Bảo mật ứng dụng Web: kiểm tra thâm nhập thủ công hay quét tự động

GIỚI THIỆUVới hơn 90% các ứng dụng Web có mắc các lỗi bảo mật và hơn 70% các tấn công là vào các giao thức HTTP/S. Chính vì vậy, các tổ chức cần phải bổ sung các công cụ mạng để bảo đảm cho các ứng dụng Web của họ.
Nội dung trích xuất từ tài liệu:
Bảo mật ứng dụng Web: kiểm tra thâm nhập thủ công hay quét tự động Bảo mật ứng dụng Web: kiểm tra thâm nhập thủ công hay quét tự động GIỚI THIỆUVới hơn 90% các ứng dụng Web có mắc các lỗi bảo mật và hơn 70% các tấn công làvào các giao thức HTTP/S. Chính vì vậy, các tổ chức cần phải bổ sung các công cụmạng để bảo đảm cho các ứng dụng Web của họ. Tỷ lệ phần trăm của các tấn côngxuất hiện trên cổng 80 và 443 dường như rất lớn, mặt khác ở đây là các cổng nàygần như là cửa trước để tổ chức truyền thông online.Ngày nay, khi các ứng dụng Web ngày càng trở nên phức tạp thì một số lượng lớncác dữ liệu nhạy cảm trong đó có thông tin cá nhân, tài chính, y tế được trao đổi vàlưu trữ. Các khách hàng không chỉ mong đợi mà chính bản thân họ còn yêu cầu cầnđược bảo mật các thông tin này. Nhưng việc đánh giá một ứng dụng Web sẽ đi đếnđâu bằng việc kiểm tra ứng dụng theo phương pháp thủ công hay bằng các công cụvà hệ thống tự động. Nó cho ta thấy từ các khái niệm, bằng việc mô hình hóa rủi robảo mật được giới thiệu trong các ứng dụng cũng như các biện pháp đối phó khácđược thêm vào bổ sung. Sự bảo mật cần phải được xem như là các thành phầnquan trọng khác trong mỗi ứng dụng, phải được phân tích, xem xét qua từng bướctrong mỗi chu kỳ sử dụng của ứng dụng. Việc tìm ra các lỗ hổng trong các ứngdụng Web có thể được thực hiện bằng nhi ều cách:Tự động Bằng các công cụ quét  Sự phân tích tĩnh  Thủ công Kiểm tra sự thâm nhập  Xem xét lại code  Mục đích chính của bài viết này là để kiểm tra các phương pháp phát hiện lỗhổng đặc biệt là việc so sánh giữa phương pháp tự động và phương pháp kiểm trasự thâm nhập thủ công.LỊCH SỬ Việc kiểm tra sự thâm nhập bảo mật thủ công là phương pháp đã có từ lâu. Các nhà phát triển kiểm tra các lỗ hổng ứng dụng của họ và các vấn đề trong suốt thời gian tồn tại của ứng dụng. Tuy nhiên, khi mà các tấn công ngày càng tinh vi và các ứng dụng phức tạp ngày một tăng thì mục tiêucủa các chuyên gia là tìm ra và khai thác các vấn đề bảo mật như vậy càng thể hiệnrõ. Những người này được biết đến như là các “cây kiểm tra”. Việc kiểm tra tựđộng các ứng dụng Web được đưa ra năm 1992. Khi đó các web còn khá sơ sài vàcác trình duyệt web chỉ đủ để có thể quản lý sự phức tạp của các ứng dụng động.Mục tiêu chính của các công cụ này là tự động quá trình kiểm tra ứng dụng web vàcác lỗi liên quan với mục đích tìm ra các lỗ hổng.CÁC LOẠI LỖ HỔNGNhìn chung, hầu hết các ứng dụng web đều có thể nhóm thành một trong hai loại:kỹ thuật và logic. Các lỗ hổng kỹ thuật được biết đến như là: Cross-Site Scripting(XSS), Injection Flaws(các khe hở dễ bị xâm nhập) và Buffer Overflows (tràn bộđệm). Còn các lỗ hổng logic thì khó khăn hơn trong việc phân loại ra. Các lỗ hổngnày liên quan đến tính logic của ứng dụng mà nó chưa hề được dự định từ trước.Ví dụ: vào đầu năm 2002, một người đã cố ý sử dụng lỗ hổng logic để vòng tránhđược sự kiểm tra tính hợp lệ của các thông tin cá nhân cần thiết trong ứng dụngMicrosoft Hotmail - cho phép người dùng thiết lập lại mật khẩu bằng việc đoán câutrả lời với mỗi câu hỏi bảo mật đơn lẻ.CÁC LỖ HỔNG KỸ THUẬTCác công cụ và các hệ thống tự động cho việc kiểm tra các lỗ hổng kỹ thuật phảibao gồm cả tính phương pháp và tính toàn diện. Xem xét qua ứng dụng đăng kýcho Microsoft Hotmail. Biểu mẫu này bao gồm xấp xỉ 30 thành phần cần thiết: mộtsố bị ẩn, một số được trưng bày. Mỗi thành phần của biểu mẫu này là tiềm ẩn nguycơ Cross-Site Scripting, Injection Flaws, Buffer Overflows hay Improper ErrorHandling. Bạn có biết rằng có tới hơn 70 kỹ thuật khác nhau có thể được sử dụngđể khám phá Cross-Site Scripting. Điều này cho thấy rằng biểu mẫu đăng ký cầnphải có hơn 2000 lần test mới có thể test thấu đáo. Các hệ thống cũng như công cụnhư crawl hay phân tích và kiểm tra ứng dụng web tốt hơn so với cách kiểm trathủ công các ứng dụng. Tuy nhiên các công cụ đang kiểm tra và đang quét thườngkhông phát hiện hết được 100% các lỗ hổng kỹ thuật, không có lý do nào có thể tintưởng rằng điều này sẽ xảy ra trong tương lai gần. Cuộc chạy đua ban đầu tồn tạivới các công cụ quét đang có nhiều vấn đề trong cụ thể như:- Trình khách sinh các URL- Các hàm JavaScript- Ứng dụng logout- Các hệ thống dựa trên phiên liên lạc yêu cầu chỉ rõ các đường dẫn người dùng- Đệ trình form tự động- Các password- Các website “vô tận” với các session ID dựa trên URL ngẫu nhiênCác công cụ bảo mật ứng dụng web tự động đang ngày càng được hoàn thiện, cáccuộc chạy đua giữa hai phương pháp thủ công và tự động này đều cần có điểmchung và cần được làm sáng tỏ. Thứ nhất, đánh giá tự động sẽ giảm bất kỳ sựkhông chắc chắn nào (hướng tích cực). Ngược lại, thời gian sẽ là nguyên nhânkhông k ...