc các dối tƣợng trong website. Do đó, bạn có thể sử dụng tùy chọn này để phân tích cấu trúc của website
Các bƣớc Crawler site (thu thập dữ liệu)
- Vào Menu File>New>Website crawl
70
- Nhập địa chỉ website sẽ thực hiện crawl
- Chọn Login đã đƣợc tạo sẵn hoặc không
- Nhấn nút Start để bắt đầu Crawl
Màn hình chính khi crawl
Hình 3.2: Cấu trúc website
- Màn hình gồm 2 cửa số chính: Cửa sổ hiển thị cấu trúc site ở bên trái và cửa sổ hiển thị chi tiết ở bên phải.
- Cửa sổ bên trái hiển thị thông tin về website nhƣ: file, thƣ mục, cookies.
71
b) Thực hiện quét
Giao diện chính của Acunetix:
Hình 3.3: Giao diện chính của Acunetix (adsbygoogle = window.adsbygoogle || []).push({});
Bước 1:Nhấn nút New Scan Hoặc vào menu File >New> Web site Scan
Hình 3.4: Nhập địa chỉ và tuỳ chọn quét
72
- Nhấn Next
Chú ý:Tùy chọn “Scan using saved crawling results ” nếu đã có sẵn file crawler như đã thực hiện trong phần a
Bƣớc 2:
Hình 3.5: Chọn Scaning Profile
- Chọn loại lỗi muốn quét trong website trong trƣờng Scanning profile(Nếu chọn default hệ thống sẽ quét tất cả các lỗi của website)
- Chọn tùy chọn khi quét bằng cách nhấn nút Customize trong trƣờng Scan settings
- Nhấn vào checks box “Save scan results to databse for report generation” nếu muốn lƣu kết quả test vào cơ sở dữ liệu để báo cáo sau này
- Nhấn vào checks box “After crawling let me choose the files to scan” nếu muốn chọn các file đẻ quét sau khi chƣơng trình crawling xong
73 Bƣớc 3:
Hình 3.6: Thông tin về server
- Hệ thống hiển thị thông tin cơ bản về sever cài đặt website.
- Chọn công cụ phát triển website trong phần Opimize for following technologies.
- Nhấn Next Bƣớc 4:
74
- Chọn Login sequence để hệ thống tự động đăng nhập khi quét. Nhấn nút New Loging sequence để tạo Login mới (chi tiết xem trong phần VIII)
- Nhấn Next
Bƣớc 5: Nhấn Finish để bắt đầu quét
Hình 3.8: Kết thúc quá trình tuỳ chọn
Màn hình khi đang thực hiện quét website
75 3.3.3. Kết quả đánh giá
Màn hình sau khi quét xong sẽ nhƣ sau:
Hình 3.10: Màn hình sau khi thực hiện quét xong
a) Phân tích kết quả thực hiện đánh giá
- Danh sách các loại lỗi sẽ đƣợc hiển thị trong phần Scan results. Số lỗi của mỗi loại sẽ đƣợc hiển thị bằng con số cuối mỗi loại
- Nhấn vào dấu cộng trong mỗi loại để xem chi tiết
Hình 3.11: Giao diện chi tiết từng lỗi Mức độ cảnh báo lỗi:
76 (adsbygoogle = window.adsbygoogle || []).push({});
Hình 3.12: Mức độ cảnh báo
Hệ thống hiển thị 4 mức độ cảnh báo an ninh với các màu tƣơng ứng:
- Màu đỏ(level 3): Cảnh báo cho những lỗi nguy hiểm, đƣa website và tình trạng rủi do cao nhất, dễ bị hack và trộm cắp dữ liệu. Ở đây có 20 lỗi có mức độ nguy hiểm
- Màu vàng (level 2)(20 lỗi): Cảnh báo cho những lỗi nhƣ thiếu cấu hình máy chủ, mã hóa trang web site dẫn đến tạo điều kiện cho sự gián đoạn và xâm nhập vào máy chủ.
- Màu xanh da trời(5 lỗi): Cảnh báo cho những lỗi thiếu mã hóa trên đƣờng truyền dữ liệu hoặc bị lộ đƣờng dẫn thƣ mục.
- Màu xanh lá cây(7 lỗi): Thông tin cảnh báo cho những trang web dễ bị tiết lộ thông tin qua tìm kiếm trên google hoặc dễ bị tiết lộ địa chỉ email.
Hiển thị thông tin chi tiết về một lỗi đƣợc tìm thấy:
Khi nhấn vào một lỗi trong danh sách các lỗi ở phần kết quả, cửa số bên phải sẽ hiểu thị chi tiết về lỗi đó bao gồm:
- Mô tả về lỗi.
- Đƣờng dẫn/ nơi chứa file gây ra lỗi đó.
- Mức độ nguy hiểm mà lỗi này có thể mang lại.
- Chi tiết về các tham số, biến đƣợc đùng để test ra lỗi này.
- Cách để fix lỗi này.
- Thông tin chi tiết về lỗi.
77
Bảng 3-3 Kết quả theo kịch bản
STT Trƣờng hợp test Kết quả mong muốn Đánh
giá
1. Cross-Site Scripting (XSS) – over 40 different XSS variations are tested
Không bị lỗi XSS Không đạt
2. SQL Injection Không bị lỗi SQL Injection Đạt
3. Blind SQL/XPath injection Không bị lỗi Không đạt
4. Buffer overflows Không bị lỗi tràn bộ nhớ Đạt 5. Input Validation Có validate dữ liệu truyền
vào
Đạt
6. SSL Không bị lỗi SSL Không
Đạt
7. Security and configuration checks
for badly configured proxy servers Không bị lỗi bảo mật do cấu hình Proxy trên Server Không đạt
8. Port scans the web server and obtains a list of open ports with banners (adsbygoogle = window.adsbygoogle || []).push({});
Không truy cập đƣợc hệ thống ngoài các port hệ thống đã cung cấp (443, 80, 8080)
Đạt
9. Apache httpOnly Cookie
Disclosure Không bị lỗi Không đạt
10. Application error message Không bị lỗi Không đạt
11. Session Cookie without Secure flag set
Không bị lỗi Không
đạt
12. Broken links Không bị lỗi Không
đạt
13. Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde Đạt 14. Error page Web Server version
disclosure Không bị lỗi Không đạt
15. URL redirection Không tự động redirect sang các trang web khác Đạt
16. CSRF Không bị lỗi CSRF Không
đạt
17. Arbitrary File creation Không tạo đƣợc file trên Server mà không sử dụng các chức năng của hệ thống
Đạt
78
STT Trƣờng hợp test Kết quả mong muốn Đánh
giá đạt
19. Arbitrary File deletion Không xóa đƣợc file mà không sử dụng các chức năng của hệ thống cung cấp
Đạt
20. Cookie Manipulation Mã hóa dữ liệu đƣợc lƣu trên
Cookie Đạt
21. Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối của file Đạt
b) Xuất báo cáo đánh giá
Để mở màn hình báo cáo, nhấn nút Report trên thanh toolbar
Hình 3.13: Giao diện xuất báo cáo
79
Hình 3.14 : Báo cáo Danh sách các loại báo cáo (adsbygoogle = window.adsbygoogle || []).push({});
- Affected Items: Báo cáo này đƣợc tổ chức theo từng Item bị lỗi trên web site cùng với chi tiết về lỗi đƣợc tìm thấy.
- Developer Report: Đƣợc dùng cho các dev để dễ dàng cho việc fix các bug đƣợc tìm thấy.
- Executive Summary: Dùng cho các quản lý nhóm để xem xét đƣợc tình hình bảo mật của một website.
- Quick Report: Báo cáo nhanh danh sách các lỗ hổng trên các file hoặc các tham số bị lỗi.
- Compliance: Báo cáo theo một số chuẩn nhƣ PCI DSS, OWASP và WASC.
- Scan Comparison: Cho phép so sánh với các lần quét trƣớc để dễ dàng xác định các lỗi đã đƣợc fix và các lỗi chƣa đƣợc fix.
- Monthly Vulnerabilities: Thống kê các lỗi đƣợc tìm thấy theo từng tháng.
Cách tạo report
80
Hình 3.15: Tuỳ chọn xuất báo cáo
- Nếu chọn Display all scan: Hệ thống sẽ hiển thị danh sách tất cả các lần quét để bạn chọn sẽ báo cáo cho lần quét nào.
- Nếu chọn Filter displayed scans: Hệ thống cho phép bạn lọc các lần quét để báo cáo.
- Nhấn Next
Chọn lần quét, các lỗi sẽ đƣợc báo cáo trong mỗi lần
Hình 3.16: Chọn lần quét để xuất báo cáo
- Tích chọn vào lần quét sẽ báo cáo.
- Nhấn để mở các lỗi đã đƣợc tìm thấy, chọn lỗi sẽ báo cáo.