Xem mẫu
- ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ CÔNG
CỤ TỰ ĐỘNG DÒ TÌM LỖ HỔNG BẢO
MẬT TRONG WEBSITE
EVALUATE THE EFFECTIVENESS OF SOME TOOLS
AUTOMATICALLY DETECT SECURITY
VULNERABILITIES IN WEBSITE
ThS Bùi Tùng Dương
Công ty cổ phần Musashi Việt Nam
Email: buitungduong0508@gmail.com
Ngày tòa soạn nhận được bài báo:02/12/2020
Ngày phản biện đánh giá: 17/12/2020
Ngày bài báo được duyệt đăng: 28/12/2020
Tóm tắt:
Hiện nay công nghệ Website chủ yếu chú trọng các yếu tố tốc độ, chức năng, giao diện
.... mà xem nhẹ vấn đề bảo mật nên có nhiều lỗ hổng mà tin tặc có thể khai thác. Để khắc
phục yếu điểm này ta có thể dùng công cụ tự động dò tìm lỗ hổng website nhằm phát hiện
và ngăn chặn hacker. Tuy nhiên, nhiều cuộc tấn công không nằm trong các kỹ thuật đã biết
mà linh động và tăng lên tùy vào những sai sót của hệ thống website. Bài báo nghiên cứu
một số hình thức tấn công, các công cụ tự động quét lỗ hổng và đánh giá chúng.
Từ khóa: Công cụ dò tìm lỗ hổng website, tần công website, lỗ hổng...
Summary:
Currently, Website technology mainly focuses on factors such as speed, functionality,
interface ... but overlooking security issues, so there are many vulnerabilities that hackers
can exploit. To overcome this weakness, we can use tools to automatically detect website
vulnerabilities to detect and prevent hackers. However, many attacks are not in the known
techniques but are flexible and increase depending on the errors of the website system. The
article studies several types of attacks, the tools automatically scan for vulnerabilities and
evaluate them
Key words: Detection tools, website vulnerabilities, website frequency, vulnerabilities ...
1. Giới thiệu hiện và phòng chống lại các cuộc tấn công
trên Internet. Công cụ quét lỗ hổng ứng dụng
An ninh Website là một phần của lĩnh vực web là các chương trình tự động kiểm tra các
an toàn thông tin, thường liên quan đến bảo ứng dụng web để biết các lỗ hổng bảo mật đã
mật trình trình duyệt. Mục tiêu của nó là phát biết như DDOS, SQL injection, thực thi lệnh….
TẠP CHÍ KHOA HỌC 3
QUẢN LÝ VÀ CÔNG NGHỆ
- Các công cụ thu thập dữ liệu một ứng dụng kế tiếp.
web và xác định các lỗ hổng của lớp ứng dụng
bằng cách kiểm tra chúng để tìm các thuộc b, Kỹ thuật tấn công Cross Site Scripting
tính đáng ngờ. Đối với các trường hợp phức (XSS)
tạp, các công cụ bắt chước các cuộc tấn công Cross-site scripting (XSS) là một kiểu tấn
từ bên ngoài từ tin tặc, cung cấp các phương công bảo mật trong đó kẻ tấn công đưa các
pháp hiệu quả để phát hiện các lỗ hổng. Hầu tập lệnh độc hại vào phần nội dung của các
hết các công cụ kiểm tra thâm nhập sử dụng trang web đáng tin cậy khác. Tấn công Cross-
kỹ thuật fuzzing phát hiện lỗi của phần mềm site scripting xảy ra khi một nguồn không đáng
bằng cách tự động hoặc bán tự động sử dụng tin cậy được phép đưa code của chính nó vào
phương pháp lặp lại thao tác sinh dữ liệu sau một ứng dụng web và mã độc đó được bao
đó chuyển cho hệ thống xử lý. Nó cung cấp gồm trong nội dung gửi đến trình duyệt của
dữ liệu đầu vào cho chương trình (là các dữ nạn nhân.
liệu không hợp lệ, dữ liệu không mong đợi:
các giá trị vượt quá biên, các giá trị đặc biệt XSS là một trong những lỗ hổng ứng dụng
có ảnh hưởng tới phần xử lý, hiển thị của web phổ biến nhất và xảy ra khi một ứng dụng
chương trình), sau đó theo dõi và ghi lại các web sử dụng đầu vào từ người dùng không
lỗi, các kết quả trả về của ứng dụng trong quá được xác thực hoặc không được mã hóa
trình xử lý của chương trình. trong đầu ra mà nó tạo ra.
Ưu điểm chính của việc sử dụng các Phương pháp này không nhằm vào máy
công cụ kiểm tra thâm nhập là cách tương đối chủ hệ thống mà chủ yếu tấn công trên chính
nhanh và dễ dàng để phát hiện các lỗ hổng máy người sử dụng. Hacker sẽ lợi dụng sự
bảo mật nhất định. Mặc dù có những ưu điểm kiểm tra lỏng lẻo từ ứng dụng và hiểu biết hạn
như trên, nhưng các công cụ kiểm tra thâm chế của người dùng cũng như biết đánh vào
nhập có hạn chế trong việc tìm kiếm tất cả sự tò mò của họ dẫn đến người dùng bị mất
các lỗ hổng. Các công cụ không thể phát hiện thông tin một cách dễ dàng.
toàn bộ các lỗ hổng mà đều có sự mạnh yếu Thông thường hacker lợi dụng địa chỉ URL
riêng. để đưa ra những liên kết là tác nhân kích hoạt
2. Một số kĩ thuật tấn công lỗ hổng trên những đoạn chương trình được viết bằng
website ngôn ngữ máy khách như JavaScript được
thực thi trên chính trình duyệt của nạn nhân.
a, Thao tác trên tham số truyền
c, Chèn câu truy vấn sql (SQL Injection)
Thao tác trên tham số truyền là kĩ thuật
thay đổi thông tin quan trọng trên cookie, URL Khái niệm SQL Injection
hay biến ẩn của form. Kỹ thuật Cross-Site SQL Injection là cách lợi dụng những lỗ
Scripting, SessionID, SQL Injection, Buffer hổng trong quá trình lập trình Web về phần
Overflow…cũng cần dùng đến các tham số truy xuất cơ sở dữ liệu. Đây không chỉ là
này để hoàn thiện các bước tấn công của khuyết điểm của riêng SQL Server mà nó còn
hacker. Có thể nói các tham số truyền là đầu là vấn đề chung cho toàn bộ các cơ sở dữ
mối cho mọi hoạt động của hacker trong quá liệu khác như Oracle, MySQL, MS Access hay
trình tấn công ứng dụng. Vì thế đây là nội IBM DB2.
dung chương đầu tiên được đề cập trong mục
các kỹ thuật tấn công website, mục đích cũng Khi hacker gửi những dữ liệu (thông qua
là để hỗ trợ tốt hơn phần trình bày các mục các form), ứng dụng Web sẽ thực hiện và
4 TẠP CHÍ KHOA HỌC
QUẢN LÝ VÀ CÔNG NGHỆ
- trả về cho trình duyệt kết quả câu truy vấn các lỗ hổng bảo mật hay các điểm yếu của
hay những thông báo lỗi có liên quan đến cơ ứng dụng, một kẻ tấn công có thể lấy quyền
sở dữ liệu. Và nhờ những thông tin này mà kiểm soát máy tính của bạn. Sau đó chúng
hacker biết được nội dung cơ sở dữ liệu và có thể lợi dụng máy tính của bạn để gửi các
từ đó có thể điều khiển toàn bộ hệ thống ứng dữ liệu hay các yêu với số lượng lớn vào một
dụng. trang web hoặc gửi các thư rác đến một địa
chỉ email cụ thể. Gọi là tấn công từ chối dịch
d, Chiếm hữu phiên làm việc vụ “phân tán – Distributed” vì kẻ tấn công có
Ấn định phiên làm việc: Trong kiểu tấn thể sử dụng nhiều máy tính, bao gồm cả máy
công ấn định một phiên làm việc, hacker ấn của chính bạn để thực hiện các cuộc tấn công
định sẵn session ID cho nạn nhân trước khi từ chối dụng vụ.
họ đăng nhập vào hệ thống. Sau đó, hacker Thông thường, kiểu tấn công DoS dựa
sẽ sử dụng session ID này để bước vào phiên trên những giao thức (protocol). Ví dụ với giao
làm việc của nạn nhân đó. thức là ICMP, hacker có thể sử dụng bomb
Đánh cắp phiên làm việc: Khác với kiểu e-mail để gửi hàng ngàn thông điệp email với
tấn công ấn định phiên làm việc, hacker đánh mục đích tiêu thụ băng thông để làm hao hụt
cắp một session ID của người dùng khi họ tài nguyên hệ thống trên mail server. Hoặc có
đang trong phiên làm việc của mình. Và để thể dùng phần mềm gửi hàng loạt yêu cầu
có thể đánh cắp session ID của người dùng, đến máy chủ khiến cho máy chủ không thể
hacker có thể dùng những phương pháp sau: đáp ứng những yêu cầu chính đáng khác.
Dự đoán phiên làm việc, Vét cạn phiên làm g, Cross site tracing
việc, Dùng đoạn mã đánh cắp phiên làm
việc Cross site tracing thường được viết tắt là
XST như một cuộc tấn công lạm dụng chức
e, Tràn bộ đệm (Buffer Overflow) năng HTTP TRACE. Chức năng này có thể
Với kỹ thuật Buffer Overflow, cho phép được sử dụng để kiểm tra các ứng dụng web
một số lượng lớn dữ liệu được cung cấp bởi vì máy chủ web trả lời cùng một dữ liệu được
người dùng mà vượt quá lượng bộ nhớ cấp gửi đến nó thông qua lệnh TRACE. Kẻ tấn
phát ban đầu bởi ứng dụng do đó gây cho hệ công có thể lừa web ứng dụng trong việc gửi
thống lâm vào tình trạng tràn bộ nhớ, thậm các tiêu đề bình thường của nó thông qua
chí có thể bị chèn thêm một đoạn mã bất kì. lệnh TRACE. Điều này cho phép kẻ tấn công
Nếu ứng dụng được cấu hình để được thực có thể đọc thông tin trong tiêu đề như cookie.
thi như root thì người tấn công có thể thao (Shelly, 2010)
tác như một nhà quản trị hệ thống của web e, Local file inclusion
server. Hầu hết những vấn đề đều phát sinh
từ khả năng lập trình yếu kém của những nhà Lỗ hổng Local file inclusion nằm trong quá
lập trình. Đơn cử là sự cẩu thả trong kiểm tra trình include file cục bộ có sẵn trên server.
kích thước dữ liệu nhập vào. Lỗ hổng xảy ra khi đầu vào người dùng chứa
đường dẫn đến file bắt buộc phải include. Khi
f, Từ chối dịch vụ (DoS) đầu vào này không được kiểm tra, tin tặc có
Trong một cuộc tấn công DDoS, kẻ tấn tấn thể sử dụng những tên file mặc định và truy
công không chỉ sử dụng máy tính của mình cập trái phép đến chúng, tin tặc cũng có thể
mà còn lợi dụng hay sử dụng (đôi khi là hợp lợi dụng các thông tin trả về trên để đọc được
pháp) các máy tính khác. Bằng việc lợi dụng những tệp tin nhạy cảm trên các thư mục khác
TẠP CHÍ KHOA HỌC 5
QUẢN LÝ VÀ CÔNG NGHỆ
- nhau bằng cách chèn các ký tự đặc biệt như hành các lệnh thực hiện nguy hại. Các loại
“/”, “../”, “-“. tấn công này phần lớn là do xác nhận đầu
vào không đủ trên các trang web. Nếu nhà
f, Remote file inclusion phát triển web đưa ra các biện pháp xác thực
Lỗ hổng Remote file inclusion RFI cho dữ liệu đầy đủ hơn, các cuộc tấn công tiêm
phép tin tặc include và thực thi trên máy chủ nhiễm lệnh có thể được giảm đáng kể.
mục tiêu một tệp tin được lưu trữ từ xa. Tin i, Tiêm nhiễm phía máy chủ (SSI)
tặc có thể sử dụng RFI để chạy một mã độc
trên cả máy của người dùng và phía máy Kẻ tấn công xâm nhập vào các chỉ thị của
chủ. Ảnh hưởng của kiểu tấn công này thay SSI trên máy chủ web. Các lệnh này được
đổi từ đánh cắp tạm thời session token hoặc thực thi trực tiếp trên máy chủ web và thực
các dữ liệu của người dùng cho đến việc tải hiện các thay đổi không mong muốn cho ứng
lên các webshell, mã độc nhằm đến xâm hại dụng web. Tấn công SSI cho phép các ứng
hoàn toàn hệ thống máy chủ. Khai thác lỗ dụng web đưa các tập lệnh vào các trang web
hổng Remote file inclusion trong PHP, PHP có HTML hoặc thực thi các mã tùy ý từ xa. Một
nguy cơ cao bị tấn công RFI do việc sử dụng cuộc tấn công sẽ thành công nếu ứng dụng
lệnh include rất nhiều và thiết đặt mặc định web cho phép thực thi mã SSI mà không cần
của server cũng ảnh hưởng một phần nào đó. xác nhận hợp lệ. Chẳng hạn, một trong những
lỗ hổng SSI đã biết tồn tại trong IIS phiên bản 4
g, Tiêm nhiễm X-Path (X-Path Injection) và 5, cho phép hacker có được các đặc quyền
Theo ghi nhận của Van der Loo & Poll hệ thống thông qua lỗi tràn bộ đệm trong tệp
(2011), tiêm nhiễm X-Path khá giống với tiêm dll (ssinc.dll). Bằng cách tạo một trang web
nhiễm SQL. Sự khác biệt chính giữa hai lỗ độc hại, hacker thực hiện các hành động
hổng này là việc tiêm nhiễm SQL diễn ra trong không mong muốn hoặc thực hiện hành vi lừa
cơ sở dữ liệu SQL, trong khi việc tiêm nhiễm đảo. (Mirjalili, Nowroozi, & Alidoosti 2014).
X-Path xảy ra trong một XML, vì X-Path là Đánh giá mức độ ảnh hướng của các
ngôn ngữ truy vấn cho dữ liệu XML. Giống lỗ hổng
như tiêm nhiễm SQL, cuộc tấn công dựa trên
việc gửi thông tin nguy hại cho các ứng dụng Mức độ nghiêm trọng cao: một lỗ hổng
web. Bằng cách này, hacker có thể khám phá được coi là cao, nếu hậu quả của lỗ hổng đó
ra cấu trúc của dữ liệu XML hoặc truy cập dữ là rất nghiêm trọng. Chẳng hạn, nếu hacker
liệu mà chúng không có quyền truy cập. có thể lấy thông tin nhạy cảm hoặc kiểm soát
các hoạt động của ứng dụng web.
h, Lệnh tiêm nhiễm (Command Injection)
Mức độ nghiêm trọng trung bình: Một lỗ
Lệnh tiêm nhiễm như khả năng hacker gửi hổng được phân loại là trung bình nếu nó
lệnh đến máy chủ web từ một địa điểm từ xa. không được phân loại là cao hay thấp.
Hacker sẽ chỉ định địa chỉ IP máy chủ từ xa
theo sau là các lệnh mong muốn. Lệnh này sẽ Mức độ nghiêm trọng thấp: Loại lỗ hổng
được thực thi và thực hiện hành động mong này không lấy thông tin có giá trị hoặc quyền
muốn. kiểm soát ứng dụng web nhưng nó cung cấp
cho hacker tiềm năng những thông tin hữu ích
Có thể thực hiện lệnh tiêm nhiễm khi một có thể hữu ích trong việc khai thác các lỗ hổng
ứng dụng vượt qua các dạng dữ liệu do người khác.
dùng cung cấp không an toàn, tiêu đề HTTP
hoặc cookie. Hacker cung cấp cho hệ điều 3. Một số công cụ dò tìm lỗ hổng
6 TẠP CHÍ KHOA HỌC
QUẢN LÝ VÀ CÔNG NGHỆ
- không cần xác nhận hợp lệ. Chẳng Nowroozi, & Alidoosti 2014).
Đánh giá mức độ ảnh hướng của các lỗ hổng
Bảng 1. Các mức độ nghiêm trọng của các loại lỗ hổng web. (Nguồn:
owasp.org)
Mức độ Lỗ hổng
nghiêm trọng
Cao SQL
Injection
Blind
SQL
Cross site Scripting
Cross site reference forgery & Cross site
tracing
Command injection & Server side injection
Trung bình Local file
inclusion
Remote file
inclusion Buffer
overflow
LDAP
Thấp Xpath
website chèn hoặc tiêm nhiễm dữ liệu.
a. Wapiti b. Arachni
Đây là một công cụ quét web nguồn mở Arachni là một chương trình quét web đầy
cho phép bạn thực hiện kiểm toán bảo mật đủ chạy trên nền tảng Linux, nó rất hữu ích
cho một ứng dụng web. Nó sử dụng cách khi đánh giá tính bảo mật của các ứng dụng
kiểm thử hộp đen, điều này có nghĩa là nó web trực tuyến. Arachni được biết là xem xét
không kiểm tra mã. Thay vào đó, nó kiểm tra tính chất động của các ứng dụng web và áp
tất cả các trang web và xác định các biểu mẫu dụng độ phức tạp cần thiết để phát hiện các
được tìm thấy trên một trang web nó có thể lỗ hổng trong các ứng dụng đó. Nó đã được
TẠP CHÍ KHOA HỌC 7
QUẢN LÝ VÀ CÔNG NGHỆ
- thiết kế để hoạt động trong một trình duyệt e, Zed Attack Proxy
web, nó có thể phát hiện mã phía máy khách
và sử dụng các công nghệ phát triển web tiên Đây là một công cụ quét web nguồn mở
tiến như HTML 5, javascript và Ajax. sử dụng giao diện GUI. Chỉ cần nhập URL
của ứng dụng bạn muốn quét và đợi quá trình
c, Websecurify quét hoàn tất và xem xét báo cáo.
giao diện GUI
Websecurify có giaovà diện
sử dụng
ngườicácdùng
plugin
đồ tìm thấy và số lượng có thể truy cập
f, Vega
họa giúp
để sử dụng rấtcác
dễ dàng. Khi công.
bạn bắt đầu được
thực hiện cuộc tấn
thử nghiệm, nó sẽ được thực hiện tự động và Vegasaulà khi
một quét
côngxong.
cụ mã nguồn mở sử
có rất e,
ít tùy chọn để tùy chỉnh. Nó thực sự là dụng giao diện GUI, phân loại tóm tắt cảnh
Zed Attack Proxy báo4. quét
Kết quả
thànhmô phỏng
bốn hiệu
loại cụ thể;quả cácTrung
Cao,
một công cụ mạnh mẽ cung cấp các phương
công
bình, cụ hoặc
Thấp dò tìm lỗ hổng
Thông website
tin. Một báo cáo bao
pháp quét tự động hoặc thủ công. Khi lỗ hổng
Đây là một công cụ quét
đã được phát hiện, nó được trình bày ở phần gồm tất cả các lỗ hổng được tìm thấy và số
web Mô cóphỏng
lượng thể truyđược chiasauthành
cập được các
khi quét xong.
cuối của quánguồn mở Báo
trình quét. sử dụng giao
cáo cho diện
thấy tất
cả cácGUI.
lỗ hổngChỉ cần nhập URL của ứng
được phát hiện cũng như các thành phần hoặc mô-đun khác nhau.
4. Kết quả mô phỏng hiệu quả các công
giải pháp
dụng bạnđề
được xuất.quét và đợi quá trình
muốn cụMỗi mô-đun
dò tìm lỗ hổngliênwebsite
quan đến việc phát
quét hoàn tất và xem xét báo cáo.
d, W3AF hiện ra một loại lỗ hổng web cụ thể.
Mô phỏng được chia thành các thành
phầnMôhoặc
phỏng sẽ được
mô-đun khác chạy
nhau.trên
Mỗi ứngmô-đun
Đây là một công cụ dò tìm lỗ hổng quét
f, Vega
web nguồn mở được phát triển bằng Python. liêndụng
quanwebđếnđểviệc
thu được kết quả về độ
phát hiện ra một loại lỗ
Mục đích chính của dự án này là phát triển hổng webxác
chính cụ phát
thể. hiện
Mô phỏng
và thờisẽgian
đượcđểchạy
một frameworkVega để hỗlàtrợmột công
người cụ phát
dùng mã trên ứng dụng web để thu được kết quả về độ
dò tìm
chính xác lỗ hổng
phát hiệntrong một
và thời ứng
gian đểdụng.
dò tìm lỗ
hiện tấtnguồn
cả cácmở
loạisử
lỗ hổng
dụngweb.
giaoKhi quáGUI,
diện trình
quét đã hoàn tất, kết quả sẽ được hiển thị trên hổngSautrong
quá một
trình
ứng thửdụng.
nghiệm,
Sau quákết trình
quả thử
phân loại tóm tắt cảnh báo quét nghiệm,
mô phỏng được so sánh với các với
kết quả mô phỏng được so sánh
file HTML. Nó bao gồm một giao diện GUI và
sử dụngthành bốn loại
các plugin cụ thể;
để thực Cao,cuộc
hiện các Trung
tấn các công cụ quét web nguồn mở khác.
công cụ quét web nguồn mở khác.
công. bình, Thấp hoặc Thông tin. Một báo Kết quả mô phỏng được thể hiện tại 2
cáo bao gồm tất cả các lỗ hổng được Kếtdưới
bảng quả mô
đây:phỏng được thể hiện tại
2 bảng dưới đây:
Bảng 2. Các lỗ hổng bảo mật được phát hiện bởi các công cụ quét web
N Wap Arac Websecu W3 Ve ZA
Vulnerability
o. iti hni rify af ga P
1 Remote file ✔ ✔ ✔ ✔ ✔
inclusion
2 Local file ✔ ✔ ✔ ✔
inclusion
3 Cross site ✔ ✔ ✔ ✔
crossing
4 XSS ✔ ✔ ✔
8 TẠP CHÍ KHOA HỌC
QUẢN LÝ VÀ CÔNG NGHỆ
5 CSRF ✔ ✔ ✔ ✔ ✔
6 Command ✔ ✔ ✔ ✔
- 3 Cross site ✔ ✔ ✔ ✔
crossing
4 XSS ✔ ✔ ✔
5 CSRF ✔ ✔ ✔ ✔ ✔
7 6 SQLCommand
Injection ✔✔ ✔✔ ✔ ✔✔ ✔ ✔
Injection
8 LDAP Injection ✔ ✔ ✔ ✔
7 SQL Injection ✔ ✔ ✔ ✔ ✔
9 Buffer overflow ✔ ✔
8 LDAP Injection ✔ ✔ ✔ ✔
1 X-path Injection ✔ ✔ ✔ ✔
9 Buffer overflow ✔ ✔
0
1 1 Session
X-path Injection ✔ ✔ ✔ ✔ ✔
1 0 management
1 1 SSISession
injection ✔ ✔ ✔
2 1 management
1 1 HTTP
SSISplitting
injection ✔ ✔ ✔ ✔ ✔ ✔✔
3 2
1 1 Blind HTTP
SQLSplitting ✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
3 Injection
4
1 Blind SQL ✔ ✔ ✔ ✔ ✔
4 Injection
Bảng trên cho ta thầy với 14 lỗ hổng bảo mật được đưa vào thử nghiệm thì công
cụ Wa3f
Bảng phát
trên chohiện nhiều
ta thầy vớinhất
14 lỗvà côngbảo
hổng cụ mật
Websecurify phátthử
được đưa vào hiện ít nhất.
nghiệm thì công cụ Wa3f
phát hiện nhiều nhất và công cụ Websecurify phát hiện ít nhất. Chưa có công cụ nào phát hiện
Chưa Bảngcótrên
công
chocụtanào
thầyphát
với 14hiện đượcbảo
lỗ hổng toàn
mậtbộ cácđưa
được lỗ hổng.
vào thử nghiệm thì công
được toàn bộ các lỗ hổng.
cụ Wa3f phát hiện nhiều nhất và công cụ Websecurify phát hiện ít nhất.
Bảng 3. Thời gian dò tìm lỗ hổng trong các ứng dụng của các công cụ quét web
Chưa có công cụ nào phát hiện được toàn bộ các lỗ hổng.
Time3. Thời gian
Bảng Wapit Arach
dò tìm lỗ hổngWebsecur Ck của các công cụVeg
trong các ứng dụng quét web
W3af Zap
(Minutes) i ni ify AppScan a
Time
WebGoat 47Wapit 36 Arach Websecur
21 72Ck 88 94Veg 45
W3af Zap
(Minutes) i ni ify AppScan a
Mutillidae 68 44 29 80 96 46 51
WebGoat 47 36 21 72 88 94 45
Zero_Weba
24 52 31 96 78 63 64
Mutillidae
pp 68 44 29 80 96 46 51
Zero_Weba 33
PHPBB 63 27 74 92 71 78
24 52 31 96 78
TẠP CHÍ KHOA HỌC 9 63 64
pp 59.
QUẢN LÝ VÀ CÔNG NGHỆ
Average 43 48.75 27 80.5 88.5 68.5
PHPBB 33 63 27 74 92 71 5 78
59.
- Mutillidae 68 44 29 80 96 46 51
Zero_Weba
24 52 31 96 78 63 64
pp
PHPBB 33 63 27 74 92 71 78
59.
Average 43 48.75 27 80.5 88.5 68.5
5
Thời gian dò tìm các lỗ hổng của công cụ quét website được đưa ra trong bảng 3, ta thấy
rằng các công cụ có thời gian dò tìm nhanh thì hiệu quả thấp và ngược lại. Trong các công cụ,
Ck AppScan là công cụ dò tìm chính xác và có thời gian dò tìm khá tốt.
5. Đánh giá các công cụ dò tìm lỗ hổng phát hiện SQLI RFI, LFI và XSS.
website
Arachni - cung cấp giao diện GUI dựa trên
Wapiti - công cụ này có thể được đánh giá web. Nó rất nhanh và trình bày báo cáo khá
là trên mức trung bình, nó có thể phát hiện tốt. Điều này cũng được McQuade (2014) báo
hầu hết các lỗ hổng. Tuy nhiên, nó không phát cáo trong một nghiên cứu mà ông thực hiện
hiện ra CRLF và lỗi tràn bộ đệm. Wapiti cung về công cụ quét lỗ hổng nguồn mở. Arachni
cấp hiệu suất cao và chạy trơn tru với các lỗi cũng cung cấp một giao diện dòng lệnh tùy
tối thiểu. biến cao được khuyến nghị để quét thủ công.
Tuy nhiên hiệu suất của nó trong nghiên cứu
W3AF - là một công cụ quét web khá này không phải là tốt nhất. Nó không phát hiện
mạnh mẽ trong việc dò tìm các lỗ hổng, nó có ra lệnh tiêm nhiễm dòng lệnh, LDAP và BSQL.
cấu trúc báo cáo kém hơn khi so sánh với các Tuy nhiên, nó cung cấp kết quả tuyệt vời trong
công cụ khác được thử nghiệm trong nghiên báo cáo XSS, XST, SQLI, RFI và LFI.
cứu này. Công cụ này không phân loại mức
độ nghiêm trọng của các lỗ hổng được phát Websecurify - công cụ này xuất sắc trong
hiện. Nó không thể phát hiện ra lỗi tràn bộ việc phát hiện XSS, SQLI và HTTP. Nó không
đệm, tiêm nhiễm dòng lệnh (command line phát hiện ra lỗi tràn bộ đệm và tất cả các lỗ
injection), BSQL, lỗ hổng mà nó xuất sắc là hổng khác được phát hiện một cách khá rời
trong việc phát hiện XST. rạc.
Zap - hiệu suất có thể được phân loại là 6. Kết luận
không tốt, công cụ này không vượt trội trong
bất kỳ lỗ hổng nào. Nó không phát hiện ra lỗ Các công cụ dò tìm lỗ hổng website có khả
hổng quản lý phiên và LDAP. năng phát hiện các lỗ hổng được thử nghiệm.
Tuy nhiên, không có công cụ nào có khả năng
Ck AppScan - hoạt động tốt hơn tất cả các phát hiện tất cả các lỗ hổng. Arachni cho kết
công cụ khác được thử nghiệm. Tuy nhiên quả tổng thể tốt hơn khi so sánh với các công
công cụ này mất nhiều thời gian hơn để thực cụ khác được sử dụng. Hiệu suất Arachni của
hiện quá trình quét. Nó không phát hiện ra chưa đạt 100% nhưng nó có khả năng cao
LDAP do tính chất phức tạp của việc phát hơn để phát hiện nhiều lỗ hổng hơn khi so
hiện lỗ hổng này. sánh với các công cụ khác. Trong thời gian tới
tác giả sẽ tiếp tục nghiên cứu, đánh giá sâu và
Vega - đã không phát hiện ra cross site cải tiến phần mềm dò tìm lỗ hổng này.
scripting, quản lý phiên và lỗ hổng LDAP trong
bất kỳ ứng dụng nào được thử nghiệm. Tuy
nhiên, nó đã báo cáo kết quả rất tốt trong việc
10 TẠP CHÍ KHOA HỌC
QUẢN LÝ VÀ CÔNG NGHỆ
- TÀI LIỆU THAM KHẢO
[1] Tripathi, A., & Singh, U. K. (2011). On prioritization of vulnerability categories based on CVSS
scores. In Computer Sciences and Convergence Information Technology (ICCIT), 2011 6th
International Conference on (trang 692-697). IEEE
[2] Saunders, M. N., Saunders, M., Lewis, P., & Thornhill, A. (2011). Research methods for
business students, 5/e. Pearson Education India.
[3] Sekaran, U. (2011). Research methods for business: A skill building approach. John Wiley &
Sons.
TẠP CHÍ KHOA HỌC 11
QUẢN LÝ VÀ CÔNG NGHỆ
nguon tai.lieu . vn