LỖ HỔNG BẢO MẬT LÀ GÌ ?
- Là các điểm yếu trên website, có thể gây ra do: lỗi cấu hình, phân quyền cho website, lỗi lập trình của người lập trình, lỗi nằm trong các hệ thống, thành phần tích hợp…
- Tin tặc có thể lợi dụng các lỗ hổng này để khai thác và tấn công phá hoại website.
- Lỗ hổng bảo mật rất khó để nhận biết ngay, cần được thực hiện bởi các chuyên gia hàng đầu.
- Một số lỗ hổng đã biết như: #SQL Injection, #XSS, #Buffer Overflow, #Local/Remote File Inclusion…
PHƯƠNG THỨC THỰC HIỆN
Các chuyên gia của VNIST sẽ trực tiếp kiểm tra, đánh giá, dò quét các lỗ hổng bảo mật trên ứng dụng dựa trên chuẩn OWASP (Đây là tiêu chuẩn hàng đầu về đánh giá an ninh bảo mật). Quá trình kiểm thử bảo mật bao gồm các hạng mục sau
- Thu thập thông tin, xác định hệ thống mục tiêu
- Đánh giá các lỗ hổng đã biết trên các dịch vụ khác của hệ thống.
- Kiểm tra cấu hình máy chủ, hệ thống website
- Kiểm tra việc quản lý định danh người dùng (Identify Management Testing)
- Kiểm tra cơ chế xác thực
- Kiểm tra quản lý phiên làm việc
- Kiểm tra quá trình cấp quyền, phân quyền trên hệ thống.
- Kiểm tra xử lý đầu vào dữ liệu
- Đánh giá việc xử lý các thông báo lỗi từ hệ thống
- Đánh giá các quá trình mã hóa trên ứng dụng
- Đánh giá lỗ hổng cho các quá trình nghiệp vụ.
- Đánh giá các lỗ hổng trên ứng dụng Client