Kiểm tra bảo mật ứng dụng Web

Ngày nay, các ứng dụng web ngày càng đóng một vai trò quan trọng đối với mọi tổ chức. Điều này trở nên rõ ràng khi các ứng dụng web bị tấn công sẽ làm ảnh hưởng nghiêm trọng đến các chức năng hoạt động của tổ chức. Thật không may, rất nhiều tổ chức chỉ dựa hoàn toàn trên sự tin tưởng vào các ứng dụng quét lỗ hổng bảo mật với hi vọng chúng sẽ tìm ra các lỗ hổng trên hệ thống ứng dụng web của doanh nghiệp.

Tuy nhiên, không có sẵn các bản vá lỗi (patch) cho các ứng dụng web được phát triển trên các nền tảng đã được lập trình bổ sung, tùy biến. Và cũng không có gì ngạc nhiên khi nhiều nghiên cứu trong những ngành công nghiệp lớn đã phát hiện ra rằng: “Lỗ hổng ứng dụng web chính là nơi bị khai thác và thực hiện các hành vi vi phạm và xâm nhập hệ thống”.


Kiểm tra bảo mật ứng dụng web là một dịch vụ chủ lực mà chúng tôi đã thực hiện trong thời gian qua, việc áp dụng quy trình đánh giá bảo mật (Security Test) là một phần quan trọng trong toàn bộ quy trình đảm bảo an ninh ứng dụng web mà dự án OWASP 2013 đề nghị đến cộng đồng. OWASP đã khẳng định được các tiêu chuẩn triển khai, lập trình, đánh giá mà cộng đồng đóng góp là phù hợp và bảo đảm tính cập nhật cho đối tượng là doanh nghiệp, chính phủ, tổ chức…

Mục đích

Kiểm tra bảo mật ứng dụng web nhằm phát hiện các lỗ hổng về an toàn thông tin trên các ứng dụng web, đồng thời đưa ra các phương án, giải pháp khắc phục các lỗ hổng bảo mật đã phát hiện.

Chúng tôi giúp doanh nghiệp:

  • Giảm thiểu thời gian đánh giá bảo mật ứng dụng web, đây là một tiêu chí bắt buộc trong các chứng chỉ PCI DSS, ISO 27001, COBIT…
  • Phát hiện sớm các điểm yếu trên ứng dụng web giúp kịp thời ngăn chặn, can thiệp kẻ tấn công khai thác điểm yếu.
  • Nhận thức về các nguy cơ bảo mật ứng dụng web.
  • Thắt chặt các chính sách bảo mật trong vận hành và bảo trì ứng dụng web.
  • Có cái nhìn chi tiết về hiện trạng bảo mật ứng dụng web thông qua các con số cụ thể.
  • Giữ vững uy tín, chất lượng của thông tin đối với khách hàng.

Quy trình

3STONE Co., LTD thực hiện đánh giá bảo mật trên các ứng dụng web được phát triển trên nhiều ngôn ngữ khác nhau: ASP, ASP.NET, PHP, JSP, Node, Python…và các nền tảng web được sử dụng rộng rãi: WordPress, Drupal, Joomla, .Net Nuke, Magento, WooCommerce…

3STONE Co., LTD thực hiện toàn bộ quy trình đánh giá bảo mật ứng dụng web dựa trên sự kết hợp của nhiều tiêu chuẩn đánh giá bảo mật ứng dụng web khác nhau nhằm bảo đảm tất cả các lỗ hổng mới nhất sẽ được phát hiện trên ứng dụng web của doanh nghiệp.

Các chuyên gia tại 3STONE Co., LTD thực hiện thu thập, đánh giá các lỗ hổng bảo mật dựa trên các tiêu chuẩn bảo mật đã được chấp nhận bởi các tổ chức có uy tín:
  • OWASP (Open Web Application Security Project).
  • WASC (Web Application Security Consortium).
  • WHID (Web Hacking Incident Database).
Các tiêu chuẩn bảo mật yêu cầu đánh giá bảo mật ứng dụng web:
  • PCIDSS.
  • ISO27001.
  • COBIT.
3STONE Co., LTD thực hiện kiểm tra các hạng mục đánh giá ứng dụng web bằng các phần mềm quét lỗ hỗng bảo mật Acunetix, Burpsuite Profressional, Netsparker… đồng thời các chuyên gia thực hiện kiểm tra sâu các tính năng mà chương trình quét lỗ hỗng không thể thực hiện được bao gồm các 11 bước đánh giá, 10 nhóm lỗ hổng và hơn 87 tiêu chí kiểm tra:

QUY TRÌNH ĐÁNH GIÁ ỨNG DỤNG WEB – OWASP 2014 DANH MỤC LỖ HỔNG BẢO MẬT WEB – OWASP 2013
• Thu thập thông tin.
• Các vấn đề cấu hình, quản trị.
• Các vấn đề định danh.
• Các vấn đề xác thực.
• Các vấn đề phân quyền.
• Các vấn đề quản lý phiên.
• Các vấn đề kiểm soát dữ liệu.
• Các vấn đề quản lý lỗi.
• Các vấn đề mật mã.
• Các vấn đề xử lý logic.
• Các vấn đề tại người dùng cuối.
• A1-Injection.
• A2-Broken Authentication and Session Management.
• A3-Cross-Site Scripting (XSS).
• A4-Insecure Direct Object References.
• A5-Security Misconfiguration.
• A6-Sensitive Data Exposure.
• A7-Missing Function Level Access Control.
• A8-Cross-Site Request Forgery (CSRF).
• A9-Using Components with Known Vulnerabilities.
• A10-Unvalidated Redirects and Forwards.

Qúa trình thực hiện

Tùy theo quy mô của các doanh nghiệp và quy mô của các ứng dụng, thông thường các đợt kiểm tra sẽ kéo dài trung bình như sau:
  • Việc đánh giá theo hướng từ bên ngoài kéo dài 10-15 ngày.
  • Đánh giá theo hướng từ bên trong kéo dài 10-15 ngày.
  • Đánh giá các ứng dụng, website, các cổng thông tin, hệ thống máy chủ, hệ thống CSDL thường kéo dài 6-10 ngày.

BÁO CÁO

3STONE Co., LTD thực hiện lập báo cáo chi tiết toàn bộ quá trình đánh giá bảo mật ứng dụng web bao gồm hai báo cáo chính:

Báo cáo tổng quan

  • Bảng thống kê các lỗ hổng (số lượng lỗ hổng theo mức độ nghiêm trọng, đồ thị tổng quan…).
  • Bảng đánh giá tổng quan toàn bộ ứng dụng.

Báo cáo chi tiết

  • Video chi tiết quy trình kỹ thuật được sử dụng (đối với nhóm lỗ hổng bảo mật có mức nguy hiểm Khẩn cấp/ Nghiêm trọng/ Cao).
  • Danh mục các lỗ hổng bảo mật đã được xác định.
  • Thông tin chi tiết nguyên nhân gây ra lỗ hổng.
  • Đánh giá mức độ nghiêm trọng của lỗ hổng (Khẩn cấp/ Nghiêm trọng/ Cao/ Trung bình/ Thấp).
  • Cách khắc phục lỗ hổng.