CÔNG TY CỔ PHẦN VIỄN THÔNG FPT

BÁO CÁO KIỂM TRA BẢO MẬT

CHO ỨNG DỤNG WEB
CADS - API XỬ Lý ẢNH HẠ TẦNG V1.1.0

PHIÊN BẢN 1.0

13/09/2023
CHI TIẾT TÀI LIỆU
Tài liệu được thực hiện bởi CSOC. Việc thực hiện đánh giá/kiểm thử bảo mật căn cứ vào hướng dẫn kiểm tra bảo mật ứng dụng
web của OWASP và kinh nghiệm của các chuyên gia FTEL.
LỊCH SỬ THAY ĐỔI
Phiên bản Ngày Tên Mục đích

THUỘC TÍNH TÀI LIỆU

Thuộc tính Nội dung
Vị trí lưu trữ
Tên file
Lần cập nhật gần nhất

DANH SÁCH PHÂN PHỐI

Tên Tổ chức Chức vụ
MỤC LỤC
1 BÁO CÁO TỔNG QUÁT
1.1 THÔNG TIN CHUNG
1.2 KẾT QUẢ KIỂM TRA TỔNG QUÁT
2 BÁO CÁO CHI TIẾT
2.1 LỖI CÓ NGUY CƠ TRUNG BÌNH
2.1.1 BYPASSING AUTHENTICATION SCHEMA
1 BÁO CÁO TỔNG QUÁT
1.1 THÔNG TIN CHUNG
THÔNG TIN DỰ ÁN
ĐỢT KIỂM TRA Pentest - Round 1/1
NGÀY BẮT ĐẦU 11/09/2023
NGÀY KẾT THÚC 12/09/2023
NGÀY BÁO CÁO 13/09/2023

THÔNG TIN MỤC TIÊU

DOMAIN CADS - API XỬ Lý ẢNH HẠ TẦNG V1.1.0
ĐIẠ CHỈ IP N/A

TỔNG SỐ LỖI
LỖI CÓ NGUY CƠ NGHIÊM TRỌNG 0
LỖI CÓ NGUY CƠ CAO 0
LỖI CÓ NGUY CƠ TRUNG BÌNH 1
LỖI CÓ NGUY CƠ THẤP 0
LỖI CHỨC NĂNG 0

0 (0.0%) 0 (0.0%)
0 (0.0%) 0 (0.0%)

LỖI CÓ NGUY CƠ NGHIÊM TRỌNG

LỖI CÓ NGUY CƠ CAO
LỖI CÓ NGUY CƠ TRUNG BÌNH
LỖI CÓ NGUY CƠ THẤP
LỖI CHỨC NĂNG

1 (100.0%)

Mức độ
nghiêm Mô tả
trọng
Lỗ hổng có thể dễ dàng bị kẻ tấn công từ xa mà không cần xác thực khai thác và dẫn đến có khả năng thao tác
Nghiêm trên hệ thống (ví dụ: thực thi mã tùy ý) và không yêu cầu sự tương tác của người dùng. Các lỗ hổng yêu cầu xác
trọng thực, truy cập cục bộ hoặc vật lý vào hệ thống hoặc do từ các cấu hình ít có khả năng xảy ra sẽ không được phân
loại thuộc nhóm này.
Lỗ hổng có thể dễ dàng làm ảnh hưởng đến tính bảo mật, tính toàn vẹn hoặc tính sẵn có của các nguồn lực. Đây
là các loại lỗ hổng bảo mật cho phép người dùng cục bộ hoặc người dùng đã xác thực có được đặc quyền bổ sung,
Cao cho phép người dùng từ xa chưa được xác thực xem các tài nguyên cần được bảo vệ bằng xác thực hoặc các biện
pháp kiểm soát khác, cho phép người dùng từ xa được xác thực thực thi mã tùy ý hoặc cho phép người dùng từ xa
gây ra từ chối dịch vụ.
Các lỗ hổng ở mức này có thể khó khai thác hơn nhưng vẫn có thể dẫn đến một số tổn hại về tính bảo mật, tính
Trung toàn vẹn hoặc tính sẵn có của các tài nguyên trong một số trường hợp nhất định. Đây là những loại lỗ hổng bảo
bình mật có thể có tác động nghiêm trọng hoặc cao nhưng ít có khả năng dễ dàng bị khai thác dựa trên đánh giá kỹ
thuật về lỗ hổng và/hoặc ít có khả năng ảnh hưởng đến cấu hình.
 Xếp hạng này được đưa ra cho tất cả các vấn đề khác có thể ảnh hưởng đến bảo mật. Đây là những loại lỗ hổng
được cho là cần đến những tình huống rất khó xảy ra để có thể bị khai thác, hoặc nơi mà việc khai thác thành
Thấp công sẽ mang lại những hậu quả tối thiểu. Điều này bao gồm các lỗ hổng tồn tại trong mã nguồn của chương trình
về mặt lý thuyết là có khả năng xảy ra, nhưng vectơ khai thác chưa được chứng minh tồn tại hoặc được tìm thấy
trong quá trình phân tích kỹ thuật về lỗ hổng đó.

1.2 KẾT QUẢ KIỂM TRA TỔNG QUÁT

THỐNG KÊ THEO KIỂU KIỂM TRA
MÃ THAM
STT LỖ HỔNG BẢO MẬT MỨC ĐỘ TRÁCH NHIỆM
CHIẾU
I KIỂM TRA PHẦN CHỨNG THỰC
OTG-AUTHN-
1 Bypassing Authentication Schema Trung bình N/A
004

THỐNG KÊ THEO MỨC ĐỘ NGHIÊM TRỌNG

STT LỖ HỔNG BẢO MẬT MÔ TẢ
I LỖI CÓ NGUY CƠ TRUNG BÌNH
1 Bypassing Authentication Schema /fiber-inspection/v2/inf
2 BÁO CÁO CHI TIẾT
2.1 LỖI CÓ NGUY CƠ TRUNG BÌNH
2.1.1 BYPASSING AUTHENTICATION SCHEMA
THÔNG TIN LỖ HỔNG
NHÓM LỖI KIỂM TRA PHẦN CHỨNG THỰC
CVSS 5.3 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
CWE ID CWE-287
Trong hầu hết các ứng dụng yêu cầu xác thực để đạt được quyền truy cập vào thông tin cá nhân
hoặc để thực hiện các tác vụ, không phải mọi phương pháp chứng thực đều có thể cung đầy đủ
tính bảo mật.
Do sơ xuất, thiếu kinh nghiệm hoặc không nắm rõ các lỗ hổng bảo mật của người lập trình dẫn
đến hệ thống xác thực có thể bị vượt qua bằng cách bỏ qua trang đăng nhập và trực tiếp gọi các
trang nội bộ mà đáng lẽ chỉ được hỗ trợ truy cập sau khi đã xác thực.
MÔ TẢ Ngoài ra, kẻ tấn công thường vượt qua các biện pháp chứng thực bằng cách giả mạo các yêu cầu
nhằm lừa ứng dụng nghĩ rằng người dùng đã được xác thực. Điều này có thể thực hiện bằng cách
thay đổi các tham số URL, các điều khiển trên form hoặc giả mạo phiên. Một số phương pháp
thường dùng:
Direct page request (forced browsing)
Parameter modification
Session ID prediction
SQL injection
Kẻ tấn công có truy cập vào thông tin cá nhân hoặc thực hiện các tác vụ của bất kì người dùng
NGUY CƠ
trên ứng dụng mà không cần phải xác thực.
Đảm bảo ứng dụng không mắc phải các lỗi SQL Injection, XSS.
GIẢI PHÁP Cơ chế chứng thực phải đảm bảo an toàn và kiểm tra chặt chẽ các bước xác thực.
Tuyệt đối không tin tưởng dữ liệu gửi từ máy khách (client).
https://www.owasp.org/index.php/Testing_for_Bypassing_Authentication_Schema_(OWASP-
THAM KHẢO
AT-005)

CHI TIẾT LỖ HỔNG

THUỘC TÍNH NỘI DUNG
LỖI /fiber-inspection/v2/inf
LINK LỖI http://staging.cads-api.fpt.vn/fiber-inspection/v2/inf
CHÚ THÍCH
REQUEST
POST /fiber-inspection/v2/inf HTTP/1.1
User-Agent: PostmanRuntime/7.32.3
Accept: */*

Host: staging.cads-api.fpt.vn
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Content-Length: 107207

{
"image":"/9j/4AAQSkZJRgABAQAAAQABAAD/2wBDAAgGBgcGBQgHBwcJCQgKDBQNDAsLDBkSEw8UHRofHh0aHBwgJC4nICIsIxwcKDc
pLDAxNDQ0Hyc5PTgyPC4zNDL/2wBDAQkJCQwLDBgNDRgyIRwhMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjI
yMjIyMjIyMjL/wAARCAQ4Al8DASIAAhEBAxEB/8QAHwAAAQUBAQEBAQEAAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEAwUFBAQ
AAAF9AQIDAAQRBRIhMUEGE1FhByJxFDKBkaEII0KxwRVS0fAkM2JyggkKFhcYGRolJicoKSo0NTY3ODk6Q0RFRkdISUpTVFVWV1hZWmN
kZWZnaGlqc3R1dnd4eXqDhIWGh4iJipKTlJWWl5iZmqKjpKWmp6ipqrKztLW2t7i5usLDxMXGx8jJytLT1NXW19jZ2uHi4+Tl5ufo6er
x8vP09fb3+Pn6/8QAHwEAAwEBAQEBAQEBAQAAAAAAAAECAwQFBgcICQoL/8QAtREAAgECBAQDBAcFBAQAAQJ3AAECAxEEBSExBhJBUQd
hcRMiMoEIFEKRobHBCSMzUvAVYnLRChYkNOEl8RcYGRomJygpKjU2Nzg5OkNERUZHSElKU1RVVldYWVpjZGVmZ2hpanN0dXZ3eHl6goO
EhYaHiImKkpOUlZaXmJmaoqOkpaanqKmqsrO0tba3uLm6wsPExcbHyMnK0tPU1dbX2Nna4uPk5ebn6Onq8vP09fb3+Pn6/9oADAMBAAI
RAxEAPwD1NTzSt2pg6049K0MxVpaRacaBDG6VGTUpqJqtEso2nGr3o9VjP6GtMNWXBxrlwPWBD+prSFMB4OaM03NLmmIXvUi1HnmnDpS
YIWZsW8h9FP8AKpNH40i0/wCuYqreNixnPpG38qsaUQNOt19Il/kKya0NImiBzVuJgEweapoamDHFZs0LBbjAGBUDuSPm7U8SZX3qs7Y
3A96EJkbLlSa5Hx5MYfCtyB1dlUfnn+ldW7kCuG+I8+3RrePP35gfyBraC1RlI5TwTGJPENrns2fyGaZ8Qrrz/FXlg5EShT+QP9a0fh5
Bv1h5T/BGT+J4rlvE0/n+Kb985xI388VvL4g7HefCm2ZtQaXHCRlj+PFeuHrXn3wrtdmmzz45IVf616Ea5p7mpSvgdqnP4Vhqd9/cSdk
AjX+Z/mK176QR7yxwoG4/hWPaoVtUZvvyZkb6sc0QIkTMaZTjTa1ICoLmTyreWQ9FQsfwFT1R1l/L0a9f0gf/ANBNC
-------------SNIP-------------
"inf_name":"DNGP151068HO",
"angle":"6",
"insp_id":"677",

"region":"0",
"checklist_id":"553",
"step":"2",
"type_job":"Pentest"}

RESPONSE
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 1413

Connection: close
Date: Mon, 11 Sep 2023 09:42:30 GMT
Access-Control-Allow-Origin: *

{"angle_msg":[],"angle_status":1,"bad":[{"id":"49_4","title":"Core quang th\u1eeba ko qu\u1ea5n v\u00e0o

rulo(angle 6)"},{"id":"55_4","title":"Kh\u00f4ng c\u00f3 b\u0103ng d\u00ednh c\u1ed1 \u0111\u1ecbnh core
quang v\u00e0 d\u00e2y pigtail v\u1ecb tr\u00ed 1, 3(angle 6)"},{"id":"54_4","title":"Kh\u00f4ng c\u00f3
b\u0103ng d\u00ednh c\u1ed1 \u0111\u1ecbnh pigtail V\u1ecb tr\u00ed s\u1ed1 4, 6(angle
6)"}],"checksum":"5516b06eec41cbbd26523c5ca8b6e594","good":[{"id":"48_0","title":"\u1ed0ng co
nhi\u1ec7t(angle 6)"},{"id":"53_0","title":"B\u0103ng d\u00ednh c\u1ed1 \u0111\u1ecbnh co nhi\u1ec7t
v\u1ecb tr\u00ed s\u1ed1 5(angle 6)"},{"id":"35_0","title":"D\u00e2y pigtail \u0111\u1ea7u v\u00e0o
b\u1ed9 chia(angle 6)"},{"id":"44_0","title":"M\u00f3c tr\u00f2n nh\u1ef1a c\u1ed1 \u0111\u1ecbnh
thu\u00ea bao m\u1eb7t b\u00ean trong(angle 6)"},{"id":"51_0","title":"C\u00f4n tr\u00f9ng kh\u00f4ng
l\u00e0m t\u1ed5 b\u00ean trong h\u1ed9p(angle 6)"},{"id":"26_0","title":"C\u00e1nh khay cassette(angle
6)"},{"id":"52_0","title":"B\u0103ng d\u00ednh c\u1ed1 \u0111\u1ecbnh core quang v\u1ecb tr\u00ed
s\u1ed1 2(angle 6)"},{"id":"47_0","title":"L\u1ea1t th\u00edt (D\u00e2y r\u00fat) c\u1ed1 \u0111\u1ecbnh
\u1ed5ng l\u1ecfng tr\u00ean khay cassett(angle 6)"}],"image_id":"9881b10f-1fce-442d-8c3a-
1e1d34410b07","not_found":[{"id":"27_0","title":"B\u1ea3n l\u1ec1 c\u00e1nh khay cassette(angle
6)"}],"status":"fail"}