Automated Web ApplicationBlack-box Scanner Limitions

ITAS Corporation

Who we are? ITAS CORPORATION

Office : 459A Nguyen Kiem St., Ward 9, Phu Nhuan District, HCMC.Tel : +84 - 8 - 38931952 Hotline : 0934589779Email : info@itas.vn www.itas.vn

www.itas.vn

What we do? Penetration Testing Web Application Security

- Web Application Penetration Testing- Source Code Audit

Computer Forencis Security Training

Penetration Testing Web Application Security

- Web Application Penetration Testing- Source Code Audit

Computer Forencis Security Training

www.itas.vn

Automated Web Vulnerability Scanner:Overview

Công cụ kiểm tra bảo mật ứng dụng web tự động từ bên ngoài(Automatedblack-box web vulnerability scanners) :- Công cụ kiểm tra bảo mật web tự động bên ngoài là công cụ được dùngđể tìm lỗi từ bên ngoài của ứng dụng web. Các công cụ này thường đượcthiết kế theo kiểu “Point-and-click pentesting”(chỉ cần chọn và bấm đểkiểm tra).- Các công cụ kiểm tra tự động từ bên ngoài có thể kiểm tra website gầnnhư hoàn toàn tự động từ khâu nhập mục tiêu cần kiểm tra đến lúc xuất rakết quả với rất ít sự cần thiết hoặc không cần sự tham gia của con người.- Các công cụ kiểm tra tự động này có thể xuất ra các bản báo cáo theonhiều cách và chi tiết, đem lại sự tiện lợi cho các chuyên gia bảo mật trongviệc đánh giá bảo mật của website.

Công cụ kiểm tra bảo mật ứng dụng web tự động từ bên ngoài(Automatedblack-box web vulnerability scanners) :- Công cụ kiểm tra bảo mật web tự động bên ngoài là công cụ được dùngđể tìm lỗi từ bên ngoài của ứng dụng web. Các công cụ này thường đượcthiết kế theo kiểu “Point-and-click pentesting”(chỉ cần chọn và bấm đểkiểm tra).- Các công cụ kiểm tra tự động từ bên ngoài có thể kiểm tra website gầnnhư hoàn toàn tự động từ khâu nhập mục tiêu cần kiểm tra đến lúc xuất rakết quả với rất ít sự cần thiết hoặc không cần sự tham gia của con người.- Các công cụ kiểm tra tự động này có thể xuất ra các bản báo cáo theonhiều cách và chi tiết, đem lại sự tiện lợi cho các chuyên gia bảo mật trongviệc đánh giá bảo mật của website.

www.itas.vn

Automated Web Vulnerability Scanner:Overview

Công cụ kiểm tra web tự động bên ngoài đã trở nên rất phổ biến và đượcsử dụng rộng rãi do khả năng độc lập cao, ít phụ thuộc với công nghệ ứngdụng web, dễ sử dụng, khả năng tự động hóa cao.

Ngày nay, số lượng các công cụ kiểm tra web tự động càng nhiều và trởthành công cụ không thể thiếu với các chuyên gia bảo mật cũng như ......hacker.

Công cụ kiểm tra web tự động bên ngoài đã phát hiện được rất nhiều lỗi liệtkê trong Common Vulnerabilities and Exposures database. Các công cụkiểm tra web tự động đã trở thành phần bắt buộc sử dụng trong nhiềuchuẩn bảo mật như Payment Card Industry Data Security Standard(PCIDSS), Health Insurance Portability and Accountability Act (HIPAA)và The Sarbanes-Oxley Act.

Công cụ kiểm tra web tự động bên ngoài đã trở nên rất phổ biến và đượcsử dụng rộng rãi do khả năng độc lập cao, ít phụ thuộc với công nghệ ứngdụng web, dễ sử dụng, khả năng tự động hóa cao.

Ngày nay, số lượng các công cụ kiểm tra web tự động càng nhiều và trởthành công cụ không thể thiếu với các chuyên gia bảo mật cũng như ......hacker.

Công cụ kiểm tra web tự động bên ngoài đã phát hiện được rất nhiều lỗi liệtkê trong Common Vulnerabilities and Exposures database. Các công cụkiểm tra web tự động đã trở thành phần bắt buộc sử dụng trong nhiềuchuẩn bảo mật như Payment Card Industry Data Security Standard(PCIDSS), Health Insurance Portability and Accountability Act (HIPAA)và The Sarbanes-Oxley Act.

www.itas.vn

Automated Web Vulnerability Scanner:Overview

Một số các công cụ kiểm tra tự động được đánh giá cao :

Công cụ thương mại : Các công cụ miễn phí hoặc giá thấpWeb Inspect – by HP - W3af - http://w3af.sourceforge.net/

Rational AppScan – by IBM - Burp Suite - http://portswigger.net/

Acunetix WVS – by Acunetix - Wapiti - http://wapiti.sourceforge.net/

www.itas.vn

Hailstorm – by Cenzic - WebScarab - webscarab.sourceforge.net/

NTOSpider – by NT OBJECTives - Paros - http://www.parosproxy.org/

……. ……..

Một số các công cụ được sử dụng như dịch vụ kiểm tra (SaaS-Software as aService):- McAfee – by McAfee - AVDS - by BeyondSecurity- Hacker Shield – by HackerShield .....................

Automated Web Vulnerability Scanner:Overview

Mặc dù các công cụ kiểm tra bảo mật tự động từ bên ngoài phát hiện đượcrất nhiều lỗi bảo mật nhưng thực sự nếu các công cụ này không phát hiệnthấy điểm yếu trong ứng dụng thì liệu ứng dụng đã thực sự an toàn, bảomật? Liệu các công cụ kiểm tra web tự động này có thể thay thế các chuyêngia bảo mật để kiểm tra bảo mật được không?

Hiểu được những giới hạn của công cụ là chuyện cần thiết đối với các côngty bảo mật và các chuyên gia bảo mật để từ đó bổ xung các phần thiếu bằngkiến thức và kinh nghiệm cho những dự án về bảo mật.

Mặc dù các công cụ kiểm tra bảo mật tự động từ bên ngoài phát hiện đượcrất nhiều lỗi bảo mật nhưng thực sự nếu các công cụ này không phát hiệnthấy điểm yếu trong ứng dụng thì liệu ứng dụng đã thực sự an toàn, bảomật? Liệu các công cụ kiểm tra web tự động này có thể thay thế các chuyêngia bảo mật để kiểm tra bảo mật được không?

Hiểu được những giới hạn của công cụ là chuyện cần thiết đối với các côngty bảo mật và các chuyên gia bảo mật để từ đó bổ xung các phần thiếu bằngkiến thức và kinh nghiệm cho những dự án về bảo mật.

www.itas.vn

Automated Web Vulnerability Scanner:Overview

Trong khả năng của mình các chuyên gia của công ty ITAS mong muốn tậptrung vào các quá trình hoạt động của các công cụ từ quá trình thu thập dữliệu, lựa chọn đầu vào, phân tích phản ứng đến xuất báo cáo để phân tíchnhững hạn chế của các công cụ.

Các mục tiêu sẽ tập trung:- Các thành phần của ứng dụng web.- Các công cụ kiểm tra bảo mật tự động từ bên ngoài là gì?- Những giới hạn của các công cụ kiểm tra tự động từ bên ngoài.- Tương ứng các giới hạn của công cụ kiểm tra tự động với OWASP TOP10 – 2010.

Trong khả năng của mình các chuyên gia của công ty ITAS mong muốn tậptrung vào các quá trình hoạt động của các công cụ từ quá trình thu thập dữliệu, lựa chọn đầu vào, phân tích phản ứng đến xuất báo cáo để phân tíchnhững hạn chế của các công cụ.

Các mục tiêu sẽ tập trung:- Các thành phần của ứng dụng web.- Các công cụ kiểm tra bảo mật tự động từ bên ngoài là gì?- Những giới hạn của các công cụ kiểm tra tự động từ bên ngoài.- Tương ứng các giới hạn của công cụ kiểm tra tự động với OWASP TOP10 – 2010.

www.itas.vn

Generic Web Application System

Web Application: Overview Các thành phần của ứng dụng web cực kỳ đa dạng :

- Platform – Apache, IIS, Sun One….- Client – Javascript, VB, ActionScript- AJAX/JSON – user experience- Server – C#, VB, PHP, Java, ColdFusion, Perl, Ruby- Web services – SOAP, WSDL, UDDI- Database – Oracle, MySQL, MS SQL, Postgres- LDAP – AD, Novell, Sun

Và còn nhiều nữa

Các thành phần của ứng dụng web cực kỳ đa dạng :- Platform – Apache, IIS, Sun One….- Client – Javascript, VB, ActionScript- AJAX/JSON – user experience- Server – C#, VB, PHP, Java, ColdFusion, Perl, Ruby- Web services – SOAP, WSDL, UDDI- Database – Oracle, MySQL, MS SQL, Postgres- LDAP – AD, Novell, Sun

Và còn nhiều nữa

www.itas.vn

Automated Web Vulnerability Scanner:Overview

Các công cụ kiểm tra tự động từ bên ngoài hoạt động thế nào?- Các công cụ quét lỗi tự động sẽ thu thập dữ liệu đầu vào của ứng dụngweb để xác định cấu trúc của web site bao gồm danh sách các liên kết(links) cũng như các thông số liên quan , sau đó dựa vào database có sẵn đểtạo ra các tập mẫu thử tương ứng và đẩy vào ứng dụng web một cách tựđộng , tiếp đến các công cụ phân tích sẽ ghi nhận và phân tích các giá trị trảvề của ứng dụng (HTTP response) để xác định có giá trị trả về nào tương tựnhư giá trị lỗi quy định trước từ đó xác định ứng dụng có lỗi hay không.

Các công cụ kiểm tra tự động từ bên ngoài hoạt động thế nào?- Các công cụ quét lỗi tự động sẽ thu thập dữ liệu đầu vào của ứng dụngweb để xác định cấu trúc của web site bao gồm danh sách các liên kết(links) cũng như các thông số liên quan , sau đó dựa vào database có sẵn đểtạo ra các tập mẫu thử tương ứng và đẩy vào ứng dụng web một cách tựđộng , tiếp đến các công cụ phân tích sẽ ghi nhận và phân tích các giá trị trảvề của ứng dụng (HTTP response) để xác định có giá trị trả về nào tương tựnhư giá trị lỗi quy định trước từ đó xác định ứng dụng có lỗi hay không.

www.itas.vn

Requests

Weaknesses&

Vulnerabilities

Weaknesses&

VulnerabilitiesSRD

Test Cases

WebApplication

Web ApplicationScanner

Responses

Automated Web Vulnerability Scanner:Illustrated

Có thể chia các công cụ kiểm tra tự động thành 4 phần riêng biệt :- A crawler module : phần thu thập dữ liệu đầu vào- An attacker module : phần tấn công- An analysis module : phần ghi nhận và phân tích dữ liệu trả về- A report generator module : phần báo cáo

www.itas.vn

CrawlModule

AttackModule

AnalysisModule

ReportModule

Automated Web Vulnerability Scanner:Illustrated

Bộ phận thu thập dữ liệu đầu vào(Crawler Module) :- Chức năng của bộ phận này là thu thập toàn bộ cấu trúc của ứng dụngweb và các thành phần tương ứng với cấu trúc thu thập được bao gồm :+ Những liên kết (set of URLs) của ứng dụng web kể cả follows links vàredirect.+ Các thành phần tương ứng của các liên kết này bao gồm nội dung, cácform để nhập dữ liệu, upload, các tham số cố định và các giá trị của chúng,method gửi POST, GET,….- Ngoài ra, bộ phận thu thập sẽ tổng kết từ kết quả thu thập được để xácđịnh các điểm nhập dữ liệu đầu vào của ứng dụng web và gửi kết quả tớiphần tấn công (Attack Module)- Đây là phần quan trọng nhất trong các công cụ kiểm tra tự động, kết quảcủa phần này sẽ quyết định phần nào trong ứng dụng web được kiểm tra.

Bộ phận thu thập dữ liệu đầu vào(Crawler Module) :- Chức năng của bộ phận này là thu thập toàn bộ cấu trúc của ứng dụngweb và các thành phần tương ứng với cấu trúc thu thập được bao gồm :+ Những liên kết (set of URLs) của ứng dụng web kể cả follows links vàredirect.+ Các thành phần tương ứng của các liên kết này bao gồm nội dung, cácform để nhập dữ liệu, upload, các tham số cố định và các giá trị của chúng,method gửi POST, GET,….- Ngoài ra, bộ phận thu thập sẽ tổng kết từ kết quả thu thập được để xácđịnh các điểm nhập dữ liệu đầu vào của ứng dụng web và gửi kết quả tớiphần tấn công (Attack Module)- Đây là phần quan trọng nhất trong các công cụ kiểm tra tự động, kết quảcủa phần này sẽ quyết định phần nào trong ứng dụng web được kiểm tra.

www.itas.vn

Automated Web Vulnerability Scanner:Illustrated

Bộ phận tấn công(Attacker Module) :- Bộ phận tấn công phân tích các điểm nhập dữ liệu do bộ phận thu thập dữliệu thu thập được. Sau đó với mỗi điểm nhập dữ liệu bộ phận tấn công sẽtạo ra các tập mẫu thử đầu vào tương ứng với các kiểu tấn công dựa vàodatabase có sẵn để gửi tới ứng dụng web.Ví dụ : đối với kiểm tra XSS bộ phận tấn công sẽ tạo ra các mẫu thử là mãjavascript để làm đầu vào, đối với kiểm tra SQL Injection bộ phận tấn côngsẽ tạo ra mẫu thử là các chuỗi có nghĩa trong ngôn ngữ SQL.- Các đầu vào này thường được chuẩn bị sẵn theo các bản SQL, XSS....Cheat sheet của từng công ty cung cấp sản phẩm công cụ kiểm tra.

Bộ phận tấn công(Attacker Module) :- Bộ phận tấn công phân tích các điểm nhập dữ liệu do bộ phận thu thập dữliệu thu thập được. Sau đó với mỗi điểm nhập dữ liệu bộ phận tấn công sẽtạo ra các tập mẫu thử đầu vào tương ứng với các kiểu tấn công dựa vàodatabase có sẵn để gửi tới ứng dụng web.Ví dụ : đối với kiểm tra XSS bộ phận tấn công sẽ tạo ra các mẫu thử là mãjavascript để làm đầu vào, đối với kiểm tra SQL Injection bộ phận tấn côngsẽ tạo ra mẫu thử là các chuỗi có nghĩa trong ngôn ngữ SQL.- Các đầu vào này thường được chuẩn bị sẵn theo các bản SQL, XSS....Cheat sheet của từng công ty cung cấp sản phẩm công cụ kiểm tra.

www.itas.vn

Automated Web Vulnerability Scanner:Illustrated

Bộ phận ghi nhận và phân tích (Module Analysis) :- Bộ phận này sẽ ghi nhận các mã HTML trả lời về của ứng dụng web saukhi nhận các dữ liệu đầu vào từ bộ phận tấn công và phân tích,so sánh đểtìm ra các dấu hiệu của điểm yếu có thể có trong ứng dụng web. Các kếtquả này sẽ được chuyển cho bộ phận báo cáo để tạo báo cáo về lỗ hổng tìmthấy hoặc bộ phận tấn công để tiếp tục gửi các mẫu thử khác nếu không tìmthấy dấu hiệu hoặc đồng thời cả hai.Ví dụ : nếu bộ phận phân tích nhận được báo lỗi về cơ sở dữ liệu khi tiếnhành kiểm tra SQL Injection, bộ phận này sẽ coi đó là dấu hiệu hiện diệncủa lỗi SQL Injection.

Bộ phận ghi nhận và phân tích (Module Analysis) :- Bộ phận này sẽ ghi nhận các mã HTML trả lời về của ứng dụng web saukhi nhận các dữ liệu đầu vào từ bộ phận tấn công và phân tích,so sánh đểtìm ra các dấu hiệu của điểm yếu có thể có trong ứng dụng web. Các kếtquả này sẽ được chuyển cho bộ phận báo cáo để tạo báo cáo về lỗ hổng tìmthấy hoặc bộ phận tấn công để tiếp tục gửi các mẫu thử khác nếu không tìmthấy dấu hiệu hoặc đồng thời cả hai.Ví dụ : nếu bộ phận phân tích nhận được báo lỗi về cơ sở dữ liệu khi tiếnhành kiểm tra SQL Injection, bộ phận này sẽ coi đó là dấu hiệu hiện diệncủa lỗi SQL Injection.

www.itas.vn

Automated Web Vulnerability Scanner:Illustrated

Bộ phận báo cáo (Report module) :- Bộ phận báo cáo sẽ tạo ra báo cáo từ các kết quả phân tích của bộ phậnphân tích dựa theo các mẫu báo cáo có sẵn trong cơ sở dữ liệu bao gồm cácphần như tên lỗi, kiểu lỗi, giải thích về lỗi, đánh giá mức độ nghiêm trọngcủa lỗi, các mẫu thử đầu vào, các mẫu thử đầu ra, khuyến cáo......

www.itas.vn

Automated Web Vulnerability Scanner:Illustrated

Thu thập thông tin về cấu trúc website

Tạo và gửi các tập mẫu thử tương ứng tới ứngdụng webAttack

Module

CrawlerModule

GET /index.aspx?id=1

HTTP/1.1 200 OKContent-Length: 18347

GET /index.aspx?id=1and 1=1

GET /index.aspx?id=1and 1=2

www.itas.vn

Tạo và gửi các tập mẫu thử tương ứng tới ứngdụng web

Ghi nhận và phân tích các dữ liệu trả về từứng dụng web

Xuất ra báo cáo về kết quả tìm thấy

AttackModule

ReportModule

Ứng dụngWeb

AnalysisModule

HTTP/1.1 200 OKContent-Length: 18347

Blind SQL InjectionDetected !!!

GET /index.aspx?id=1and 1=2

HTTP/1.1 200 OKContent-Length: 15332

Content-Length: 18347Content-Length: 15332

Black-box Automated WebVulnerability Scanners

and their limitations

Black-box Automated WebVulnerability Scanners

and their limitations

www.itas.vn

Crawler Challenges

“Nếu công cụ kiểm tra không kiểm tra hiệu quả thì có thể bỏsót lỗi không phát hiện.

Nếu công cụ thu thập không thu thập được thì chắc chắn lỗi sẽkhông phát hiện”

“Nếu công cụ kiểm tra không kiểm tra hiệu quả thì có thể bỏsót lỗi không phát hiện.

Nếu công cụ thu thập không thu thập được thì chắc chắn lỗi sẽkhông phát hiện”

www.itas.vn

Crawler Challenges Các vấn đề của bộ phận thu thập :

- Vấn đề về phân giải liên kết (Link extraction)- Các vấn đề về nhận biết sự ràng buộc của luồng dữ liệu (Data flow)- Vấn đề về các ứng dụng nhiều bước (Multi-step pages)- Vấn đề về số lượng liên kết không giới hạn (Infinity website)- Vấn đề về đăng nhập tự động (Automatic login)- Vấn đề về phiên làm việc (Session Manager)- Vấn đề về lỗi và mã trả về phi chuẩn (Custom methods and error)- Vấn đề về kiểu file và phân cách (file extension and demiliters)- Vấn đề về tường lửa và các kiểu chống thu thập tự động

Các vấn đề của bộ phận thu thập :- Vấn đề về phân giải liên kết (Link extraction)- Các vấn đề về nhận biết sự ràng buộc của luồng dữ liệu (Data flow)- Vấn đề về các ứng dụng nhiều bước (Multi-step pages)- Vấn đề về số lượng liên kết không giới hạn (Infinity website)- Vấn đề về đăng nhập tự động (Automatic login)- Vấn đề về phiên làm việc (Session Manager)- Vấn đề về lỗi và mã trả về phi chuẩn (Custom methods and error)- Vấn đề về kiểu file và phân cách (file extension and demiliters)- Vấn đề về tường lửa và các kiểu chống thu thập tự động

www.itas.vn

Crawler Limitations Vấn đề về phân giải liên kết :

- Các công cụ kiểm tra tự động có thể bỏ sót các liên kết trong nhiều trườnghợp như phân giải liên kết trong javascript .Ví dụ :+ Với liên kết www.bank.com/services/moneytransfer.html có thể chuyểnthành :function goto_service(services, name) {'http://www.bank.com/' + services + '/' + name + '.html';}và được ghi nhận trong mã html như sau :<a href=”javascript: goto_service(‘services',‘moneytransfer');”- Tương tự có thể gặp vấn đề tương tự về phân giải liên kết trong Ajax-based application và Flash-based application.

Vấn đề về phân giải liên kết :- Các công cụ kiểm tra tự động có thể bỏ sót các liên kết trong nhiều trườnghợp như phân giải liên kết trong javascript .Ví dụ :+ Với liên kết www.bank.com/services/moneytransfer.html có thể chuyểnthành :function goto_service(services, name) {'http://www.bank.com/' + services + '/' + name + '.html';}và được ghi nhận trong mã html như sau :<a href=”javascript: goto_service(‘services',‘moneytransfer');”- Tương tự có thể gặp vấn đề tương tự về phân giải liên kết trong Ajax-based application và Flash-based application.

www.itas.vn

Crawler Limitations Vấn đề về nhận biết sự ràng buộc của luồng dữ liệu :

- Các công cụ kiểm tự động không thể nhận diện được sự liên kết giữa cácliên kết trong ứng dụng web.Ví dụ : nếu trong ứng dụng web tồn tại mối liên kết giữa kết quả củafile1.aspx sẽ là đầu vào của file2.aspx thì khi các công cụ thu thập tự độngsẽ liệt kê các file trên là các file độc lập với các tham số đầu vào độc lậpvới nhau.

Vấn đề về nhận biết sự ràng buộc của luồng dữ liệu :- Các công cụ kiểm tự động không thể nhận diện được sự liên kết giữa cácliên kết trong ứng dụng web.Ví dụ : nếu trong ứng dụng web tồn tại mối liên kết giữa kết quả củafile1.aspx sẽ là đầu vào của file2.aspx thì khi các công cụ thu thập tự độngsẽ liệt kê các file trên là các file độc lập với các tham số đầu vào độc lậpvới nhau.

www.itas.vn

File1.aspx File2.aspx File3.aspx File1.aspx File2.aspx File3.aspx

Crawler Limitations Vấn đề về các ứng dụng nhiều bước :

- Rất nhiều phần trang web hiện nay được xây dựng theo trình hướng dẫnvà người dùng cuối phải nhập chính xác thông tin theo yêu cầu mới có thểtiếp xúc các bước sau. Các công cụ kiểm tra tự động hầu như không thể điqua các ứng dụng nhiều bước vì không có khả năng nhận diện được nộidung ứng dụng để nhận biết các thông tin nào cần nhập và dữ liệu trả về cóthực sự là “đạt” hay “không đạt” để từ đó có bước phản ứng tiếp theo phùhơp.

Vấn đề về các ứng dụng nhiều bước :- Rất nhiều phần trang web hiện nay được xây dựng theo trình hướng dẫnvà người dùng cuối phải nhập chính xác thông tin theo yêu cầu mới có thểtiếp xúc các bước sau. Các công cụ kiểm tra tự động hầu như không thể điqua các ứng dụng nhiều bước vì không có khả năng nhận diện được nộidung ứng dụng để nhận biết các thông tin nào cần nhập và dữ liệu trả về cóthực sự là “đạt” hay “không đạt” để từ đó có bước phản ứng tiếp theo phùhơp.

www.itas.vn

Crawler Limitations Vấn đề về số lượng liên kết không giới hạn :

- Bộ phận thu thập sẽ gặp vấn đề về số lượng liên kết cực lớn tới mức gầnnhư không giới hạn khi gặp các ứng dụng sử dụng URL rewrite hoặc liênkết lặpVí dụ :+ URL rewrite :http://vnexpress.net/gl/the-gioi/2011/09/tinh-bao-phuong-tay-tung-hop-tac-voi-gadhafi/http://vnexpress.net/gl/the-gioi/2011/09/philippines-tang-cuong-suc-manh-tren-bien-dong/+ Liên kết lặp : một phần website thể hiện lịch hàng ngày, với mỗi ngày sẽbiểu hiện lên nội dung của ngày hôm đó và liên kết tới ngày hôm sau.Trong trường hợp này các bộ phận thu thập sẽ tạo nên 1 danh sách các liênkết không giới hạn mà không công cụ nào có thể kiểm tra được

Vấn đề về số lượng liên kết không giới hạn :- Bộ phận thu thập sẽ gặp vấn đề về số lượng liên kết cực lớn tới mức gầnnhư không giới hạn khi gặp các ứng dụng sử dụng URL rewrite hoặc liênkết lặpVí dụ :+ URL rewrite :http://vnexpress.net/gl/the-gioi/2011/09/tinh-bao-phuong-tay-tung-hop-tac-voi-gadhafi/http://vnexpress.net/gl/the-gioi/2011/09/philippines-tang-cuong-suc-manh-tren-bien-dong/+ Liên kết lặp : một phần website thể hiện lịch hàng ngày, với mỗi ngày sẽbiểu hiện lên nội dung của ngày hôm đó và liên kết tới ngày hôm sau.Trong trường hợp này các bộ phận thu thập sẽ tạo nên 1 danh sách các liênkết không giới hạn mà không công cụ nào có thể kiểm tra được

www.itas.vn

Crawler Limitations Vấn đề về đăng nhập tự động :

- Một thành phần thường gặp trong các ứng dụng web là các khu vực yêucầu chứng thực. Mặc dù có thể được cung cấp tài khoản để truy cập nhưngtrong quá trình thu thập dữ liệu liệu các công cụ tự động có thể đăng nhậptự động vào ứng dụng web tiếp tục nếu ứng dụng sử dụng capcha, token.....hoặc phần chứng thực thuộc về 1 bên thứ 3? Nếu không đăng nhập được thìsẽ bỏ qua các khu vực này không kiểm tra.

Vấn đề về đăng nhập tự động :- Một thành phần thường gặp trong các ứng dụng web là các khu vực yêucầu chứng thực. Mặc dù có thể được cung cấp tài khoản để truy cập nhưngtrong quá trình thu thập dữ liệu liệu các công cụ tự động có thể đăng nhậptự động vào ứng dụng web tiếp tục nếu ứng dụng sử dụng capcha, token.....hoặc phần chứng thực thuộc về 1 bên thứ 3? Nếu không đăng nhập được thìsẽ bỏ qua các khu vực này không kiểm tra.

www.itas.vn

Crawler Limitations Vấn đề về phiên làm việc :

- Trong quá trình thu thập cần các phiên làm việc có hiệu lực, nếu phiênlàm việc mất hiệu lực sẽ khiến bộ phận thu thập không thể tiếp tục nhậnđược các liên kết mới.- Nguyên nhân hết hiệu lực có thể do lần theo link logout, hay bị timeouttrong phiên làm việc (do độ trễ từ khi gởi request đến khi nhận responsecao,...) hoặc các ứng dụng thay đổi các cookie theo từng giai đoạn, ứngdụng bị lỗi, phiên làm việc hết hạn......- Mặc dù các công cụ hiện nay đã gia tăng thêm nhiều biện pháp phát hiệnvề session mất hiệu lực nhưng không tránh khỏi bỏ sót các liên kết đầu vào.

Vấn đề về phiên làm việc :- Trong quá trình thu thập cần các phiên làm việc có hiệu lực, nếu phiênlàm việc mất hiệu lực sẽ khiến bộ phận thu thập không thể tiếp tục nhậnđược các liên kết mới.- Nguyên nhân hết hiệu lực có thể do lần theo link logout, hay bị timeouttrong phiên làm việc (do độ trễ từ khi gởi request đến khi nhận responsecao,...) hoặc các ứng dụng thay đổi các cookie theo từng giai đoạn, ứngdụng bị lỗi, phiên làm việc hết hạn......- Mặc dù các công cụ hiện nay đã gia tăng thêm nhiều biện pháp phát hiệnvề session mất hiệu lực nhưng không tránh khỏi bỏ sót các liên kết đầu vào.

www.itas.vn

Crawler Limitations Vấn đề về lỗi và mã trả về không truyền thống :

- Rất nhiều ứng dụng web được tuỳ biến khác với truyền thống và làm thayđổi các mã trả về khiến bộ phận thu thập không phân biệt được giữa mã trảlời bình thường và trả về bị lỗi trong khi thu thập thông tin kèm theo danhsách liên kết.Ví dụ :+ 200 Error+ 200 Not Found…+ Nếu trang web trả lời về 200 OK đối với nguồn tài nguyên không tồn tạinhư /khongtontai thì công cụ tự động sẽ tiếp tục kiểm tra tiếp với/khongtontai/admin, /khongtontai/login.... Và tiếp tục mãi mãi

Vấn đề về lỗi và mã trả về không truyền thống :- Rất nhiều ứng dụng web được tuỳ biến khác với truyền thống và làm thayđổi các mã trả về khiến bộ phận thu thập không phân biệt được giữa mã trảlời bình thường và trả về bị lỗi trong khi thu thập thông tin kèm theo danhsách liên kết.Ví dụ :+ 200 Error+ 200 Not Found…+ Nếu trang web trả lời về 200 OK đối với nguồn tài nguyên không tồn tạinhư /khongtontai thì công cụ tự động sẽ tiếp tục kiểm tra tiếp với/khongtontai/admin, /khongtontai/login.... Và tiếp tục mãi mãi

www.itas.vn

Crawler Limitations Vấn đề về kiểu file và phân cách :

- Các ứng dụng web hiện nay rất đa dạng về các kiểu file và phân cáchkhiến các công cụ không phân biệt được đâu là biến và đâu là giá trị.Ví dụ : với liên kếthttp://www.site.com/category.php?categoryID=69&lang=en có thể trởthành :+ http://www.site.com/category-69-en-solutions-and-services.html+ http://www.site.com/category.site?services=solution-and-services+ http://www.site.com/category/69/solution-and-serviceshoặc các kiểu file :+ http://www.site.com/xxxxcorp/menu/tech_index.xx24

Vấn đề về kiểu file và phân cách :- Các ứng dụng web hiện nay rất đa dạng về các kiểu file và phân cáchkhiến các công cụ không phân biệt được đâu là biến và đâu là giá trị.Ví dụ : với liên kếthttp://www.site.com/category.php?categoryID=69&lang=en có thể trởthành :+ http://www.site.com/category-69-en-solutions-and-services.html+ http://www.site.com/category.site?services=solution-and-services+ http://www.site.com/category/69/solution-and-serviceshoặc các kiểu file :+ http://www.site.com/xxxxcorp/menu/tech_index.xx24

www.itas.vn

Crawler Limitations Vấn đề về Firewall và Web application firewall(WAF):

- Firewall và WAF có thể chặn các truy vấn xuất phát từ các công cụ kiểmtra khi phát hiện trong thành phần của truy vấn có dấu vết của công cụkiểm tra tự động.- Nhiều ứng dụng web có thể thiết lập để không cho phép các công cụ kiểmtra tự động crawl ứng dụng.

www.itas.vn

Attacker Module Challenges

“Nếu công cụ tấn công có thể tìm ra 99% số lỗi thì hacker sẽ sửdụng 1% số lỗi còn lại để tấn công và thâm nhập vào ứngdụng”

“Nếu công cụ tấn công có thể tìm ra 99% số lỗi thì hacker sẽ sửdụng 1% số lỗi còn lại để tấn công và thâm nhập vào ứngdụng”

www.itas.vn

Attacker Module Challenges Các vấn đề của Attack Module :

- Vấn đề về độ rộng của mẫu thử tấn công- Vấn đề về Web services- Vấn đề về cách triển khai và nơi cài đặt ứng dụng .- Vấn đề về tần suất gửi các mẫu thử- Vấn đề về chứng thực nhiều cấp độ.- Vấn đề về kiểm tra Bussiness Logic.

Các vấn đề của Attack Module :- Vấn đề về độ rộng của mẫu thử tấn công- Vấn đề về Web services- Vấn đề về cách triển khai và nơi cài đặt ứng dụng .- Vấn đề về tần suất gửi các mẫu thử- Vấn đề về chứng thực nhiều cấp độ.- Vấn đề về kiểm tra Bussiness Logic.

www.itas.vn

Attacker Module Limitations Vấn đề về độ rộng của mẫu thử tấn công :

- Tùy thuộc vào các công cụ khác nhau sẽ có danh sách các lỗi được kiểmtra khác nhau, điều này đồng nghĩa với việc không có công cụ nào có khảnăng kiểm tra tất cả các lỗi.- Tần suất cập nhật và nguồn thu thập các mẫu thử là điểm mấu chốt của bộphận tấn công. Khả năng cập nhật các lỗi zero-day của các công cụ thườngbị chậm khá nhiều so với thời gian công bố.

Vấn đề về độ rộng của mẫu thử tấn công :- Tùy thuộc vào các công cụ khác nhau sẽ có danh sách các lỗi được kiểmtra khác nhau, điều này đồng nghĩa với việc không có công cụ nào có khảnăng kiểm tra tất cả các lỗi.- Tần suất cập nhật và nguồn thu thập các mẫu thử là điểm mấu chốt của bộphận tấn công. Khả năng cập nhật các lỗi zero-day của các công cụ thườngbị chậm khá nhiều so với thời gian công bố.

www.itas.vn

Ngàyphát

hiện lỗi0 -day

Ngàycôngbố lỗi

1-2tháng

Ngàyđượccậpnhật

1-2tháng

Attacker Module Limitations Vấn đề về Web Services :

- Các ứng dụng web 2.0 sử dụng nhiều cách truyền dữ liệu khác với cácứng dụng truyền thống như XML/SOAP hoặc JSON/REST. Các công cụkiểm tra tự động hiện nay thường không đầy đủ về các mẫu thử với côngnghệ này và dễ dàng bỏ sót các giá trị tham số cần kiểm tra.

www.itas.vn

Attacker Module Limitations Vấn đề về cách triển khai và nơi cài đặt ứng dụng :

- Có thể nhận thấy dễ dàng các mẫu thử về Local file Include hoặcDirectory Traversal của các công cụ chỉ tập trung tìm các file mặc định nằmtrên ổ C (trường hợp HĐH Windows), nếu với các ứng dụng web không thểtruy xuất ổ C thì các công cụ kiểm tra không thể phát hiện được các lỗinguy hiểm này.- Đối với những ứng dụng web được cài đặt trên nhiều IP khác nhau (loadbalance) cũng gây trở ngại với công cụ kiểm tra khi các ứng dụng này trongrất nhiều trường hợp không giống nhau hoàn toàn.

Vấn đề về cách triển khai và nơi cài đặt ứng dụng :- Có thể nhận thấy dễ dàng các mẫu thử về Local file Include hoặcDirectory Traversal của các công cụ chỉ tập trung tìm các file mặc định nằmtrên ổ C (trường hợp HĐH Windows), nếu với các ứng dụng web không thểtruy xuất ổ C thì các công cụ kiểm tra không thể phát hiện được các lỗinguy hiểm này.- Đối với những ứng dụng web được cài đặt trên nhiều IP khác nhau (loadbalance) cũng gây trở ngại với công cụ kiểm tra khi các ứng dụng này trongrất nhiều trường hợp không giống nhau hoàn toàn.

www.itas.vn

Attacker Module Limitations Vấn đề về tần suất gửi các mẫu thử :

- Do sự đa dạng của các công nghệ sử dụng nên các công cụ kiểm tra tựđộng không thể biết chính xác ứng dụng web đang kiểm tra sử dụng côngnghệ nào nên các công cụ tự động sẽ sử dụng mọi loại mẫu thử cho cáckiểu tấn công dẫn đến ảnh hưởng về lưu lượng data trên đường truyền.- Nếu kiểm tra các ứng dụng online trong trạng thái hoạt động sẽ có thể gâyảnh hưởng không tốt cho dữ liệu khách hàng khi có rất nhiều form nhậpliệu sẽ nhận được hàng loạt mẫu thử từ các công cụ kiểm tra tự động hoặcứng dụng bị ngừng hoạt động.

Vấn đề về tần suất gửi các mẫu thử :- Do sự đa dạng của các công nghệ sử dụng nên các công cụ kiểm tra tự

động không thể biết chính xác ứng dụng web đang kiểm tra sử dụng côngnghệ nào nên các công cụ tự động sẽ sử dụng mọi loại mẫu thử cho cáckiểu tấn công dẫn đến ảnh hưởng về lưu lượng data trên đường truyền.- Nếu kiểm tra các ứng dụng online trong trạng thái hoạt động sẽ có thể gâyảnh hưởng không tốt cho dữ liệu khách hàng khi có rất nhiều form nhậpliệu sẽ nhận được hàng loạt mẫu thử từ các công cụ kiểm tra tự động hoặcứng dụng bị ngừng hoạt động.

www.itas.vn

Attacker Module Limitations Vấn đề về chứng thực nhiều cấp độ:

- Các công cụ kiểm tra tự động không thể cùng lúc kiểm tra ứng dụng vớinhiều cấp độ chứng thực người dùng nên không có khả năng nhận biết sựkhác biệt của ứng dụng đối với từng cấp độ người dùng khác nhau. Hầu hếtcác công cụ kiểm tra tự động không thể kiểm tra được các lỗi về nângquyền và không có các mẫu thử về kiểu kiểm tra này.- Ví dụ :+ Một hacker có thể thay đổi các giá trị phù hợp để tự nâng quyền từ ngườidùng bình thường trở thành admin của ứng dụng nhưng công cụ tự động thìkhông thể chuẩn bị sẵn các mẫu thử cho kiểu tấn công này.

Vấn đề về chứng thực nhiều cấp độ:- Các công cụ kiểm tra tự động không thể cùng lúc kiểm tra ứng dụng vớinhiều cấp độ chứng thực người dùng nên không có khả năng nhận biết sựkhác biệt của ứng dụng đối với từng cấp độ người dùng khác nhau. Hầu hếtcác công cụ kiểm tra tự động không thể kiểm tra được các lỗi về nângquyền và không có các mẫu thử về kiểu kiểm tra này.- Ví dụ :+ Một hacker có thể thay đổi các giá trị phù hợp để tự nâng quyền từ ngườidùng bình thường trở thành admin của ứng dụng nhưng công cụ tự động thìkhông thể chuẩn bị sẵn các mẫu thử cho kiểu tấn công này.

www.itas.vn

Attacker Module Limitations Vấn đề về kiểm tra Bussiness Logic :

- Các công cụ kiểm tra tự động không thể kiểm tra được các lỗi vềbussiness logic mặc dù hầu hết các lỗi của phần này đều gây hậu quảnghiêm trọng đối với hệ thống.Ví dụ : một bussiness logic có thể triển khai như+ Bước 1: nhập vào tên của người muốn chuyển khoản.+ Bước 2: nhập vào số tiền muốn chuyển khoản(tại đây ứng dụng sẽ kiểmtra về khả năng thanh toán – số tiền trong tài khoản phải lớn hơn số tiềnmuốn chuyển).+ Bước 3: nhập tên người muốn chuyển tiền tới.+ Bước 4: tổng hợp các tham số cho yêu cầu và chuyển tiền.Với các chuyên gia kiểm tra có thể phá vỡ logic này bằng cách tấn côngthẳng vào bước 4 mà bỏ qua các bước 1,2,3. Đối với công cụ là không thể Bussiness logic chỉ có thể kiểm tra bởi con người

Vấn đề về kiểm tra Bussiness Logic :- Các công cụ kiểm tra tự động không thể kiểm tra được các lỗi vềbussiness logic mặc dù hầu hết các lỗi của phần này đều gây hậu quảnghiêm trọng đối với hệ thống.Ví dụ : một bussiness logic có thể triển khai như+ Bước 1: nhập vào tên của người muốn chuyển khoản.+ Bước 2: nhập vào số tiền muốn chuyển khoản(tại đây ứng dụng sẽ kiểmtra về khả năng thanh toán – số tiền trong tài khoản phải lớn hơn số tiềnmuốn chuyển).+ Bước 3: nhập tên người muốn chuyển tiền tới.+ Bước 4: tổng hợp các tham số cho yêu cầu và chuyển tiền.Với các chuyên gia kiểm tra có thể phá vỡ logic này bằng cách tấn côngthẳng vào bước 4 mà bỏ qua các bước 1,2,3. Đối với công cụ là không thể Bussiness logic chỉ có thể kiểm tra bởi con người

www.itas.vn

Analysis Module Challenges

“Liệu có công cụ nào phân tích được tất cả lỗ hổngcủa ứng dụng web bất chấp kỹ thuật sử dụng?”“Liệu có công cụ nào phân tích được tất cả lỗ hổngcủa ứng dụng web bất chấp kỹ thuật sử dụng?”

www.itas.vn

Analysis Module Challenges Các vấn đề của bộ phận ghi nhận và phân tích :

- Vấn đề về phân biệt nội dung.- Vấn đề về sự khác biệt trả về.- Vấn đề về sự phát triển của ứng dụng web.- Vấn đề về phân tích Application DoS.- Vấn đề về phân tích thời gian.- Vấn đề về báo lỗi mặc định.

Các vấn đề của bộ phận ghi nhận và phân tích :- Vấn đề về phân biệt nội dung.- Vấn đề về sự khác biệt trả về.- Vấn đề về sự phát triển của ứng dụng web.- Vấn đề về phân tích Application DoS.- Vấn đề về phân tích thời gian.- Vấn đề về báo lỗi mặc định.

www.itas.vn

Analysis Module Limitations Vấn đề về phân biệt nội dung :

- Các công cụ kiểm tra tự động không thể phân biệt được nội dung của ứngdụng nên sẽ không thể phân tích được các kiểu tấn công liên quan đến ngữcảnh nên sẽ bỏ sót.Ví dụ :+ Đối với công cụ tự động thì Cookie :Y=is_authenticated=1;T=username=admin tương tự như Cookie : S=UID=6DD7C211BBB61C0E4F6DEF8374801ECF; T=6DD7C211BBB61C0Enhưng đối với con người sẽ phân biệt dễ dàng.+ Hoặc khi phân tích url nhận về có dạnghttp://site.com/authenticated_zone/username1/, con người sẽ dễ dàng thayusername1 bằng username2 để kiểm tra nhưng với các công cụ thì khôngthể nhận ra.

Vấn đề về phân biệt nội dung :- Các công cụ kiểm tra tự động không thể phân biệt được nội dung của ứngdụng nên sẽ không thể phân tích được các kiểu tấn công liên quan đến ngữcảnh nên sẽ bỏ sót.Ví dụ :+ Đối với công cụ tự động thì Cookie :Y=is_authenticated=1;T=username=admin tương tự như Cookie : S=UID=6DD7C211BBB61C0E4F6DEF8374801ECF; T=6DD7C211BBB61C0Enhưng đối với con người sẽ phân biệt dễ dàng.+ Hoặc khi phân tích url nhận về có dạnghttp://site.com/authenticated_zone/username1/, con người sẽ dễ dàng thayusername1 bằng username2 để kiểm tra nhưng với các công cụ thì khôngthể nhận ra.

www.itas.vn

Analysis Module Limitations Vấn đề về khác biệt dữ liệu trả về

- Hai lần với cùng dữ liệu gửi có thể trả về kết quả khác nhau trong nhiềutrường hợp như:+ Wizard-based applications+ Có các thành phần liên quan đến thời gian trong nội dung+ Có các thành phần quảng cáo liên quan trong nội dung......- Nhiều thành phần trong mã HTML trả về có thể thay đổi giữa layout mặcđịnh và nội dung-> Dễ nhận biết với con người-> Khó nhận biết với công cụ

Vấn đề về khác biệt dữ liệu trả về- Hai lần với cùng dữ liệu gửi có thể trả về kết quả khác nhau trong nhiềutrường hợp như:+ Wizard-based applications+ Có các thành phần liên quan đến thời gian trong nội dung+ Có các thành phần quảng cáo liên quan trong nội dung......- Nhiều thành phần trong mã HTML trả về có thể thay đổi giữa layout mặcđịnh và nội dung-> Dễ nhận biết với con người-> Khó nhận biết với công cụ

www.itas.vn

Analysis Module Limitations Vấn đề về sự phát triển của ứng dụng web :

- Các công cụ kiểm tra tự động sau khi đã trải qua quá trình thu thập sẽ coiứng dụng web như ứng dụng cố định. Trong trường hợp kiểm tra các ứngdụng đang online trong trạng thái hoạt động có thể có sự thay đổi về dữ liệukhiến các công cụ phân tích nhầm lẫn gây ảnh hưởng đến kết quả kiểm tra.

www.itas.vn

Analysis Module Limitations Vấn đề về phân tích Application DoS :

- Các công cụ kiểm tra tự động hầu hết đều bỏ qua các mẫu thử về DoS dokhông có khả năng phân tích phù hợp với ứng dụng đang kiểm tra. Đại đasố chỉ sử dụng các mẫu thử có sẵn theo các CWE đã tồn tại rồi

www.itas.vn

Analysis Module Limitations Vấn đề về phân tích thời gian :

- Các công cụ kiểm tra tự động không thể phân biệt được các time out trảvề do ứng dụng time out hay time out do đường truyền dẫn đến tình trạngđưa ra kết luận sai về lỗ hổng.Ví dụ : trong trường hợp kiểm tra về blind timing SQL Injection

www.itas.vn

Analysis Module Limitations Vấn đề về mã hóa :

- Nhiều ứng dụng web được cấu hình URL mã hóa các giá trị tham số theonhiều kiểu như base64 hoặc các kiểu tương tự.Vi dụ :Nguyên mẫu :+ http://site.com/browse.asp?tabid=1&catid=222&maxid=222trở thành :+ http://site.com/browse.asp?tabid=MQ==&catid=MjIy&maxid=MjIyhoặc :http://site.com/modules.php?p=YWN0P_WR5bi_Ztb2Q_9UmVn_aXN0Z_XJTdW_JqZWN_0JmY9_dmlld_19zY2_hlZHV_sZQ==- Các công cụ tự động không thể kiểm tra trong các trường hợp này dokhông phân tích được các giá trị cần thiết.

Vấn đề về mã hóa :- Nhiều ứng dụng web được cấu hình URL mã hóa các giá trị tham số theonhiều kiểu như base64 hoặc các kiểu tương tự.Vi dụ :Nguyên mẫu :+ http://site.com/browse.asp?tabid=1&catid=222&maxid=222trở thành :+ http://site.com/browse.asp?tabid=MQ==&catid=MjIy&maxid=MjIyhoặc :http://site.com/modules.php?p=YWN0P_WR5bi_Ztb2Q_9UmVn_aXN0Z_XJTdW_JqZWN_0JmY9_dmlld_19zY2_hlZHV_sZQ==- Các công cụ tự động không thể kiểm tra trong các trường hợp này dokhông phân tích được các giá trị cần thiết.

www.itas.vn

Analysis Module Limitations Vấn đề về báo lỗi mặc định :

- Ngày nay rất nhiều ứng dụng web được cấu hình mặc định luôn trả vềtrang báo lỗi cố định. Các công cụ phân tích sẽ thực sự khó khăn trong cáctrường hợp này để phân tích các lỗ hổng

www.itas.vn

Report Generator Challenges

“ Tất cả mọi trường hợp đều giống nhau?”

www.itas.vn

Report Generator Limitions Vấn đề của bộ phận báo cáo :

- Vấn đề về đánh giá mức ngiêm trọng của lỗ hổng.

www.itas.vn

Report Generator Limitions Vấn đề về đánh giá mức ngiêm trọng của lỗ hổng :

- Các ứng dụng web được sử dụng cho nhiều mục đích từ cá nhân, giải tríđến thương mại rất khó đánh giá chung về mức độ nghiêm trọng lỗ hổngbảo mật . Nếu đối với ứng dụng thương mại trực tuyến lộ các thông tin vềkhách hàng là điều cực kỳ nguy hiểm nhưng đối với 1 trang mạng xã hội cóthể cho phép tạo và truy cập vào các trang của thành viên mà không đánhgiá rằng đó là điều nguy hiểm mặc dù cả 2 ứng dụng đều cần bảo mật nhưnhau. Đây là điểm yếu duy nhất của phần báo cáo.

Vấn đề về đánh giá mức ngiêm trọng của lỗ hổng :- Các ứng dụng web được sử dụng cho nhiều mục đích từ cá nhân, giải tríđến thương mại rất khó đánh giá chung về mức độ nghiêm trọng lỗ hổngbảo mật . Nếu đối với ứng dụng thương mại trực tuyến lộ các thông tin vềkhách hàng là điều cực kỳ nguy hiểm nhưng đối với 1 trang mạng xã hội cóthể cho phép tạo và truy cập vào các trang của thành viên mà không đánhgiá rằng đó là điều nguy hiểm mặc dù cả 2 ứng dụng đều cần bảo mật nhưnhau. Đây là điểm yếu duy nhất của phần báo cáo.

www.itas.vn

Enternement Comercial

Black-box Automated Web ScannerLimitions vs OWASP TOP 10-2010Black-box Automated Web ScannerLimitions vs OWASP TOP 10-2010

www.itas.vn

Automated Web Scanner vs OWASPTOP 10

Như chúng ta thấy, mặc dù các công cụ kiểm tra tự động từ bên ngoài córất nhiều điểm tốt nhưng như mọi phần mềm, các công cụ này cũng có cácđiểm yếu nhất định.

Dưới đây là một số các lỗi không kiểm tra được hoặc kiểm tra ít hiệu quảkhi sử dụng các công cụ kiểm tra tự động từ bên ngoài mà các chuyên giaITAS đã từng phát hiện trong các dự án kiểm tra bảo mật.

Như chúng ta thấy, mặc dù các công cụ kiểm tra tự động từ bên ngoài córất nhiều điểm tốt nhưng như mọi phần mềm, các công cụ này cũng có cácđiểm yếu nhất định.

Dưới đây là một số các lỗi không kiểm tra được hoặc kiểm tra ít hiệu quảkhi sử dụng các công cụ kiểm tra tự động từ bên ngoài mà các chuyên giaITAS đã từng phát hiện trong các dự án kiểm tra bảo mật.

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A1. Injection Flaws :- Insert ,Update and Delete SQL Injection- SQL injection : trong trường hợp url rewrite hoặc bị lọc nhưng chưa hếthoặc các trường hợp báo lỗi mặc định.- Second order SQL Injection case : hầu hết các công cụ scan không pháthiện.

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A2. Cross-site Scripting :- Reflected Cross-site Scripting : trong trường hợp có bộ lọc thô sơ- Stored Cross-site Scripting

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A3. Broken Authentication and Session Management :- Authentication bypass- Default username: thất bại trong hầu hết các trường hợp trừ trường hợpthật sự đơn giản như admin,test…- Weak password: thất bại trong hầu hết các trường hợp trừ trường hợp thậtsự đơn giản như admin,test,123…- Session ID guessing- User ID in cookie

A3. Broken Authentication and Session Management :- Authentication bypass- Default username: thất bại trong hầu hết các trường hợp trừ trường hợpthật sự đơn giản như admin,test…- Weak password: thất bại trong hầu hết các trường hợp trừ trường hợp thậtsự đơn giản như admin,test,123…- Session ID guessing- User ID in cookie

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A4. Insecure Direct Object Reference- LFI/Directory Traversal: thất bại trong trường hợp web server không càiđặt trên ổ hệ điều hành(windows) hoặc không truy cập được các file mặcđịnh như /ect/passwd,/ect/hosts...(Linux)- Upload problem : không đưa ra cảnh báo khi vấn đề giới hạn upload nằmtại phía client hoặc không kiểm tra được kiểu bypass file upload

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A5. Cross Site Request Forgery (CSRF):- Thất bại trong hầu hết các trường hợp kiểm tra XSRF do không có khảnăng phân tích nội dung.

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A6. Security Misconfiguration :- Rất ít phát hiện các lỗi do cấu hình sai hoặc thiếu.

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A7. Insecure Cryptographic Storage:- Không kiểm tra được do không có khả năng tiếp xúc với các dữ liệu

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A8. Failure to Restrict URL Access- Không kiểm tra được trong hầu hết các trường hợp do không phân biệtđược đâu là tên user hoặc các thành phần liên quan.

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A9. Insufficient Transport Layer Protection- Không kiểm tra được do thiếu khả năng nhận biết nội dung

www.itas.vn

Automated Web Scanner versusOWASP TOP 10

A.10 -Unvalidated Redirects and Forwards :- Thất bại trong phần lớn các trường hợp

www.itas.vn

“We all have security issues in our web sitesOne-time security assessments are not enoughContinuos security review by qualified personnelScanners help, but not a complete solution”

Jeremiah GrossmanCEO WhiteHat Security, Inc.

“We all have security issues in our web sitesOne-time security assessments are not enoughContinuos security review by qualified personnelScanners help, but not a complete solution”

Jeremiah GrossmanCEO WhiteHat Security, Inc.

www.itas.vn

ARE YOU SURE?

www.itas.vn

References Application Penetration testing Versus Vulnerability Scanning :

<https://www.issa.org/Library/Journals/2010/September/ISSA%20Journal%20September%202010.pdf>

Challenges of Automated Web Application Scanning:< http://www.blackhat.com/presentations/bh-federal-03/bh-fed-03-grossman-up.pdf>

Web application security: automated scanning versus manual penetrationtesting<ftp://ftp.software.ibm.com/software/rational/web/whitepapers/r_wp_autoscan.pdf>

Application Penetration testing Versus Vulnerability Scanning :<https://www.issa.org/Library/Journals/2010/September/ISSA%20Journal%20September%202010.pdf>

Challenges of Automated Web Application Scanning:< http://www.blackhat.com/presentations/bh-federal-03/bh-fed-03-grossman-up.pdf>

Web application security: automated scanning versus manual penetrationtesting<ftp://ftp.software.ibm.com/software/rational/web/whitepapers/r_wp_autoscan.pdf>

www.itas.vn

Thanks you!

• ITAS Corporation – www.itas.vn• Telephone: 084-8-38931952• Mobile phone : 0934445711• Email: info@itas.vn• Address : 459A Nguyễn Kiệm , P. 9, Q. Phú Nhuận, Hồ

Chí Minh

BE SECURE WITH US

• ITAS Corporation – www.itas.vn• Telephone: 084-8-38931952• Mobile phone : 0934445711• Email: info@itas.vn• Address : 459A Nguyễn Kiệm , P. 9, Q. Phú Nhuận, Hồ

Chí Minh

BE SECURE WITH US

www.itas.vn