Báo Cáo TTTN Đại Học
MỤC LỤC
Trang
Lê Hoàng Nam D11CQAT01 Page 1
Báo Cáo TTTN Đại Học
DANH MỤC CÁC KÝ HIỆU VÀ CHỨ VIẾT TẮT
Từ viết tắt Tên tiếng Anh Tên tiếng Việt
CNTT Công nghệ thông tin
HTTP
Hypertext Transfer
Protocol
Giao thức truyền tải siêu văn
bản
HTML HyperText Markup
Language
Ngôn ngữ Đánh dấu Siêu
văn bản
DBMS Database
Management System
Hệ quản trị cơ sở dữ liệu
URL Uniform Resource
Locator
Định vị Tài nguyên thống
nhất
SSL Secure Sockers
Layer
Lớp ổ bảo mật
OWASP Open-source Web
Application Security
Project
Dự án mở về bảo mật ứng

dụng Web
WASC Web Application
Security Consortium
Bào mật ứng dụng web
thông dụng
XSS Cross Site Scripting thực thi script độc hại
CSRF Cross Site Request
Forgery
Giả mạo yêu cầu
HVBCVT
HCM
Học viện Công Nghệ Bưu
Chính Viễn Thông Hồ Chí
Minh
Lê Hoàng Nam D11CQAT01 Page 2
Báo Cáo TTTN Đại Học
DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH
Chương I :
BÁNG II.2.3.1 Đánh giá các lỗi bảo mật Owasp Top Ten 2013 (Trích
Owasp Top Ten 2013)
Hình I.2.1.1-Kiến trúc một ứng dụng web
Hình I.2.1.2-Mô hình hoạt động của một ứng dụng Web
Hình I.3.4.: Các thành phần của một cookie
Hình I.3.4.2: Cookie
Chương II
BÁNG II.2.3.1 Đánh giá các lỗi bảo mật Owasp Top Ten 2013 (Trích
Owasp Top Ten 2013)
Hình II.3.1.1-Giao diện WebScarab
Hình II.3.1.2-Giao diện BurpSuite
Hình II.3.2.1-Giao diện OWASP Zed Attack Proxy (ZAP)

Hình II.3.2.2-Giao diện Acunetix WVS (Web Vulnerability Scanner)
Bảng II.4.1.b.1 HTTP Request-Response:
Bảng II.4.6.a.1 Ví dụ CSRF
Bảng II.4.7.b.1 Ví dụ Command injection
Chương III
Bảng III.1.1 Chức năng hcm.ptit.edu.vn
Hình III.2.1.1 : Truy cập tập tin robots.txt
Hình III.2.1.2:Duyệt cấu trúc site với Burp Suite
Hình III.2.1.3: Fingerprint Web Server với Burp Suite
Hình III.2.1.4: Fingerprint Web Server với httprint
Hình III.2.1.5:Mã nguồn trang
Hình III.2.2.1:Xác định các cổng và dịch vụ website với nmap
Hình III.2.2.2:Xác định HTTP Method bằng netcat
Hình III.2.2.3:Xác định các HTTP header trong HTTP response
Lê Hoàng Nam D11CQAT01 Page 3
Báo Cáo TTTN Đại Học
Hình III.2.2.4:Kiểm tra giao thức https của website
Hình III.2.2.5:Kiểm tra giao thức ssl thông qua bên thứ ba.
Hình III.2.3.1:Sử dụng DotDotPwn trong backtrack 5 để khai thác Directory
Traversal
Hình III.2.3.2:Kiểm tra Directory Listing
Hình III.2.4.1:Kiểm tra thuộc tính cookie
Hình III.2.5.1:Kiểm tra SQL Injection với SQL Injection Me
Hình III.2.5.2 :Kiểm tra XSS với XSS Me
Hình III.2.5.3 :Kiểm tra XSS thủ công
Hình III.2.6.1 Thông báo lỗi
Hình III.2.6.2 :Kiểm tra link báo lỗi
Bảng III.3.1 Kết quả đánh giá bảo mật và an toàn hcm.ptit.edu.vn
Chương IV
Bảng IV.1.1 Chức năng uis.ptithcm.edu.vn

Hình IV.2.1.1 : Truy cập tập tin robots.txt
Hình IV.2.1.2:Duyệt cấu trúc site với Burp Suite
Hình IV.2.1.3: Fingerprint Web Server với Burp Suite
Hình IV.2.1.4: Fingerprint Web Server với httprint
Hình IV.2.1.5:Mã nguồn trang
Hình IV.2.2.1:Xác định các cổng và dịch vụ website với nmap
Hình IV.2.2.2:Xác định HTTP Method bằng netcat
Hình IV.2.2.3:Xác định các HTTP header trong HTTP response
Hình IV.2.2.4:Kiểm tra giao thức https của website
Hình IV.2.2.5:Kiểm tra giao thức ssl thông qua bên thứ ba.
Hình IV.2.3.1:Đăng nhập với username và mật khẩu hợp lệ
Hình IV.2.3.2:Đăng nhập với username đúng và mật khẩu sai
Hình IV.2.3.3:Đăng nhập với username không tồn tại
Hình IV.2.4.1: Bỏ qua xác thực với SQL Injection
Lê Hoàng Nam D11CQAT01 Page 4
Báo Cáo TTTN Đại Học
Hình IV.2.4.2: Trực tiếp yêu cầu một trang được bảo vệ thông qua address bar
trong trình duyệt
Hình IV.2.4.3: Kiểm tra thông tin đăng nhập trong cookie
Hình IV.2.4.4: Kiểm tra thuộc tính autocomplete form password
Bảng IV.4.5 Kiểm tra cơ chế khóa tài khoản
Hình IV.2.4.6:Kiểm tra Brute Force bằng Burp Suite
Hình IV.2.4.7:Kiểm tra Cache-control
Hình IV.2.4.8:Sử dụng nút Back sau khi thoát đăng nhập
Hình IV.2.5.1:Sử dụng DotDotPwn trong backtrack 5 để khai thác Directory
Traversal
Hình IV.2.5.2:Kiểm tra Directory Listing
Hình IV.2.6.1:Cookie của hacker
Hình IV.2.6.2:Set Cookie của victim giống cookie hacker
Hình IV.2.6.3:Duyệt web bằng tài khoản victim

Hình IV.2.6.4:Kiểm tra thuộc tính cookie
Hình IV.2.7.1:Kiểm tra sql injection bằng sql injection me
Hình III.2.7.2 :Kiểm tra XSS với XSS Me
Hình IV.2.8.1: Thông báo lỗi
Bảng IV.3.1 Kết quả đánh giá bảo mật và an toàn uis.ptithcm.edu.vn
Lê Hoàng Nam D11CQAT01 Page 5
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
CHƯƠNG I : TỔNG QUAN VỀ AN NINH MẠNG VÀ ỨNG
DỤNG WEB
TỔNG QUAN VỀ AN NINH MẠNG
Tình hình an ninh mạng trên toàn cầu đang diễn biến ngày càng phức tạp với
tần suất các cuộc tấn công nghiêm trọng diễn ra thường xuyên hơn. Tại Việt
Nam, chỉ tính từ đầu năm 2015 đến nay, đã có 2.460 website của các cơ quan,
doanh nghiệp bị xâm nhập. Trong năm 2014 cho thấy có tới 40% website
thuộc các đơn vị trọng yếu, doanh nghiệp lớn của Việt Nam tồn tại lỗ hổng .
Một trong những nguyên nhân của tình trạng này là thiếu quy trình kiểm tra
đánh giá cũng như kinh nghiệm về lập trình an toàn.
Khả năng có thể truy cập 24/7 từ bất cứ nơi nào trên thế giới hay các ứng
dụng web không an toàn thường cung cấp truy cập dễ dàng đến cơ sở dữ liệu
là một sơ hở lớn cho phép tin tặc có thể thực hiện các hoạt động bất hợp pháp
bằng cách sử dụng các trang web đã tấn công. Hầu hết nguyên nhân của các
vụ tấn công này là do website tồn tại nhiều lỗ hổng bảo mật.
Một điều đáng lo ngại nữa là đối với các cá nhân, tổ chức và doanh
nghiệp, CNTT nói chung và các ứng dụng web nói riêng đang trở thành một
trong các nhân tố, công cụ đắc lực hỗ trợ tăng hiệu suất làm việc và lợi nhuận,
hiểu quả kinh tế cao cho họ, nhưng sự quan tâm, và chi phí bỏ ra cho lĩnh vực
bảo trì, bảo mật lại không đáng kể.
Đồng thời các mói nguy hiểm đe dọa ngày càng mới và phát triển phức
tạp hơn, khả năng tấn công và khai thác của các kẻ xấu đã tăng lên rõ rệt, các

mã độc, phần mềm độc hại, virut trở nên khó phát hiện và tiêu diệt hơn.
Vì vậy vấn đề an ninh mạng nói chung và bảo mật Web Application nói
riêng đang là một vấn đề quan trọng và cấp bách cần phải được nghiên cứu,
tìm hiểu và đưa ra các giải pháp và kỹ thuật mới để phòng tránh, đồng thời cá
nhân, tổ chức và doanh nghiệp cũng cần dành nhiều thời gian, kinh phí, nhân
lực kỹ thuật để đảm bảo cho hệ thống mạng cũng như Web Application của
mình hoạt động tốt, có khả năng chống chọi và ngăn chặn trước các mối nguy
hiểm và các cuộc tấn công.
Lê Hoàng Nam D11CQAT01 Page 6
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
I.2 TỔNG QUAN VỀ ỨNG DỤNG WEB
I.2.1 KHÁI NIỆM ỨNG DỤNG WEB
Ứng dụng Web là một ứng dụng chủ/khách sử dụng giao thức HTTP để
tương tác với người dùng hay hệ thống khác.
Trình khách dành cho người sử dụng thường là một trình duyệt Web như
Internet Explorer hay Netscape Navigator. Cũng có thể là một chương trình
đóng vai trò đại lý người dùng hoạt động như một trình duyệt tự động.
Người dùng gửi và nhận các thông tin từ trình chủ thông qua việc tác động
vào các trang Web. Các chương trình có thể là các trang trao đổi mua bán,
các diễn đàn, gửi nhận e-mail…
Tốc độ phát triển các kỹ thuật xây dựng ứng dụng Web cũng phát triển
rất nhanh. Trước đây những ứng dụng Web thường được xây dựng bằng CGI
(Common

Gateway Interface) được chạy trên các trình chủ Web và có thể
kết nối vào các cơ sở dữ liệu đơn giản trên cùng máy chủ. Ngày nay ứng
dụng Web thường được viết bằng Java (hay các ngôn ngữ tương tự) và chạy
trên máy chủ phân tán, kết nối đến nhiều nguồn dữ liệu.
Một ứng dụng web thường có kiến trúc gồm:

Hình I.2.1.1-Kiến trúc một ứng dụng web
• Lớp trình bày: Lớp này có nhiệm vụ hiển thị dữ liệu cho người dùng,
Lê Hoàng Nam D11CQAT01 Page 7
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
ngoài ra còn có thể có thêm các ứng dụng tạo bố cục cho trang web.
• Lớp ứng dụng: là nơi xử lý của ứng dụng Web. Nó sẽ xử lý thông tin
người dùng yêu cầu, đưa ra quyết định, gửi kết quả đến “lớp trình bày”.
Lớp này thường được cài đặt bằng các kỹ thuật lập trình như CGI, Java,
.NET , PHP hay ColdFusion, được triển khai trên các trình chủ như IBM
WebSphere, WebLogic, Apache, IIS…
• Lớp dữ liệu: thường là các hệ quản trị dữ liệu (DBMS) chịu trách nhiệm
quản lý các file dữ liệu và quyền sử dụng.
Mô hình hóa hoạt động của một ứng dụng Web:
Hình I.2.1.2-Mô hình hoạt động của một ứng dụng Web
Trong đó:
Lê Hoàng Nam D11CQAT01 Page 8
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
• Trình khách ( hay còn gọi là trình duyệt): Internet Explorer, Netscap
Navigator
• Trình chủ: Apache, IIS, ….
• Hệ quản trị cơ sở dữ liệu: SQL Server, MySQL, DB2, Access….
Bên cạnh đó, một giải pháp dùng để bảo vệ một hệ thống mạng thường được
sử dụng là bức tường lửa, nó có vai trò như là lớp rào chắn bên ngoài một
hệ thống mạng, vì chức năng chính của firewall là kiểm soát luồng thông tin
giữa các máy tính. Có thể xem firewall như một bộ lọc thông tin, nó xác
định và cho phép một máy tính này có được truy xuất đến một máy tính
khác hay không, hay một mạng này có được truy xuất đến mạng kia hay
không.

Người ta thường dùng firewall vào mục đích:
• Cho phép hoặc cấm những dịch vụ truy xuất ra ngoài.
• Cho phép hoặc cấm những dịch vụ từ bên ngoài truy nhập vào trong.
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
Firewall hoạt động dựa trên gói IP do đó kiểm soát việc truy nhập của máy
người sử dụng
I.2.2 MÔ TẢ HOẠT ĐỘNG CỦA MỘT ỨNG DỤNG WEB
Đầu tiên trình duyệt sẽ gửi một yêu cầu (request) đến trình chủ Web thông
qua các lệnh cơ bản GET, POST… của giao thức HTTP, trình chủ lúc này có
thể cho thực thi một chương trình được xây dựng từ nhiều ngôn ngữ như
Perl, C/C++… hoặc trình chủ yêu cầu bộ diễn dịch thực thi các trang ASP,
JSP… theo yêu cầu của trình khách.
Tùy theo các tác vụ của chương trình được cài đặt mà nó xử lý, tính toán, kết
nối đến cơ sở dữ liệu, lưu các thông tin do trình khách gửi đến…và từ đó
trả về cho trình

khách 1 luồng dữ liệu có định dạng theo giao thức HTTP, nó
gồm 2 phần:
• Header mô tả các thông tin về gói dữ liệu và các thuộc tính, trạng thái
Lê Hoàng Nam D11CQAT01 Page 9
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
trao đổi giữa trình duyệt và WebServer.
• Body là phần nội dung dữ liệu mà Server gửi về Client, nó có thể là một
file

HTML, một hình ảnh, một đoạn phim hay một văn bản bất kì.
Theo mô hình ở Hình I.2.1.2, với firewall, luồng thông tin giữa trình chủ và
trình khách là luồng thông tin hợp lệ. Vì thế, nếu hacker tìm thấy vài lỗ
hổng trong ứng dụng Web thì firewall không còn hữu dụng trong việc ngăn

chặn hacker này. Do đó, các kĩ thuật tấn công vào một hệ thống mạng ngày
nay đang dần tập trung vào những sơ suất (hay lỗ hổng) trong quá trình tạo
ứng dụng của những nhà phát triển Web hơn là tấn công trực tiếp vào hệ
thống mạng, hệ điều hành. Tuy nhiên, hacker cũng có thể lợi dụng các lỗ
hổng Web để mở rộng sự tấn công của mình vào các hệ thống không liên
quan khác .
I.2.3 CÁC NGUYÊN NHẬN VÀ MỐI ĐE DỌA WEBSITE :
Trong quá trình hoạt động, ứng dụng web thường được phép truy xuất đến các
tài nguyên quan trọng của hệ thống đó là máy chủ web và máy chủ cơ sở dữ
liệu.
Thông thường khi phát triển ứng dụng, các lập trình viên thường dành nhiều
thời gian cho các chức năng, giao diện mà bỏ qua vấn đề bảo mật. Điều đó
không có nghĩa là lập trình viên không quan tâm đến vấn đề bảo mật mà vấn
đề ở chỗ họ thường thiếu kiến thức về bảo mật và vấn đề bảo mật thường bị bỏ
qua trong giai đoạn thiết kế và xây dựng ứng dụng.
Ứng dụng có lỗ hỗng bảo mật thường bị tin tặc khai thác để chiếm quyền điều
khiển máy chủ web và máy chủ cơ sở dữ liệu. Từ đó tin tặc có thể triển khai
các kiểu tấn công khác như:
• Thay đổi giao diện trang web
• Chèn các mã độc được cài đặt tự động vào máy người dùng khi họ truy
cập vào ứng dụng
• Chèn các mã độc để lấy cắp các thông tin về phiên làm việc (session
ID)
• Lấy cắp thông tin về được lưu trữ trên cơ sở dữ liệu
• Truy cập tự do vào những vùng cấm
•
I. CÁC KHÁI NIỆM VÀ THUẬT NGỮ:
I.3. HACKER:
Lê Hoàng Nam D11CQAT01 Page 10
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh

mạng và ứng dụng web
Hacker là một thuật ngữ dùng để chuyên chỉ những kẻ phá hoại các hệ
thống mạng…Hacker thường là những chuyên gia về máy tính. Hacker không
tạo ra các kẽ hở chohệ thống, nhưng hacker lại là những người am hiểu về hệ
điều hành, hệ quản trị dữ liệu, các ngôn ngữ lập trình…
Họ sử dụng kiến thức của mình trong việc tìm tòi và khai thác các lỗ
hổng của hệ thống mạng. Một số hacker chỉ dừng lại việc phát hiện và thông
báo lỗi tìm được cho những nhà bảo mật hay người phát triển chương trình, họ
được xem như là WhiteHat (Hacker mũ trắng). Một số hacker dựa vào những
lỗ hổng thực hiện việc khai thác trái phép nhằm mục đích phá hoại hay mưu
lợi riêng, những người này bị xem như là BlackHat (Hacker mũ đen).
I.3. HTTP HEADER:
HTTP header là phần đầu (header) của thông tin mà trình khách và trình
chủ gửi cho nhau. Những thông tin trình khách gửi cho trình chủ được gọi là
HTTP requests (yêu cầu) còn trình chủ gửi cho trình khách là HTTP responses
(trả lời). Thông thường, một HTTP header gồm nhiều dòng, mỗi dòng chứa
tên tham số và giá trị. Một số tham số có thể được dùng trong cả header yêu
cầu và header trả lời, còn số khác thì chỉ đuợc dùng riêng trong từng loại.
I.3. SESSION:
HTTP là giao thức hướng đối tượng tổng quát, phi trạng thái, nghĩa là
HTTP không lưu trữ trạng thái làm việc giữa trình duyệt với trình chủ. Sự
thiếu sót này gây khó khăn cho một số ứng dụng Web, bởi vì trình chủ không
biết được trước đó trình duyệt đã có những trạng thái nào. Vì thế, để giải quyết
vấn đề này, ứng dụng Web đưa ra một khái niệm phiên làm việc (Session).
Còn SessionID là một chuỗi để chứng thực phiên làm việc. Một số trình chủ sẽ
cung cấp một SessionID cho người dùng khi họ xem trang web trên trình chủ.
Để duy trì phiên làm việc thì sessionID thường được lưu vào :
 Biến trên URL
 Biến ẩn form
 Cookie

Phiên làm việc chỉ tồn tại trong một khoảng thời gian cho phép, thời
gian này được cấu hình qui định tại trình chủ hoặc bởi ứng dụng thực thi.
Trình chủ sẽ tự động giải phóng phiên làm việc để khôi phục lại tài nguyên
của hệ thống.
Lê Hoàng Nam D11CQAT01 Page 11
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
I.3. COOKIE:
Cookie là những phần dữ liệu nhỏ có cấu trúc được chia sẻ giữa trình
chủ và trình duyệt của người dùng.
Các cookie được lưu trữ dưới những file dữ liệu nhỏ dạng text, được
ứng dụng tạo ra để lưu trữ/truy tìm/nhận biết các thông tin về người dùng đã
ghé thăm trang Web và những vùng mà họ đi qua trong trang. Những thông tin
này có thể bao gồm tên/định danh người dùng, mật khẩu, sở thích, thói
quen cookie được trình duyệt của người dùng chấp nhận lưu trên đĩa cứng
của máy mình, tuy nhiên không phải lúc nào trình duyệt cũng hỗ trợ cookie,
mà còn tùy thuộc vào người dùng có chấp nhận chuyện lưu trữ đó hay không.
Ở những lần truy cập sau đến trang Web đó, ứng dụng có thể dùng lại
những thông tin trong cookie (như thông tin liên quan đến việc đăng nhập vào
Yahoo Messenger! ) mà người dùng không phải làm lại thao tác đăng nhập
hay phải cung cấp lại các thông tin khác.
Cookie được phân làm 2 loại secure/non-secure và persistent/non-
persistent do đó ta sẽ có 4 kiểu cookie là:
 Persistent và Secure
 Persistent và Non-Secure
 Non-Persistent và Secure
 Non-Persistent và Non-Secure
Persistent cookies được lưu trữ dưới dạng tập tin .txt (ví dụ trình duyệt
Netscape Navigator sẽ lưu các cookie thành một tập tin cookie.txt còn Internet
Explorer sẽ lưu thành nhiều tập tin *.txt trong đó mỗi tập tin là một cookie)

trên máy khách trong một khoản thời gian xác định.
Non-persistent cookie thì được lưu trữ trên bộ nhớ RAM của máy
khách và sẽ bị hủy khi đóng trang web hay nhận được lệnh hủy từ trang web.
Secure cookies chỉ có thể được gửi thông qua HTTPS (SSL).
Non-Secure cookie có thể được gửi bằng cả hai giao thức HTTPS hay
HTTP. Thực chất là đối với secure cookie thì trình chủ sẽ cung cấp chế độ
truyền bảo mật.
Domain Flag Path Secure
Expiratio
n
Name Value
Lê Hoàng Nam D11CQAT01 Page 12
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
www.redha
t.com
False / False
11540294
90
Apach
e
64.3.40.151.16
018996349247
480
Hình I.3.4.: Các thành phần của một cookie
 Domain: tên miền của trang Web đã tạo cookie (trong ví dụ trên là
www.redhat.com)
 Flag: mang giá trị TRUE/FALSE xác định các máy khác với cùng tên
miền có được truy xuất đến cookie hay không.
 Path: Phạm vi các địa chỉ có thể truy xuất cookie.

 Sercure: Mang giá trị TRUE/FALSE xác định đây là một secure cookie
hay không nghĩa là kết nối có sử dụng SSL hay không.
 Expiration: Thời gian hết hạn của cookie, được tính bằng giây kể từ
00:00:00 giờ GMT ngày 01/01/1970. Nếu giá trị này không được thiết lập thì
trình duyệt sẽ hiểu đây là non-persistent cookie và chỉ lưu trong bộ nhớ RAM
và sẽ xóa nó khi trình duyệt bị đóng.
 Name: tên biến (trong trường hợp này là Apache).
 Value: Với cookie được tạo ở trên thì giá trị của Apache.
54.3.40.151.16018996349247480 và hết hạn là 27/07/2006, của tên miền

Set-Cookie:Apache="64.3.40.151.16018996349247480"; path="/";
domain="www.redhat.com"; path_spec; expires="2006-07-27
19:39:15Z"; version=0
Hình I.3.4.2: Cookie
Các cookie của Netscape (NS) đặt trong một tập tin Cookies.txt, với đường
dẫn là: C:\Program Files\Netscape\Users\UserName\Cookies.txt
Các cookies của IE được lưu thành nhiều tập tin, mỗi tập tin là một cookie và
được đặt trong C:\Documents and Setting\[username]\Cookies (Win2000), đối
với win9x, thư mục cookies nằm trong thư mục C:\Windows\cookies.
Kích thước tối đa của cookie là 4kb. Số cookie tối đa cho một tên miền
là 20 cookie.Cookie bị hủy ngay khi đóng trình duyệt gọi là “session cookie”.
I.3. PROXY:
Proxy cung cấp cho người sử dụng truy xuất Internet những nghi thức
đặt biệt hoặc một tập những nghi thức thực thi trên dual_homed host hoặc
Lê Hoàng Nam D11CQAT01 Page 13
Báo Cáo TTTN Đại Học Chương I :Tổng quan về an ninh
mạng và ứng dụng web
basion host. Những chương trình client của người sử dụng sẽ qua trung gian
proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp.
Proxy server xác định những yêu cầu từ client và quyết định đáp ứng

hay không đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với
server thật thay cho client và tiếp tục chuyển tiếp những yêu cầu từ client đến
server, cũng như trả lời của server đến client. Vì vậy proxy server giống cầu
nối trung gian giữa server và client.
Lê Hoàng Nam D11CQAT01 Page 14
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
CHƯƠNG II: GIỚI THIỆU SƠ LƯỢC VỀ CÁC KĨ THUẬT
ĐÁNH GIÁ MỨC DỘ BẢO MẬT VÀ AN TOÀN ỨNG
DỤNG WEB
II.1 KHÁI NIỆM AN NINH WEBSITE :
An ninh Website là bằng các phương pháp khoa học và kỹ thuật đánh giá một
cách tổng thể và chi tiết về an tòan bảo mật website . Các phương pháp đánh
giá và phân tích được dựa trên cơ sở sử dụng các công cụ kỹ thuật chuyên
dụng và kỹ thuật tấn công phân tích. Kết quả của việc đánh giá sẽ cho biết về
mức độ an tòan của hệ thống, khả năng phòng chống trước những tấn công
ngày càng nhiều và nguy hiểm trên mạng Internet. Kết quả cung sẽ chỉ ra các
thiếu sót cần khắc phục trong việc triển khai và vận hành hệ thống.
II.2.GIỚI THIỆU VỀ PENTEST
II.2.1 KHÁI NIỆM PENTEST
Là hình thức kiểm tra hệ thống CNTT của bạn có thể bị tấn công hay không,
bằng cách giả lập các vụ tấn công thử nghiệm tạo ra. Có thể hiểu một cách đơn
giản Penetration Testing ( Pentest ) chính là đánh giá độ an toàn bằng cách tấn
công vào hệ thống .
Pentest khác với Vulnerability Assessment .Vulnerability Assessment là quá
trình xem xét lại các dịch vụ và hệ thống để tìm ra các vấn đề an ninh tiềm
tàng hoặc dò tìm các dấu vết khi hệ thống bị tổn thương. Người thực hiện một
thử nghiệm xâm nhập được gọi là kiểm tra xâm nhập hoặc pentester.
Khi thâm nhập thử nghiệm cần phải có sự cho phép của người sở hữu hệ
thống. Nếu không, sẽ là hacking hệ thống, và đó là bất hợp pháp. Nói cách

khác: Sự khác biệt giữa thử nghiệm thâm nhập và hack là có sự cho phép của
chủ sở hữu hệ thống .
Pentest cần được thực hiện trên cơ sở tuân thủ các tiêu chuẩn quốc tế về đánh
giá an ninh bảo mật cho hệ thống như sau:
• Đánh giá ứng dụng Web – OWASP (Open-source Web Application
Security Project): OWASP là một chuẩn mở cho phép tổ chức/DN tiến hành
xây dựng, phát triển, duy trì hoạt động của các ứng dụng trên nền tảng web
một cách bảo mật nhất. Quá trình đánh giá dựa trên các tiêu chí đã được cộng
đồng bảo mật xác nhận. OWASP bao gồm 10 lỗ hổng được đánh giá một cách
Lê Hoàng Nam D11CQAT01 Page 15
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
chi tiết và cập nhật thường xuyên với thực tế các nguy cơ mà một ứng dụng
web thường gặp.
• Đánh giá mạng và hệ thống – OSSTMM (Open Source Security Testing
Methodology Manual): OSSTMM là một chuẩn mở cung cấp phương pháp
kiểm tra bảo mật một hệ thống đang hoạt động của doanh nghiệp. Từ phiên
bản 3.0, OSSTMM đưa ra phương pháp kiểm định cho hầu hết các thành tố
trong hệ thống như: con người, hạ tầng vật lý, mạng không dây, truyền thông
và các mạng sử dụng truyền dữ liệu.
II.2.2 PHƯƠNG PHÁP SỬ DỤNG TRONG PENTEST.
• Hộp đen (Black box) :
Tấn công từ ngoài vào (black box Pen Test): các cuộc tấn công được thực hiện
mà không có bất kỳ thông tin nào, pentester sẽ đặt mình vào vị trí của những
tin tặc mũ đen và cố gắng bằng mọi cách để thâm nhập vào được mạng nội,
ngoại của khách hàng.
Pentester sẽ mô phỏng một cuộc tấn công thực sự vào ứng dụng ,quá trình thử
nghiệm bao gồm một loạt các lỗ hổng bảo mật ở cấp ứng dụng được xác định
bởi OWASP và WASC (Web Application Security Consortium), nhắm mục
tiêu các lỗ hổng bảo mật nguy hiểm tiềm tàng trong ứng dụng của khách

hàng . Quá trình thử nghiệm sẽ tiết lộ các lỗ hổng, thiệt hại khai thác tiềm
năng và mức độ nghiêm trọng.
• Hộp trắng (White box)
Tấn công từ trong ra (white box Pen Test): là các thông tin về mạng nội bộ và
ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng
dựa trên đó.
Điều quan trọng là cho các tổ chức để xác định rủi ro và mối đe dọa của họ
xuất phát từ đâu Nếu doanh nghiệp cảm nhận được nó đến từ các nhân viên,
khách hàng hoặc đối tác thương mại, nó có thể có lợi để tiến hành một thử
nghiệm hộp Penetration trắng. Nhân viên, khách hàng và các đối tác thương
mại có kiến thức về thông tin của doanh nghiệp. Họ có thể biết rằng Doanh
Nghiệp có một Intranet hoặc Extranet, trang web, và họ cũng có thể có các
thông tin cho phép họ để đăng nhập vào hệ thống. Họ có thể biết nhân viên
làm việc trong tổ chức, cơ cấu quản lý, các ứng dụng chạy trong môi trường.
Tất cả các thông tin này có thể được sử dụng để khởi động các cuộc tấn công
Lê Hoàng Nam D11CQAT01 Page 16
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
nhắm mục tiêu nhiều hơn đối với một cơ sở hạ tầng, mà có thể không được
xác định là một phần của một sự tham gia thử nghiệm Black Box.
• Hộp xám (Gray box)
Kiểm định hộp xám (Gray-box hay Crystal-box): Giả định như tin tặc được
cung cấp tài khoản một người dùng thông thường và tiến hành tấn công vào hệ
thống như một nhân viên của doanh nghiệp.
II.2.3 TIÊU CHUẨN ĐÁNH GIÁ WEB – OWASP TOP 10 2013
OWASP (Open Web Application Security Project) là 1 dự án mở về bảo mật
ứng dụng web, dự án là sự cố gắng chung của cộng đồng với mục đích giúp
các doanh nghiệp có thể phát triển, mua và bảo trì các ứng dụng web một cách
an toàn.
OWASP cung cấp cho cộng đồng nhiều nguồn “tài nguyên” khác nhau:

• Công cụ và tiêu chuẩn về an toàn thông tin
• Các bộ chuẩn về kiểm tra bảo mật ứng dụng, lập trình an toàn và kiểm
định mã nguồn
• Các thư viện và tiêu chuẩn điều khiển an toàn thông tin
• Các nghiên cứu mới nhất về bảo mật ứng dụng web
• Các maillist uy tín về thông tin bảo mật
•
Tất cả những gì OWASP cung cấp đều là miễn phí và mở cho bất cứ ai có nhu
cầu nâng cao bảo mật thông tin.
Điều này giúp OWASP ko bị phụ thuộc vào các nhà tài trợ, đưa ra những
thông tin chính xác, khách quan, không thiên vị và có giá trị ứng dụng cao.
Mục tiêu chính của OWASP Top 10 là để hướng dẫn người lập trình viên,
người thiết kế, kỹ sư, quản lí và cả tổ chức về hậu quả của những điểm yếu
quan trọng nhất trong ứng dụng web. Top 10 cung cấp những kỹ năng cơ bản
để bảo vệ chống lại các rủi ro và hướng dẫn để xử lý.
OWASP Top 10 2013 :
 A1 – Injection ( Lỗi mã nhúng ) : Xảy ra trong các ứng dụng như SQL,
LDAP khi những dữ liệu không xác thực được gửi tới hệ thống biên dịch như
một phần của mã lệnh. Những dữ liệu này của kẻ tấn công có thể lừa hệ thống
biên dịch thực hiện những mã lệnh độc hại hoặc giúp kẻ tấn công xâm nhập
đến những dữ liệu quan trọng một cách trái phép.
 A2 – Broken Authentication and Session Management ( Sai lầm trong
kiểm tra định danh ) : Những đoạn chương trình kiểm tra danh tính và quản
Lê Hoàng Nam D11CQAT01 Page 17
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
l{ phiên làm việc của người sử dụng thường hay được làm qua loa không đúng
cách. Điều này giúp kẻ thâm nhập có thể ăn cắp mật mã, khóa, mã của các
phiên làm việc {session token} hoặc tận dụng những lỗi khác để giả mạo danh
tính các người dùng khác.

 A3 – Cross Site Scripting ( XSS – thực thi script độc hại ) : Xảy ra khi
một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúngđến
cho trình duyệt web mà không qua xử l{ và kiểm duyệt. XSS cho phép kẻ tấn
công thực hiện mã độc trên trình duyệt của người bị tấn công và lợi dụng ăn
cắp phiên truy cập để mạo danh hoặc hủy hoại trang web hoặc lừa người sử
dụng đến những trang web chứa mã độc khác
 A4 – Insecure Direct Object References ( Đối tượng tham chiếu thiếu
an toàn ) :Xảy ra khi người phát triển để lộ một tham chiếu đến những đối
tượng trong hệ thống như các tập tin, thư mục hay chìa khóa dữ liệu. Nếu
chúng ta không có một hệ thống kiểm tra truy cập, kẻ tấn công có thể lợi dụng
những tham chiếu này để truy cập dữ liệu một cách trái phép
 A5 – Security Misconfiguration ( Sai sót cấu hình an ninh ) : Một cơ
chế an ninh tốt cần phải định nghĩa những hiệu chỉnh về an ninh và triển khai
nó cho các ứng dụng, khuôn mẫu, máy chủ ứng dụng, máy chủ web, máy chủ
dữ liệu và các ứng dụng nền tảng. Tất cả những thiệt lập nên được định nghĩa,
thực hiện và bảo trì bởi vì rất nhiều thứ không được triển khai với thiết lập an
toàn mặc định. Các hiệu chỉnh cũng bao gồm cập nhật phần mềm và những thư
viện được sử dụng bởi ứng dụng.
 A6 - Sensitive Data Exposure ( Tiếp xúc với dữ liệu nhạy cảm ) : Các
dữ liệu nhạy cảm được lưu trữ không an toàn có thể gây ra những ảnh hưởng to
lớn cho hệ thống máy chủ, cũng như cho khách hàng.
 A7 – Missing Function Level Access Control ( Sai sót hạn chế truy
cập ) : Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập (URL)
trước khi dựng các liên kết và nút nhấn được bảo vệ. Tuy nhiên ứng dụng cũng
phải thực hiện những kiểm tra tương tự mỗi khi những trang thông tin được
truy cập trực tiếp nếu không kẻ tấn công có thể giả mạo URL để truy cập vào
những trang thông tin ẩn này.
 A8 – Cross Site Request Forgery ( CSRF – Giả mạo yêu cầu ) : Kiểu
tấn công này ép buộc trình duyệt web của một người dùng đã đăng nhập gửi
những yêu cầu giao thức web (HTTP) tới một trang web bị lỗi, bao gồm cookie

của phiên truy cập và những thông tin tự động khác như thông tin đăng nhập.
Lê Hoàng Nam D11CQAT01 Page 18
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
Cách thức này cho phép kẻ tấn công buộc trình duyệt web tạo ra những yêu
cầu cho ứng dụng lỗi mà ứng dụng này không thể biết đây là những yêu cầu
giả mạo của kẻ tấn công
 A9 – Using Know Vulnerable Components (Sử dụng thành phần đã tồn
tại lỗ hổng ) : Các lổ hỏng có thể có trong các thành phần (thành phần phát
triển ứng dụng) như các thư viện, các framework, và mô-đun phần mềm khác.
Các thành phần này gần như luôn luôn chạy với quyền cao nhất trong hệ
thống. Vì vậy, nếu bị khai thác, các thành phần này có thể gây mất dữ liệu
nghiêm trọng.Các ứng dụng sử dụng các thành phần tồn tại lổ hỏng có thể làm
suy yếu phòng thủ của hệ thống, cho phép một loạt các cuộc tấn công và ảnh
hưởng đến hệ thống
 A10 – Unvalidated Redirects and Forwards ( Thiếu thẩm tra chuyển
hướng và chuyển tiếp ) : Ứng dụng web thường xuyên đưa người dùng đến
những liên kết qua các website khác, và sử dụng những thông tin thiếu tin cậy
để xác định đích đến. Nếu không được kiểm tra một cách cẩn thận, kẻ tấn công
có thể lợi dụng để chuyển nạn nhân đến các trang web lừa đảo hay phần mềm
độc hại, hoặc chuyển tiếp để truy cập các trang trái phép.
Bảng sau đây trình bày tóm tắt của năm 2013 Top 10 rủi ro về bảo mật ứng
dụng,và các yếu tố cấu thành chúng ta đã gán cho mỗi rủi ro. Những yếu tố
này được xác định dựa trên các số liệu thống kê sẵn có và kinh nghiệm của đội
OWASP.
Còn tùy vào từng ứng dụng cụ thể mà từng lỗ hổng có những tác nhân gây hại
và ảnh hưởng kinh doanh khác nhau .
RISK Hướng
tấn công
Điểm yếu bảo mật Ảnh

hưởng
kỹ thuật
Khả
năng
khai
thác
Mức dộ
phổ biến
Khả
năng
phát
hiện
A1 Dễ Phổ biến Trung
bình
Nặng
A2 Trung
bình
Phổ biến Trung
bình
Nặng
A3 Trung
bình
Rất Phổ
biến
Dễ Trung bình
Lê Hoàng Nam D11CQAT01 Page 19
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
A4 Dễ Phổ biến Dễ Trung bình
A5 Dễ Phổ biến Dễ Trung bình

A6 Khó Không
Phổ biến
Trung
bình
Nặng
A7 Dễ Phổ biến Trung
bình
Trung bình
A8 Trung
bình
Phổ biến Dễ Trung bình
A9 Trung
bình
Phổ biến Khó Trung bình
A10 Trung
bình
Không
Phổ biến
Dễ Trung bình
BÁNG II.2.3.1 Đánh giá các lỗi bảo mật Owasp Top Ten 2013
II.3 CÁC CÔNG CỤ ĐÁNH GIÁ ĐỘ AN TOÀN VÀ BẢO MẬT CỦA
MỘT WEBSITE
II.3.1 CÔNG CỤ KIỂM TRA THỦ CÔNG
Kiểm tra thủ công là quá trình kiểm tra mà người kiểm tra phải xác định vị trị
dữ liệu cần được đệ trình đến ứng dụng bằng cách sử dụng các intercepting
proxy (là một ứng dụng nằm giữa ứng dụng và trình duyệt, cho phép người
kiểm tra thay đổi giá trị một cách tùy biến trước khi đệ trình đến ứng dụng) và
tập dữ liệu cần đệ trình đến ứng dụng tương ứng với các vị trí đệ trình đã xác
định trước đó. Một số công cụ tiêu biểu:
• WebScarab ( là một

framework được viết bằng Java phục vụ cho việc phân tích những ứng dụng
web với hai giao thức hỗ trợ HTTP và HTTPS. WebScarab có khả năng ghi lại
hoặc thay đổi tham số ứng dụng trước khi đi trình những yêu cầu, phản hồi
giữa trình duyệt và ứng dụng web. Ngoài ra, công cụ còn cho phép thực hiện
một số chức năng hữu ích khác như:
– Spider (duyệt toàn bộ cấu trúc của website): Sẽ thực hiện quét toàn bộ thư
mục và tập tin của ứng dụng web.
– SessionID Analysis (phân tích chỉ số phiên làm việc): Cho phép phân tích
phiên làm việc giữa trình duyệt và ứng dụng.
Lê Hoàng Nam D11CQAT01 Page 20
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
– Fuzzer: Một chức năng tự động truyền dữ liệu đối với các tham số đã được
người kiểm tra chỉ định trước đó.
Hình II.3.1.1-Giao diện WebScarab
• BurpSuite ( cũng là một framework được
viết bằng Java cũng có chức tương tự như webScarab như intercepting proxy,
spider, fuzzer, … BurpSuite hiện tại có hai phiên bản, một phiên bản miễn phí
và một phiên bản thương mại. Phiên bản thương mại thì có thêm phần tự động
quét các lỗi ứng dụng web và cho phép người sử dụng có thể tìm kiếm hoặc
lưu lại trạng thái trong quá trình kiểm tra các ứng dụng web. Một số điểm nổi
bật của BurpSuite có thể điểm qua đó là:
– Chức năng spider trong BurpSuite thông minh hơn WebScarab ở chỗ khi nó
nhận diện các dữ liệu cần đệ trình thì nó sẽ thông báo cho người kiểm tra biết.
Người kiểm tra sẽ xem xét và đệ trình dữ liệu phù hợp để BurpSuite có thể
quét toàn bộ thư mục và tập tin của ứng dụng web một cách hiệu quả nhất.
– Quá trình intercepting proxy có nhiều tùy chọn chọn lọc hơn so với
webscarab, cho phép người kiểm tra ứng dụng có thể tùy biến trong việc theo
dõi việc trao đổi dữ liệu giữa trình duyệt và ứng dụng web.
– Chức năng Intruder trong BurpSuite giống như chức năng Fuzzer của

WebScarab nhưng lại cho tùy biến các vị trí dữ liệu cần đệ trình đến ứng dụng
uyển chuyển và linh hoạt hơn.
– Một số chức năng phụ mạnh như: so sánh kết quả từ sự phản hồi của ứng
dụng, cung cấp một số phương thức giải mã thông dụng base64, htmlencode,
…
Lê Hoàng Nam D11CQAT01 Page 21
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
– Chức năng thực hiện tự động kiểm tra các lỗi SQLi, XSS, Path Traversal, …
Chức năng này chỉ có trong phiên bản có thu phí. Quá trình kiểm tra tự động
các lỗi bảo mật cũng thực hiện trên việc đệ trình các dữ liệu gây ra lỗi SQLi,
XSS, … trên những tham số mà BurpSuite thu thập được.
– Chức năng lưu phiên làm việc (chỉ có tác dụng trong bản thu phí) cho phép
người kiểm tra có thể lưu phiên làm việc của mình với BurpSuite.
Hình II.3.1.2-Giao diện BurpSuite
II.3.2 CÔNG CỤ KIỂM TRA TỰ ĐỘNG
Phương pháp kiểm tra lỗi tự động là quá trình các công cụ sẽ thực hiện tự
động quét thư mục, tập tin của ứng dụng web và tự động xác định các điểm
mà cần đệ trình dữ liệu. Trên cơ sở đã xác định các điểm cần đệ trình tự động
tiếp đến công cụ sẽ thực hiện đệ trình các tập dữ liệu được định nghĩa sẵn và
chờ sự phản hồi từ phía ứng dụng web để kiểm tra xem liệu ứng dụng đó có bị
các lỗi bảo mật hay không? Một số công cụ tiêu biểu:
• OWASP Zed Attack Proxy (ZAP): là công cụ tích hợp của tập hợp
nhiều công cụ pentest có chức năng khác nhau. ZAP cho phép người sử dụng
có thể thực hiện nhiều tác vụ nhằm dò tìm điểm yếu trên ứng dụng web.
Những tiện ích nổi bật của ZAP
 Intercepting Proxy : Bản chất ZAP là một proxy chặn giữa người dùng
và ứng dụng web
Lê Hoàng Nam D11CQAT01 Page 22
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo

mật an toàn ứng dụng web
 Automated scanner
 Passive scanner
 Brute Force scanner : Cho phép tìm cây thư mục,tính năng này là sự
tích hợp của công cụ Dir Buster mà mình đã giới thiệu trước đó.
 Spider : Tìm kiếm các url trong website
 Fuzzer : Tích hợp tiện ích JbroFuz.
 Port scanner
 Dynamic SSL certificates : tự tạo một cert root CA,thực hiện MiTM để
decrypt các traffic mã hóa bởi SSL.
 Report: cung cấp output ra report dạng HTML và XML
Download :
/>Hình II.3.2.1-Giao diện OWASP Zed Attack Proxy (ZAP)
• Acunetix WVS (Web Vulnerability Scanner) là chương trình tự động
kiểm tra các ứng dụng Web để tìm kiếm các lỗ hổng bảo mật như SQL
Injection, hay Cross-Site Scripting,… và tìm kiếm những chính sách đối với
mật khẩu đăng nhập cũng như các phương thức xác thực vào Web Site.
Lê Hoàng Nam D11CQAT01 Page 23
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
Acunetix WVS là một công cụ quét lỗi cho ứng dụng Web dựa trên một cơ sở
dữ liệu rộng lớn được cập nhật thường xuyên, với các thuật toán heuristic đáp
ứng được các cơ chế họat động phức tạp của môi trường Web. Acunetix WVS
có thể tự động kiểm tra các lổ hỗng thông dụng như cross site scripting, sql
injection và các mối nhạy cảm khác của những web site có thể truy cập bằng
trình duyệt, hay những ứng dụng được xây dụng trên các kỹ thuật tiên tiến như
AJAX để thực hiện được điều này Acunetix WVS dựa trên nhiều phương
pháp và công cụ tích hợp để:
• Crawling (lấy về) toàn bộ website gồm tất cả các liên kết trên site và cả
trong tập tin robots.txt sau đó hiển thị tòan bộ cấu trúc này một cách

chi tiết.
• Sau tiến trình cwarling và khám phá tình trạng của ứng dụng web,
Acunetix WVS tự động phát động các đợt tấn công đã được lập trình
sẳn dựa trên các lổ hổng, giống như khi web site bị 1 hacker tấn công
thực sự, phân tích các trang và những vị trí có thể nhập liệu cùng với
các sự kết hợp khác nhau của dữ liệu đầu vào có thể làm cho website
hiển thị những thông tin nhạy cảm.
• Sau khi tìm ra được các lổ hổng, Acunetix WVS thông báo trên các
“Alerts Node”, mỗi alert gồm các thông tin về lỗi cũng như các mối
nguy hiểm có thể gặp phải và “dĩ nhiên” là kèm theo các khuyến nghị
về cách thức khắc phục.
• Sau khi tiến trình kiểm tra hòan tất, chúng ta có thể lưu lại thành một
tập tin để phân tích sau này, với công cụ báo cáo chuyên nghiệp sẽ
giúp cho các web master dễ dàng tổng hợp các kết quả kiểm tra khác
nhau trên ứng dụng Web của mình.
• Sau khi quét, Acunetix WVS sẽ liệt kê cấu trúc của site, phiên bản
webserver đang sử dụng, URL không tồn tại, các lỗi phát hiện được
cũng như mức độ Security của site đang quét. Mức độ bảo mật của
website được AWV đánh giá từ low, medium, high. Nếu website được
liệt kê ở mức low, hãy nhanh chóng fix lỗi mà AWV liệt kê.
Download : />Giao diện sao khi cài đặt :
Lê Hoàng Nam D11CQAT01 Page 24
Báo Cáo TTTN Đại Học Chương II: Giới thiệu về các kĩ thuật ,quy trình đánh giá bảo
mật an toàn ứng dụng web
Hình II.3.2.2-Giao diện Acunetix WVS (Web Vulnerability Scanner)
II.4 QUY TRÌNH ĐÁNH GIÁ ĐỘ AN TOÀN VÀ BẢO MẬT CỦA
MỘT WEBSITE
Owasp đã đưa ra một số quy trình đánh giá độ an toàn và bảo mật của môt ứng
dụng website
II.4.1 THU THẬP THÔNG TIN.

a) Tiến hành khám phá công cụ tìm kiếm / trinh sát để tìm thông
tin rò rỉ
Mục tiêu kiểm tra để biết những thiết kế nhạy cảm và thông tin cấu hình
của ứng dụng web thông qua tiếp xúc trực tiếp (trên chính website đó ) hay
gián tiếp (thông qua một trang web bên thứ ba )
• Robots.txt
File robots.txt ở dạng văn bản đặt ở mực mục gốc của trang web , để nói cho
những công cụ tìm kiếm như Google những gì cần quét và những gì không cần
quét trên trang web của bạn .
Tuy nhiên một số nhà quản trị trang web đưa thêm vị trí của Control Panel của
trang web vào danh sách file để những công cụ tìm kiếm không quét tới đó .
Như vậy nếu như bất kì ai ở được file robots.txt có thể xem được những thư
mục không dùng tới trong phần “Disallow”.
Lê Hoàng Nam D11CQAT01 Page 25