I. KIỂM TRA BẢO MẬT WEBSITE

1. Các mối nguy cơ liên quan đến ứng dụng Web

Trong quá trình hoạt động, ứng dụng web thường được phép truy xuất đến các tài nguyên quan trọng của hệ thống đó là máy chủ web và máy chủ cơ sở dữ liệu. Thông thường khi phát triển ứng dụng, các lập trình viên thường dành nhiều thời gian cho các chức năng, giao diện mà bỏ qua vấn đề bảo mật. Điều đó không có nghĩa là lập trình viên không quan tâm đến vấn đề bảo mật mà vấn đề ở chỗ họ thường thiếu kiến thức về bảo mật và vấn đề bảo mật thường bị bỏ qua trong giai đoạn thiết kế và xây dựng ứng dụng.

Ứng dụng có lỗ hỗng bảo mật thường bị tin tặc khai thác để chiếm quyền điều khiển máy chủ web và máy chủ cơ sở dữ liệu. Từ đó tin tặc có thể triển khai các kiểu tấn công khác như:

  • Thay đổi giao diện trang web
  • Chèn các mã độc được cài đặt tự động vào máy người dùng khi họ truy cập vào ứng dụng
  • Chèn các mã độc để lấy cắp các thông tin về phiên làm việc (session ID)
  • Lấy cắp thông tin về được lưu trữ trên cơ sở dữ liệu
  • Truy cập tự do vào những vùng cấm
  • ….

2. Cách các tin tặc triển khai các kiểu tấn công vào ứng dụng Web như thế nào ?

Có nhiều cách khác nhau mà tin tặc có thể sử dụng khi tấn công vào ứng dụng web. Từ đơn giản nhất chỉ với vài thao tác tìm kiếm trên Google có thể tìm ra các thông tin về các lỗ hỗng của các ứng dụng web phổ biến nhất hiện nay như WordPress, Joomla, Drupal, và MediaWiki. Và không những là thông tin về các lỗ hổng trên các ứng dụng đó có thể tìm kiếm dễ dàng mà tin tặc với một vài từ khoá đơn giản có thể tìm kiếm chính xác trang web nào chưa được sửa các lỗ hổng đó.

Bên cạnh đó, thông thường, các tin tặc sẽ tập trung vào khai thác các lỗi sau:

  • SQL Injection
  • Cross Site Scripting (XSS)
  • Remote Command Execution
  • Path Traversal

3. Tại sao phải phát hiện và ngăn chặn các kiểu tấn công của tin tặc vào ứng dụng web ?

Hậu quả của việc tin tặc khai thác thành công và truy cập được vào các máy chủ web hay máy chủ cơ sở dữ liệu có thể gây thiệt hại đến công ty bất kể là quy mô hay loại hình hoạt động của công ty đó. Các thiệt hại có thể gồm:

  • Bị mất trộm dữ liệu nhạy cảm
  • Tài khoản của người dùng bị thâm nhập
  • Độ tin cậy của khách hàng vào công ty bị suy giảm
  • Danh tiếng công ty bị giảm sút
  • Gây thiệt hại về doanh thu
  • Web Site có thể bị gán nhãn là site chứa mã độc

4. Dịch vụ của ITAS giúp đỡ bạn chống lại các kiểu tấn công như thế nào ?

Các dịch vụ về gói an ninh web site của công ty ITAS cung cấp một cơ chế phát hiện sớm và cảnh báo cho người quản trị ứng dụng web site các lỗ hỗng bảo mật mà ứng dụng web mắc phải. Từ đó người quản trị có thể lên kế hoạch sửa chữa hoặc thay thé ứng dụng.

Dựa trên kho dữ liệu phong phú về các lỗ hỗng bảo mật và được cập nhật định kì các lỗ hổng mới nhất. Chúng tôi thực hiện quét ứng dụng của khách hàng theo định kì. Quá trình quét được thực hiện bởi các chuyên gia bảo mật có kinh nghiệm và không làm ảnh hưởng đến hoạt động kinh doanh thông thường của khách hàng

II. KIỂM TRA BẢO MẬT MÃ NGUỒN ỨNG DỤNG

A. Kiểm tra lỗi bảo mât mã nguồn:

1. Kiểm tra lỗi bảo mât mã nguồn là gì?

Kiểm tra lỗi mã nguồn là hình thức phân tích trực tiếp trên mã nguồn nhằm tìm ra những lỗ hổng về bảo mật ngay từ cấp độ mã nguồn. Kiểm tra lỗi bảo mật mã nguồn giúp cho các lập trình viên phát hiện ngay các lỗi bảo mật từ khi thiết kế các ứng dụng mới hoặc có hướng khắc phục cụ thể các lỗi bảo mật tìm ra của các ứng dụng đã hoàn thành.

Cách kiểm tra lỗi mã nguồn thường được tiến hành tự động nhờ các công cụ (Source Code Analysis Tools) và được kiểm tra lại sau đó bằng thủ công để xác định các lỗi tìm thấy.

2. Ai cần kiểm tra lỗi bảo mât mã nguồn :

Các công ty thiết kế web, các tổ chức về bảo mật, các doanh nghiệp thương mại online cần độ bảo mật cao….

3. Các công cụ kiểm tra bảo mât mã nguồn :

Hiện tại, có nhiều công cụ về kiểm tra lỗi mã nguồn cả các phiên bản mã nguồn mở và thương mại như :

  • FindBugs
  • FxCop
  • PMD
  • RATS
  • Flawfinder
  • CxSuite
  • Prevent
  • Insight

(Tham khảo thêm tại http://www.owasp.org/index.php/Source_Code_Analysis_Tools)

4. ITAS là công ty đầu tiên tại Việt Nam cung cấp giải pháp và sản phẩm về kiểm tra lỗi mã nguồn
Công ty ITAS cung cấp dịch vụ kiểm tra bảo mật mã nguồn cho các công ty và doanh nghiệp trong và ngoài nước có nhu cầu. Đồng thời công ty ITAS hiện là đối tác độc quyền cung cấp dịch vụ và sản phẩm CxSuite của Công ty CheckMarx (Israel) tại Việt Nam. Sản phẩm CxSuite là công cụ hàng đầu trên thế giới về kiểm tra bảo mật mã nguồn ứng dụng, được OWASP khuyến cáo sử dụng.

B. Audit Code vs Penetration Testing

1. Ưu điểm

  • Tìm lỗi nhanh chóng
  • Kiểm tra kỹ với độ tin cậy cao các lỗi với các lỗi cố định như Buffer Overflow,SQL Injection…

2. Nhược điểm

  • Khó hoặc không phát hiện được các lỗi phát sinh trong quá trình thực thi ứng dụng như xác thực, kiểm soát truy cập….
  • Không phát hiện được các lỗi về cơ chế mã hóa hoặc các thiếu sót trong cấu hình
  • Tỷ lệ cảnh báo sai cao đối với các ứng dụng chưa biên dịch vì có thể thiếu các thư viện cần thiết hoặc các chỉ dẫn bắt buộc