2. Hướng Dẫn Thực Hiện Dò Quét Lỗ Hổng Website Theo Quy Trình

1. Quy trình dò quét

Để dò quét lỗ hổng bảo mật website chúng ta có thể thực hiện theo quy trình dưới đây (nguồn: đề tài NCKH CS2020.09.02) - B1: Thu thập thông tin và mô tả ứng dụng web - B2: Thực hiện dò quét và báo cáo kết quả sơ bộ - B3: Thực hiện đánh giá kết quả dò quét sơ bộ - B4: Thực hiện tấn công kiểm thử khai thác lỗ hổng - B5: Báo cáo tổng hợp và khuyến nghị khắc phục

2. Hướng dẫn thực hiện dò quét lỗ hổng website theo quy trình

B1: Thu thập thông tin và mô tả ứng dụng web

- Bám sát theo quy trình dò quét lỗ hổng bảo mật website, bước đầu tiên ta cần phải thu thập thông tin và mô tả của ứng dụng web. Để có được thông tin ta có thể trực tiếp yêu cầu đơn vị chủ quản của website cung cấp các thông tin cơ bản như: nền tảng phát triển, ngôn ngữ gì để lập trình, hệ điều hành, ... Ta cũng có thể thu thập thông tin của ứng dụng web qua các biện pháp: sử dụng tổ hợp phím Ctrl+ U để xem nguồn của ứng dụng web; sử dụng website kiểm tra online như check-host.net để thu thập thông tin địa chỉ IP của ứng dụng web;  sử dụng các tool dò quét, thu thập thông tin như Nmap, Nessus, OWASP ZAP, … - Liên kết để tải các công cụ

Nmap: https://nmap.org/download.html

Nessus: https://www.tenable.com/downloads/nessus?loginAttempted=true

OWASP ZAP: https://www.zaproxy.org/download/

B2: Thực hiện dò quét và báo cáo kết quả sơ bộ

Để thực hiện dò quét và báo cáo kết quả sơ bộ, ta có thể sự dụng các công cụ chuyên dò quét lỗ hổng website đã kể ở B1 trên như Nesus, OWASP ZAP, Webinspect. Chẳng hạn như muốn dò quét lỗ hổng bảo mặt bằng OWASP ZAP, ta có thể sử dụng chức năng Automated scan của công cụ như sau:

Nhập URL trang web mong muốn dò quét sau đó click vào nút Attack. Sau đó ta có thể xem chi tiết các lỗ hổng mà OWASP ZAP đã dò được bằng cách click vào báo cáo của từng lỗ hổng , ta cũng có thể nhận kết quả báo cáo sơ bộ thông qua cách in báo cáo các lỗ hổng dưới định dạng PDF.

B3: Thực hiện đánh giá kết quả dò quét sơ bộ

Thực hiện đánh giá kết quả sơ bộ mà các công cụ trả về thông qua kinh nghiệm thực tiễn, sự thân thuộc với dấu hiệu của các lỗ hổng từ người đánh giá, các biện pháp như đối chiếu lỗ hổng với thông tin của ứng dụng web để loại bỏ các cảnh báo giả, chẳng hạn lỗ hổng trong kết quả dò quét sơ bộ chỉ xuất hiện ở hệ điều hành Windows mà hệ điều hành ứng dụng web sử dụng là Linux thì có thể loại bỏ hoặc ví dụ như hệ điều hành sử dụng PHP phiên bản 7.4.0 thì khó có thể xuất hiện lỗ hổng đã được fix từ phiên bản PHP 5.3.3 đã được thông báo trên trang chủ PHP.

B4: Thực hiện tấn công kiểm thử khai thác lỗ hổng

Ta có thể thực hiện tấn công và kiểm thử khai thác lỗ hổng thông qua công cụ hỗ trợ như Burpsuite để chứng minh lỗ hổng tồn tại và việc khai thác là khả thi (liên kết tải Burpsuite: https://portswigger.net/burp/communitydownload) Công cụ Burpsuite có thể khóa mục tiêu website, rò quét website và đặc biệt mô phỏng cuộc tấn công thông qua mục Intruder, Repeater. Ta sẽ lấy các thông tin dò quét được từ báo cáo sợ bộ đã thông qua đánh giá ở B3 để giả lập lại cuộc tấn công vào trang web muốn kiểm thử để phát hiện và khẳng định chắc chắn lỗ hổng có tồn tại. Ta còn có thể xác định được tính phức tạp khi triển khai tấn công lỗ hổng và độ nghiêm trọng của lỗ hổng bảo mật.

B5: Báo cáo tổng hợp và khuyến nghị khắc phục

Báo cáo tổng hợp thực hiện tổng hợp thông tin từ các bước B1, B2, B3 và B4 để tổng kết số lượng lỗ hổng, mức độ nghiêm trọng và đưa ra khuyến nghị khắc phục lỗ hổng dựa trên kinh nghiệm của người đánh giá ATTT hoặc từ chính nhà phát triển các hệ điều hành, nền tảng web, ngôn ngữ lập trình, ... đã công bố để nhanh chóng giải quyết các lỗ hổng bảo mật của ứng dụng web.

3. Hướng dẫn khuyến nghị khắc phục lỗ hổng bảo mật web

Dưới đây là một mẫu  về danh sách lỗ hổng và khuyến nghị khắc phục