Mục lục bài viết || Contents of the article

    Hiện nay việc ứng dụng CNTT vào thực tế đời sống trở nên khá phổ biến và nó giúp các doanh nghiệp thêm phần kết nối với nhau. Để xác nhận 1 Website bảo mật và cần đảm bảo sự an toàn về mặt thông tin thì website đó cần phải được kiểm thử.

    1. Pentest theo tiêu chuẩn owasp là gì?

    Có thể hiểu một cách đơn giản Penetration Testing ( Pentest ) chính là đánh giá độ an toàn bằng cách tấn công vào hệ thống. Người thực hiện một thử nghiệm xâm nhập được gọi là kiểm tra xâm nhập hoặc pentester.

    OWASP là một chuẩn phục vụ cho việc kiểm thử của Pentester, liệt kê các công việc mà người kiểm thử nên làm và các checklist để thực hiện các công việc.

    Tổ chức Open Web Application Security Project(OWASP) là tổ chức phi lợi nhuận, tổ chức này đã đưa ra chuẩn OWASP phục vụ cho công việc pentest hiệu quả và chi tiết.

    owasp top 10

    2. 11 bước trong quy trình pentest

    2.1. Information Gathering

    Thu thập thông tin về đối tượng,thông tin về server. Bước này rất quan trọng bởi khi đã xác định được chính xác thông tin liên quan sẽ hình thành nên kịch bản để các Pentester có thể tấn công khai thác những lỗi liên quan đến websever mà không cần quan tâm tới ứng dụng đang chạy có an toàn hay không, từ đó có cách nhìn tổng quát về sản phầm cần pentest.

    2.2. Configuration and Deployment Mangement Testing

    Cần đánh giá về hệ thống máy chủ, không chỉ dừng ở bước đánh giá ứng dụng, bạn cần phải đánh giá cả nền tảng mà các ứng dụng chạy trên đó bởi nó có thể gây nguy hại không chỉ đến web mà còn đến cả hệ thống server. Hình thức kiểm tra được sử dụng là whitebox và graybox.

    2.3. Identify Management Testing

    Sau khi đã thu thập xong thông tin về ứng dụng. Bước tiếp theo là nhận định khả năng có lỗi nằm ở đâu. Xác định những điểm để thực hiện tấn công được. Kiểm tra lại cách thức tạo tài khoản trong ứng dụng. Logic trong xử lý và các quyền của người dùng.

    2.4. Authentication Testing

    Kiểm tra bảo mật với chức năng đăng nhập là vấn đề cực kỳ quan trọng, bạn phải đảm bảo việc đăng nhập cần sự an toàn và đúng với ý định của nhà phát hành ứng dụng.

    2.5. Authorization Testing

    Sau khi đăng nhập vào hệ thống. kiểm tra tính logic đã cấp đầy đủ và đúng các chức năng của ứng cho user đã đăng nhập hay chưa. Khả năng vượt qua cơ chế bảo mật để leo thang đặc quyền. cần đảm bảo và giới hạn quyền cho các user.

    2.6. Sesstion Management Testing

    Kiểm tra phiên đăng nhập.

    2.7. Input Validation Testing

    Thực hiện kiểm tra các biến nhập liệu khả năng inject vào các biến đầu vào này. Không bao giờ tin tưởng hoàn toàn người dùng, đó là 1 phương châm rất quan trọng đối với lập trình viên. Việc kiểm tra dữ liệu được nhập vào từ người dùng là công việc vô cùng quan trọng.

    2.8. Testing for Error Handing

    Kiểm tra cách xử lý lỗi của ứng dụng thông tin về lỗi cũng là 1 nguồn thu thập dữ liệu cho hacker có thể tấn công vào website. Những lúc đó ứng dụng cần có cơ chế xử lý để không gặp phải hiện tượng tự nhiên lăn đùng ra chết mà quản trị chẳng hay chết khi nào và vì sao lại chết.

    2.9. Testing for weak Cryptography

    Kiểm tra mã hóa thông tin trên đường truyền. Đối với đối thượng là những website thương mại điện tử hay giao dịch thì việc kiểm tra, mã hóa đường truyền là một vấn đề hết sức quan trọng.

    2.10. Bussiness Logic Testing

    Kiểm tra về tính logic nghiệp vụ của ứng dụng. Kiểm tra này giúp kiểm định xem xử lý của ứng dụng đã hợp với logic và chức năng của ứng dụng hay không.

    2.11. Client Side Testing

    Kiểm tra việc thực thi mã trên máy người dùng.Response nhận từ server sẽ được brower hiển thị cho người dùng. Ngoài mã html ra còn có mã JavaScript. Nếu có thể inject code đặc biệt là javascript vào response này sẽ làm cho browser thực thi mã làm thay đổi một số tính năng của ứng dụng.

    Trên đây là giới thiệu về 11 checklist trong pentest theo tiêu chuẩn OWASP. Thực hiện đầy đủ các checklist này bạn sẽ hoàn thiện quy trình pentest một cách chính xác và hiệu quả nhất.

    3. Quản trị an ninh mạng cho doanh nghiệp

    Bên cạnh pentest để kiểm tra mức độ an toàn của website, hệ thống mạng thì việc quản trị là giải pháp tổng quát hơn nhiều. Doanh nghiệp có thể pentest mỗi năm 2 tới nhiều lần (tùy vào ngân sách có được) và vá các lỗ hổng kiểm tra được, nhưng nếu có nhiều lỗ hổng xuất hiện giữa 2 lần pentest mà có thể khai thác được thì doanh nghiệp rất có thể sẽ bị tấn công mạng qua các lỗ hổng đó. Do vậy một giải pháp giúp quản trị nguy cơ an ninh mạng 24/7 sẽ tối ưu và tiết kiệm hơn nhiều so với pentest.

    Giải pháp quản trị nguy cơ an ninh mạng SecurityBox phát triển và hoàn thiện nhằm giải quyết mọi khó khăn của doanh nghiệp trong vấn đề bảo vệ an ninh mạng cho hệ thống webiste hay mạng nội bộ của doanh nghiệp.

    SecurityBox sẽ đóng vai trò là một người giám sát hệ thống mạng nội bộ, hệ thống website của doanh nghiệp 24/7 để đảm bảo trạng thái an toàn cho hệ thống mạng. Thiết bị vẽ ra một bức trang tổng thể về tình trạng an ninh mạng của doanh nghiệp; giúp doanh nghiệp có được cái nhìn trực quan về điểm mạnh, điểm yếu, lỗ hổng và cả các nguy cơ an ninh mạng tồn tại trong mạng lưới đó.

    Tìm hiểu kỹ về giải pháp quản trị an ninh mạng tại đây!

    Quý Doanh nghiệp vui lòng để lại thông tin tại form bên dưới để đăng ký dùng thử.

    Bài viết đề xuất || Recommended
    Hệ thống mạng tại nhiều cơ quan chính phủ, ngân hàng, tổ chức tài chính tại Ukraine bị tấn công từ chối dịch vụ (DDoS) và nhiễm mã độc xóa dữ...
    Số liệu thống kê cho thấy xu hướng gia tăng sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam trong bối cảnh các cơ quan, đơn vị thúc đẩy...
    Nhiều công ty dầu mỏ ở châu Âu như Oiltanking (Đức), SEA-Invest (Bỉ) và Evos (Hà Lan) đang phải tạm ngưng hoạt động do bị tin tặc tấn công mạng.  1. Chi...