Trong bài viết này, mình muốn chia sẻ tới các bạn về Checklist các bước kiểm thử cho ứng dụng Web App, chúng ta cùng tìm hiểu nhé.
Kiểm thử ứng dụng Web là gì?
Kiểm thử ứng dụng Web (Web Application Penetration Testing) là một phương pháp được dùng để xác định, phân tích và báo cáo những lỗ hổng đã tồn tại trên ứng dụng Web. Chẳng hạn các lỗ hổng như lỗi tràn bộ đệm, lỗi đầu vào, xác thực Bypass, SQL Injection, CSRF, XSS. Quá trình và quy trình kiểm thử cho một ứng dụng Web sẽ được lặp đi lặp lại thường xuyên nhằm đảm bảo ngăn chặn mọi lỗ hổng và những nguy cơ tấn công có thể xảy ra.
Các bước kiểm thử ứng dụng Web App
THU THẬP THÔNG TIN
1.Truy xuất và phân tích tệp tin (file) robot.txt
\=> Công cụ: GNU Wget
2.Kiểm tra phiên bản của .database Details, kiểm tra các thành phần kỹ thuật bị lỗi, lỗi do mã code yêu cầu các trang không hợp lệ.
3.Thực hiện chức năng tìm kiếm theo thư mục và quét lỗ hổng. Để thu thập tất cả các liên kết (URL) trong ứng dụng Web bạn có thể dùng công cụ NMAP và Nessus.
4.Xác định các điểm còn trống trong ứng dụng như OWSAP ZAP, Burb Proxy, TemperIE, dữ liệu WebscarabTemper.
5.Kiểm tra mã nguồn từ các trang truy cập trong giao diện của ứng dụng.
6.Kiểm tra các loại tệp hoặc các thư mục, tiện ích mở rộng có trong ứng dụng web với một số định dạng như .ASP, .EXE, .HTML, .PHP.
Bạn có thể xem chi tiết Các công cụ kiểm tra lỗ hổng Web app tại đây //securitybox.vn/1049/12-cong-cu-danh-gia-lo-hong-bao-mat-web-ung-dung-he-thong-tot-nhat/ nhé!
KIỂM TRA TÍNH XÁCH THỰC
1.Kiểm tra các phiên làm việc có thể ‘tái sử dụng’ sau khi Logout. Đồng thời, bạn cũng nên kiểm tra xem ứng dụng có tự đăng xuất người dùng trong một khoảng thời gian nhất định nào không.
2.Tiếp theo, bạn cần đảm bảo đằng những thông tin nhạy cảm có được lưu trữ trong trình duyệt hay không. Nếu thông tin hay dữ liệu quan trọng chưa được bảo mật, bạn cần mã hóa file, tệp lại.
3.Kiểm tra và thiết lập lại mật khẩu
\=> Giải pháp: sử dụng kỹ thuật crack mật khẩu để đặt những câu hỏi bí mật và xác thực tính bảo mật của mật khẩu đã tồn tại.
4.Kiểm tra cơ chế “Remember my password”.
5.Kiểm thử xâm nhập lỗ hổng của CAPTCHA xem có an toàn không.
KIỂM THỬ QUẢN LÝ CẤU HÌNH
1.Kiểm tra thư mục của máy chủ, đánh giá các tệp tin, tài liệu về máy chủ và ứng dụng.
2.Phân tích các banner trên máy chủ Web server, sau đó tiến hành quét hệ thống.
3.Kiểm tra và xác minh các tài liệu cũ, các dữ liệu đã được sao lưu và các tệp tham chiếu như mã nguồn, mật khẩu, các đường dẫn, phần cài đặt.
5.Kiểm tra và xác định các cổng kết nối với các dịch vụ SSL/TLS
\=> Công cụ: NMAP, Nessus
6.Đánh giá độ bảo mật của HTTP
\=> Sử dụng Netcat và Telnet
7.Kiểm tra tính năng quản lý cấu hình ứng dụng để xem lại thông tin về mã nguồn, nhật ký về tệp tin và các lỗi mặc định liên quan tới code.
KIỂM TRA PHIÊN LÀM VIỆC
Wep-Application-Pentest-Testing
Phiên làm việc là một trong những phần quan trọng trong việc kiểm thử Web app. Các bước kiểm tra session như sau:
1.Check URL trong các khu vực hạn chế để kiểm tra lỗ hổng CSRF ( Cross Site Request Forgery).
2.Kiểm tra các biến Exposed Session bằng Encryption và sử dụng lại các token của session, proxies, bộ nhớ đệm, GET&POST.
3.Thu thập số mẫu cookie và phân tích thuật toán cookie, giả mạo Cookie hợp lệ để thực hiện tấn công.
4.Kiểm tra thuộc tính cookie bằng Burb Proxy, OWASP ZAP.
5.Kiểm tra các phiên làm việc session cố định để người dùng tránh bị tấn công bởi kỹ thuật session Hijacking.
KIỂM THỬ XÁC THỰC DỮ LIỆU
1.Kiểm thử phân tích mã nguồn lỗi code javascript
2.Thực hiện kiểm tra các truy vấn liên quan tới lỗi SQL Injection hoặc thực hiện kiểm thử lỗi SQL injection theo tiêu chuẩn quốc tế.
\=> Công cụ tham khảo: SQLninja, SQLdumper, SQL injection injector.
3.Phân tích các đoạn mã trong HTML, kiểm thử lỗ hổng XSS.
\=> Công cụ tham khảo: XSS proxy, Backframe, Burb, XSS Assistant
4.Thực hiện phương pháp tấn công LDAP để kiểm tra những thông tin nhạy cảm về người dùng và dữ liệu bên trong máy chủ.
5.Kiểm thử tấn công IMAP/SMTP để truy cập vào phần backend của mail server.
6.Thực hiện kỹ thuật tấn công XPATH để truy cập vào các thông tin bí mật.
7.Kiểm thử lỗ hổng XML injection. XML injection là một trong những lỗi điển hình của Web App mà người kiểm thử các ứng dụng web phải chú ý. Mục đích của việc Pentest XML injection là để kiểm tra thêm thông tin về cấu trúc XML của hệ thống.
8.Kiểm tra lỗi trong bộ nhớ đệm của web app
Trên đây là tổng hợp những kiến thức về checklist kiểm thử ứng dụng Web App mà mình muốn chia sẻ và để 1 web tester/QA cần biết . Chúc các bạn thành công!.
Ô tô yêu cầu thắt dây an toàn. Chai thuốc cần có nắp an toàn. Các ứng dụng cần tường lửa ứng dụng web (WAF), quản lý bot và bảo vệ API và vì lý do chính đáng. Bối cảnh mối đe dọa ứng dụng web đang ở trong tình trạng thay đổi liên tục. Từ DevOps đến các vectơ tấn công mới, những thay đổi này có thể khiến các chuyên gia bảo mật phải tranh giành để bảo vệ tài sản kỹ thuật số được đánh giá cao nhất của họ để đảm bảo trải nghiệm của khách hàng.
Danh sách 10 Dự án Bảo mật Ứng dụng Web Mở (OWASP) là một công cụ vô giá để thực hiện điều này. Kể từ năm 2003, danh sách mười người hàng đầu này tìm cách cung cấp cho các chuyên gia bảo mật một điểm khởi đầu để đảm bảo bảo vệ khỏi các mối đe dọa độc hại và phổ biến nhất, cấu hình sai ứng dụng có thể dẫn đến lỗ hổng bảo mật, cũng như các chiến thuật phát hiện và biện pháp khắc phục.
Khi bạn đang tìm cách đảm bảo khối lượng công việc của mình, bạn nên xây dựng hệ thống phòng thủ của mình theo từng lớp để tránh bất kỳ điểm yếu nào. Mục tiêu là ngăn chặn mọi cuộc tấn công càng xa dữ liệu của bạn càng tốt. Cách tiếp cận này làm giảm rủi ro của bạn vì nó cung cấp nhiều cơ hội kiểm soát để phát hiện và ngăn chặn một cuộc tấn công.
Bảo vệ cho WAF được áp dụng tại mỗi Cổng ứng dụng có nghĩa là các cuộc tấn công này không bao giờ đến được máy chủ ứng dụng của bạn. Đây là tuyến phòng thủ đầu tiên tuyệt vời cho các ứng dụng web của bạn. Nó bao gồm bảo vệ chống lại các phiên độc hại, phiên HTTP DoS và bao gồm phần lớn 10 OWASP hàng đầu.
Lỗ hổng OWASP nào phổ biến nhất với tội phạm mạng?
Dựa trên dữ liệu khách hàng từ Dịch vụ Cloud WAF trong giai đoạn 2020-2021, phần lớn các lỗ hổng ứng dụng trong Top 10 của OWASP là Kiểm soát truy cập bị hỏng (# 5) và Phơi nhiễm dữ liệu nhạy cảm (# 3), chiếm 71% (xem bên dưới). Lý do cơ bản khiến hai vectơ tấn công này trở nên phổ biến khác nhau, nhưng bot thu thập dữ liệu các trang web để tìm kiếm dữ liệu để loại bỏ đã tăng lên đáng kể trong suốt năm 2020, có thể là một trong những lý do cho sự gia tăng đáng kể trong Kiểm soát truy cập bị hỏng.
Cũng chính những chuyên gia này cũng phải đóng một vai trò trong mối quan tâm lớn thứ hai: theo dõi và phát hiện theo thời gian thực. Việc phát hiện kịp thời phần mềm độc hại nguy hiểm hoặc tin tặc rình mò là những dịch vụ tốt nhất so với bộ sản phẩm. Việc ngăn chặn các cuộc tấn công mạng trong thời gian gần thực được thực hiện tốt nhất thông qua một hệ thống giảm thiểu tấn công của một nhà cung cấp duy nhất. Nhiều tổ chức tận dụng các công cụ giảm thiểu giống tốt nhất từ các nhà cung cấp khác nhau. Việc thu thập hodgepodge này dẫn đến khả năng giao tiếp và phát hiện kém.
Các giải pháp Giám sát và Hoạt động CNTT Hợp nhất của Motadata có thể giao tiếp hiệu quả hơn, thiết lập đường cơ sở lưu lượng mạng và so sánh các điểm dữ liệu để nhanh chóng phát hiện khi có điều gì đó không ổn, ngoài việc cung cấp bảng phân tích / giám sát và quản lý cấp doanh nghiệp.
Penta Security WAF
Penta Security WAFs được ICSA chứng nhận, có nghĩa là chúng được kiểm tra theo các tiêu chuẩn cao nhất và các mối đe dọa nguy hiểm nhất như DoS, XSS, CSRF, rò rỉ thông tin và các mối đe dọa ứng dụng web khác.
WAF của chúng tôi không dễ bị ảnh hưởng bởi bất kỳ mối đe dọa nào trong số này và nó duy trì tính toàn vẹn và tính bảo mật của dữ liệu. Hơn nữa, Array’s WAF đi kèm với chức năng ghi nhật ký mở rộng và đáp ứng tất cả các yêu cầu về độ bền được mong đợi của một WAF nâng cao. Nói cách khác, nó được thiết kế với các doanh nghiệp và nhà cung cấp dịch vụ.
Xem video thú vị này để tìm hiểu thêm về các tính năng và lợi ích tuyệt vời của WAPPLES.
Đọc thêm để tìm hiểu về các lý do kỹ thuật tại sao bạn cần WAF và WAPPLES, một WAF có thể tùy chỉnh dựa trên quy tắc, tại đây ngay hôm nay.
ITMAP ASIA - Đối tác của hãng Penta Security tại Việt Nam
555 Trần Hưng Đạo, P. Cầu Kho, quận 1, HCM
028 5404 0717 - 5404 0799
info@itmapasia.com | itmapasia.com
Cars require seatbelts. Pill bottles need safety caps. Applications need web application firewalls (WAFs), bot management and API protection, and for good reason. The web application threat landscape is in a constant state of flux. From DevOps to new attack vectors, these changes can leave security professionals scrambling to safeguard their most prized digital assets to secure the customer experience.
The Open Web Application Security Project (OWASP) Top 10 list is an invaluable tool for accomplishing this. Since 2003, this top ten list seeks to provide security professionals with a starting point for ensuring protection from the most common and virulent threats, application misconfigurations that can lead to vulnerabilities, as well as detection tactics and remediations.
When you’re looking to secure your workloads, you should build your defenses in layers to avoid any single weak point. The goal is to stop any attacks as far from your data as possible. This approach lowers your risk as it provides multiple controls the opportunity to detect and prevent an attack.
Protection for WAF is applied at each Application Gateway meaning that these attacks never reach your application servers. This is a great first line of defense for your web applications. It includes protection against malicious sessions, HTTP DoS sessions, and covers the majority of the OWASP Top 10.
What OWASP Vulnerabilities Are Most Popular with Cybercriminals?
Based on customer data from Cloud WAF Service in 2020-2021, the overwhelming majority of OWASP Top 10 application vulnerabilities were Broken Access Control (
5) and Sensitive Data Exposure (
3), which comprised 71% (see below). The underlying reasons why these two attack vectors have become so prevalent vary, but bots crawling websites in search of data to scrape increased dramatically throughout 2020, which might be one of the reasons for the dramatic increase in Broken Access Control.
These same experts should also play a role in the second biggest concern: real-time monitoring and detection. Timely detection of malicious malware or snooping hackers comes down to best-of-breed versus suite offerings. Stopping cyberattacks in near real-time is best accomplished via a single vendor attack mitigation system. Many organizations leverage best-of-breed mitigation tools from different vendors. This hodgepodge collection results in poor communication and detection.
Motadata Unified IT Operations and Monitoring solutions can more effectively communicate, setting network traffic baselines and comparing data points to quickly detect when something is awry, in addition to providing enterprise-grade monitoring and management dashboards/analytics.
Penta Security WAF
Penta Security WAFs are ICSA certified, which means they’re tested against the highest standards and the most dangerous threats like DoS, XSS, CSRF, information leakage, and other web application threats.
Our WAF was not susceptible to any of these threats, and it maintained integrity and confidentiality of the data. Moreover, Array’s WAF comes with extensive logging functionality and meets all persistency requirements expected of an advanced WAF. In other words, it is designed with enterprises and service providers in mind.
Watch this exciting video to learn more about WAPPLES’ amazing features and benefits.