Trang Chủ

Các phương pháp đánh giá ứng dụng web

14/04/2017 - 05:28

Kiểm tra hộp đen
Đây là cách để kiểm tra ứng dụng web từ bên ngoài, không cần tìm hiểu về hoạt động bên trong web, mà chỉ cần quan sát dữ liệu xuất ra từ ứng dụng hay đệ trình đến ứng dụng mà thôi. Người kiểm tra có thể tiến hành thủ công hoặc có sự hỗ trợ của công cụ tự động.

Cong ty cong nghe thong tin2

Kiểm tra thủ công: dùng các intercepting proxy để kiểm tra dữ liệu đệ trình tới ứng dụng, với một vài công cụ tiêu biểu:

  • Công cụ WebScarab (framework viết bằng java), cho phép duyệt cấu trúc web, phân tích chỉ số phiên làm việc, truyền dữ liệu tự động đã được chỉ định bởi người sử dụng
  • Công cụ BurpSuite với 2 phiên bản (miễn phí và thương mại), cho phép các chức năng tương tự như công cụ WebScarab nhưng hữu dụng và chọn lọc hơn, tính ứng dụng cao hơn, hiệu quả hơn, ngoài ra còn có một số chức năng khác như cung cấp cách thức giải mã phổ biến, dựa vào phản hồi ứng dụng để so sánh, kiểm tra các lỗi Path Traversal, XSS, SQLi, một cách tự động, lưu phiên làm việc…
  • Kiểm tra tự động: dùng các công cụ quét vào các file của ứng dụng web, công cụ này sẽ hỗ trợ tự động tìm đến các đểm cần đệ trình dữ liệu, thu thập lại và chờ ứng dụng web phản hồi, từ đó kiểm tra phát hiện được lỗi bảo mật. Các công cụ hỗ trợ phổ biến:
  • Wa3f là một công cụ miễn phí, có khả năng kiểm tra 10 lỗi bảo mật phổ biến nhất.
  • Acunetix: đây là công cụ thương mại, có tính ứng dụng khá mạnh và được áp dụng cho mọi cách thức kiểm tra. Chi phí sử dụng công cụ này khá cao, lên đến hơn 3.000 USD/1 bản quyền.

Kiểm tra hộp trắng
Người kiểm tra đi vào mã nguồn ứng dụng web một cách trực tiếp để phát hiện ra lỗi bảo mật. Phương pháp này cũng giống như kiểm tra hộp đen, là thực hiện thủ công hoặc dùng công cụ.

  • Thực hiện thủ công là lên kế hoạch kiểm tra và rà soát cẩn thận và kỹ lưỡng, với một khối lượng nội dung khá khổng lồ, vậy nên sẽ tốn khá nhiều thời gian.
  • Sử dụng công cụ là dùng công cụ hỗ trợ, quét mã nguồn ứng dụng web, nhờ vậy mà phát hiện được lỗi bảo mật một cách tự động. Giải pháp này tiết kiệm thời gian và công sức hơn khá nhiều.

Kiểm tra Fuzzing
Thực ra đây cũng là một cách kiểm tra hộp đen, chỉ là được tách riêng do công cụ sử dụng trong phương pháp này có cách thực hoạt động có phần khác biệt. Những công cụ này sẽ thực hiện tập hợp các lỗi của mỗi ứng dụng web đã được công bố trước đó, thực hiện thử nghiệm lỗi của ứng dụng và lấy báo cáo về. Chúng sẽ tạo ra 2 phần thu thập:

  • Phần 1: các định dạng URL gây lỗi.
  • Phần 2: những đặc điểm nhận diện tương đương URL gây lỗi.

Tin liên quan

Hotline: 0923205959

Copyright © 2023 Pente Technologies Co., Ltd.. All Rights Reserved