Dò quét lỗ hổng bảo mật cho Website

1. Quy trình dò quét

Để dò quét lỗ hổng bảo mật website chúng ta có thể thực hiện theo quy trình dưới đây:
- B1: Thu thập thông tin và mô tả ứng dụng web
- B2: Thực hiện dò quét và báo cáo kết quả sơ bộ
- B3: Thực hiện đánh giá kết quả dò quét sơ bộ
- B4: Thực hiện tấn công kiểm thử khai thác lỗ hổng
- B5: Báo cáo tổng hợp và khuyến nghị khắc phục

2. Hướng dẫn thực hiện dò quét lỗ hổng website theo quy trình
B1: Thu thập thông tin và mô tả ứng dụng web
- Bám sát theo quy trình dò quét lỗ hổng bảo mật website, bước đầu tiên ta cần phải thu thập
thông tin và mô tả của ứng dụng web.
Để có được thông tin ta có thể trực tiếp yêu cầu đơn vị chủ quản của website cung cấp các thông
tin cơ bản như: nền tảng phát triển, ngôn ngữ gì để lập trình, hệ điều hành, ...
Ta cũng có thể thu thập thông tin của ứng dụng web qua các biện pháp:
 sử dụng tổ hợp phím Ctrl+ U để xem nguồn của ứng dụng web;
 sử dụng website kiểm tra online như check-host.net để thu thập thông tin địa chỉ IP của
ứng dụng web;
 sử dụng các tool dò quét, thu thập thông tin như Nmap, Nessus, OWASP ZAP, …
- Liên kết để tải các công cụ
Nmap: https://nmap.org/download.html
Nessus: https://www.tenable.com/downloads/nessus?loginAttempted=true
OWASP ZAP: https://www.zaproxy.org/download/
Webinspect:
B2: Thực hiện dò quét và báo cáo kết quả sơ bộ
Để thực hiện dò quét và báo cáo kết quả sơ bộ, ta có thể sự dụng các công cụ chuyên dò quét
lỗ hổng website đã kể ở B1 trên như Nesus, OWASP ZAP, Webinspect.
Chẳng hạn như muốn dò quét lỗ hổng bảo mặt bằng OWASP ZAP, ta có thể sử dụng chức năng
Automated scan của công cụ như sau:

Nhập URL trang web mong muốn dò quét sau đó click vào nút Attack. Sau đó ta có thể xem
chi tiết các lỗ hổng mà OWASP ZAP đã dò được bằng cách click vào báo cáo của từng lỗ hổng ,
ta cũng có thể nhận kết quả báo cáo sơ bộ thông qua cách in báo cáo các lỗ hổng dưới định dạng
PDF.
B3: Thực hiện đánh giá kết quả dò quét sơ bộ
Thực hiện đánh giá kết quả sơ bộ mà các công cụ trả về thông qua kinh nghiệm thực tiễn, sự
thân thuộc với dấu hiệu của các lỗ hổng từ người đánh giá, các biện pháp như đối chiếu lỗ hổng
với thông tin của ứng dụng web để loại bỏ các cảnh báo giả, chẳng hạn lỗ hổng trong kết quả
dò quét sơ bộ chỉ xuất hiện ở hệ điều hành Windows mà hệ điều hành ứng dụng web sử dụng
là Linux thì có thể loại bỏ hoặc ví dụ như hệ điều hành sử dụng PHP phiên bản 7.4.0 thì khó có
thể xuất hiện lỗ hổng đã được fix từ phiên bản PHP 5.3.3 đã được thông báo trên trang chủ PHP.
B4: Thực hiện tấn công kiểm thử khai thác lỗ hổng
Ta có thể thực hiện tấn công và kiểm thử khai thác lỗ hổng thông qua công cụ hỗ trợ như
Burpsuite để chứng minh lỗ hổng tồn tại và việc khai thác là khả thi
Liên kết tải Burpsuite: https://portswigger.net/burp/communitydownload
Công cụ Burpsuite có thể khóa mục tiêu website, rò quét website và đặc biệt mô phỏng cuộc
tấn công thông qua mục Intruder, Repeater. Ta sẽ lấy các thông tin dò quét được từ báo cáo sợ
bộ đã thông qua đánh giá ở B3 để giả lập lại cuộc tấn công vào trang web muốn kiểm thử để
phát hiện và khẳng định chắc chắn lỗ hổng có tồn tại. Ta còn có thể xác định được tính phức
tạp khi triển khai tấn công lỗ hổng và độ nghiêm trọng của lỗ hổng bảo mật.
B5: Báo cáo tổng hợp và khuyến nghị khắc phục
Báo cáo tổng hợp thực hiện tổng hợp thông tin từ các bước B1, B2, B3 và B4 để tổng kết số
lượng lỗ hổng, mức độ nghiêm trọng và đưa ra khuyến nghị khắc phục lỗ hổng dựa trên kinh
nghiệm của người đánh giá ATTT hoặc từ chính nhà phát triển các hệ điều hành, nền tảng web,
ngôn ngữ lập trình, ... đã công bố để nhanh chóng giải quyết các lỗ hổng bảo mật của ứng dụng
web.