- tng mng. - Giải pháp đánh giá an toàn thông tin hệ thống website t nghip ca mình. - An toàn h. - Các nội dung sẽ thực hiện trong đề tài. - Chƣơng 2: An toàn thông tin website và chuẩn đánh giá OWASP. - Chƣơng 3: Đề xuất giải pháp đánh giá an toàn hệ thống website. - Trang 12/89 Chƣơng 2 – AN TOÀN THÔNG TIN WEBSITEVÀ CHUẨN ĐÁNH GIÁ OWASP 1. - Chuẩn đánh giá website OWASP 2.1 Tổng quan 2.1.1 Giới thiệu về OWASP. - 2.2.2 Kiểm tra quản lý cấu hình Kiểm tra giao thức SSL/TLS HTTPS HTTP LS. - Kiểm tra phƣơng thức HTTP và XST HTTP à TRACE và. - 2.2.3 Kiểm tra business logic. - 2.2.4 Kiểm tra cơ chế xác thực Trang 24/89. - Kiểm tra phƣơng thức truyền dữ liệu. - Kiểm tra việc thu thập thông tin ngƣời dùng. - Kiểm tra các tài khoản mặc định và dễ đoán T. - Kiểm tra cơ chế nhớ mật khẩu và tạo lại mật khẩu. - Kiểm tra cơ chế đăng xuất. - 2.2.5 Kiểm tra quản lý phiên giao dịch. - HTTP Headers Message Body Kiểm tra CSRF 2.2.6 Kiểm tra quản lý uỷ quyền Kiểm tra lỗi Path traversal. - Kiểm tra leo thang đặc quyền. - 2.2.7 Kiểm tra các dữ liệu đầu vào. - Kiểm tra lỗi XSS. - Kiểm tra lỗi SQL injection hay không. - Kiểm tra lỗi LDAP injection. - Kiểm tra lỗi XML injection Trang 27/89. - Kiểm tra lỗi Xpath injection. - Kiểm tra lỗi IMAP/SMTP injection. - Relay/SPAM Kiểm tra lỗi command injection. - Kiểm tra lỗi tràn bộ đệm. - Heap overflow Stack overflow Kiểm tra lỗ hổng tiềm tàng. - 2.2.8 Kiểm tra khả năng tấn công từ chối dịch vụ. - Trang 28/89 Kiểm tra truy vấn CSDL i. - Kiểm tra tràn bộ đệm. - Kiểm tra dữ liệu thành vòng lặp. - Kiểm tra lƣu trữ dữ liệu từ ngƣời dùng lên hệ thống m tra. - Kiểm tra lỗi trong quá trình thực hiện ngắt tài nguyên. - Kiểm tra lƣu trữ dữ liệu trong mỗi phiên. - 2.2.9 Kiểm tra web services Kiểm tra ngôn ngữ định danh. - Kiểm tra cấu trúc XML Trang 29/89. - Kiểm tra HTTP GET parameters/REST. - Kiểm tra tấn công Naughty SOAP attachments client. - Kiểm tra tấn công Web Service replay. - 2.2.10 Kiểm tra AJAX tra. - Các tiêu chí kiểm tra đánh giá an toàn 1.1.1 Tiêu chí kiểm tra đánh giá an toàn cho hạ tầng mạng STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT 1 ROUTER. - Trang 31/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT. - Trang 32/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT 13. - Trang 33/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT 30. - Trang 34/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT 40. - 56 Có không? Trang 35/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT 57. - Trang 36/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT không? 66. - LDAP hay Local) Trang 37/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT 84 IPS/IDS. - Trang 38/89 STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT. - tng mng 1.1.2 Tiêu chí kiểm tra đánh giá an toàn dịch vụ phân giải tên miền INTERNAL DNS STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP 1. - Trang 39/89 STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP 2 DNS mô hình master-slave hay không. - listen-on {Địa chỉ IP;} Trang 40/89 STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP. - Bảng ch v phân gii tên min Internal DNS EXTERNAL DNS STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP 1. - Trang 41/89 STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP DNS hay không? 2. - /usr/local/sbin/named -v Trang 42/89 STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP . - interface hình: listen-on {Địa chỉ IP;} Trang 43/89 STT HẠNG MỤC NỘI DUNG PHƢƠNG PHÁP 12. - Bảng ch v phân gii tên min External DNS 1.1.3 Tiêu chí kiểm tra đánh giá an toàn cho hệ thống cổng thông tin điện tử STT HẠNG MỤC NỘI DUNG Kiểm tra quản lý cấu hình (Configuration Management) Trang 44/89 STT HẠNG MỤC NỘI DUNG SSL/TLS. - Trang 45/89 STT HẠNG MỤC NỘI DUNG không có tham. - Kiểm tra xác thực tài khoản các kênh mã hóa. - Trang 46/89 STT HẠNG MỤC NỘI DUNG hay không. - Trang 47/89 STT HẠNG MỤC NỘI DUNG Conditions. - Kiểm tra quản lý phiên làm việc session. - Kiểm tra phân quyền tài khoản Trang 48/89 STT HẠNG MỤC NỘI DUNG Path Traversal. - Kiểm tra tính logic về an toàn của các quy trình nghiệp vụ logic. - Kiểm tra duyệt dữ liệu đầu vào Reflected Cross Site Scripting. - Trang 49/89 STT HẠNG MỤC NỘI DUNG liên trang liên c (Store Cross Site Scripting. - Trang 50/89 STT HẠNG MỤC NỘI DUNG LDAP- Lightweight Directory Access Protocol Injection tin SSI- Server-side Includes. - Trang 51/89 STT HẠNG MỤC NỘI DUNG Protocol Injection này hay không. - Trang 52/89 STT HẠNG MỤC NỘI DUNG ling) Bảng 3.4. - thng c n t 1.1.4 Tiêu chí kiểm tra đánh giá an toàn cho hệ thống sao lƣu dự phòng STT HẠNG MỤC NỘI DUNG 1. - bên ngoài? Trang 53/89 STT HẠNG MỤC NỘI DUNG. - Quy trình khảo sát, đánh giá hệ thống STT NỘI DUNG MÔ TẢ ĐẦU RA Nội dung I : Khảo sát và kiểm tra, đánh giá an toàn hệ thống mạng, thiết bị bảo mật, máy chủ DNS, máy chủ sao lƣu dữ liệu dự phòng (Liên quan đến hệ thống Website) và hệ thống máy chủ Web 1.1.5 Khảo sát hệ thống mạng, thiết bị bảo mật, máy chủ DNS (Liên quan đến hệ thống Website) và hệ thống máy chủ Web 1. - Trang 55/89 STT NỘI DUNG MÔ TẢ ĐẦU RA 7. - Website 1.1.6 Kiểm tra công tác sao lƣu dữ liệu dự phòng 8. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có) 9. - 1.1.7 Kiểm tra và đánh giá an toàn cho hệ thống mạng và máy chủ DNS (Liên quan đến hệ thống Website) 10. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có) Trang 56/89 STT NỘI DUNG MÔ TẢ ĐẦU RA. - 1.1.8 Kiểm tra và đánh giá thiết bị bảo mật IDS/IPS IDS/IPS. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có IDS/IPS. - Trang 57/89 STT NỘI DUNG MÔ TẢ ĐẦU RA. - Nội dung II. - Đánh giá an toàn hệ thống Website 1.1.10 Kiểm tra đánh giá cấu hình và lỗ hổng hệ điều hành của các máy chủ dịch vụ liên quan đến website 19. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có) Trang 58/89 STT NỘI DUNG MÔ TẢ ĐẦU RA 1.1.11 Kiểm tra đánh giá các ứng dụng liên quan đến hệ thống website website. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có) 1.1.12 Kiểm tra, đánh giá chính sách triển khai, quản lý hệ thống máy chủ Website giá chính sách q Website. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có) 1.1.13 Kiểm tra và đánh giá an ninh bảo mật ứng dụng Website 22. - Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc Trang 59/89 STT NỘI DUNG MÔ TẢ ĐẦU RA. - Trang 60/89 STT NỘI DUNG MÔ TẢ ĐẦU RA 27. - testing testing HTTP Splitting/Smuggling) Trang 61/89 STT NỘI DUNG MÔ TẢ ĐẦU RA 1.1.14 Phân tích, rà soát kết quả kiểm tra để lập báo cáo chi tiết dung II. - Kết quả khảo sát, đánh giá 4.1.1 Hạ tầng mạng các website. - Trang 69/89 Bảng tổng hợp các lỗ hổng bảo mật mức độ rủi ro nguy hiểm và cao máy chủ mắc phải Kết quả kiểm tra lỗ hổng bảo mật hệ điều hành và các dịch vụ đang chạy Các phƣơng pháp khai thác Ảnh hƣởng tới máy chủ khi thực hiện khai thác Đánh giá điểm yếu Khai thác từ Đề xuất khuyến nghị cách giải quyết Mức độ rủi ro Mức độ ảnh hƣởng Độ dễ khai thác Bên ngoài Bên trong Management Homepage System Management. - Bảng tổng hợp các nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung kiểm tra Mức độ ƣu tiên Mục đích Đề xuất khuyến nghị cách giải quyết 1 DNS External Hidden Primary DNS. - Trang 77/89 Bảng tổng hợp các nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung kiểm tra Mức độ ƣu tiên Mục đích Đề xuất khuyến nghị cách giải quyết. - Trang 78/89 Bảng tổng hợp các nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung kiểm tra Mức độ ƣu tiên Mục đích Đề xuất khuyến nghị cách giải quyết BIND. - Trang 79/89 Bảng tổng hợp các nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung kiểm tra Mức độ ƣu tiên Mục đích Đề xuất khuyến nghị cách giải quyết các thông hình log trên máy. - Trang 80/89 Bảng tổng hợp các nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung kiểm tra Mức độ ƣu tiên Mục đích Đề xuất khuyến nghị cách giải quyết 1 DNS Internal Hidden Primary DNS. - Trang 81/89 Bảng tổng hợp các nội dung kiểm tra dịch vụ DNS có mức độ ƣu tiên cao STT Dịch vụ Nội dung kiểm tra Mức độ ƣu tiên Mục đích Đề xuất khuyến nghị cách giải quyết ày. - Trang 84/89 Bảng tổng hợp các lỗ hổng bảo mật mức độ rủi ro nguy hiểm và cao của ứng dụng Website Nội dung kiểm tra Mô tả Kết quả kiểm tra lỗ hổng bảo mật ứng dụng web Các phƣơng pháp khai thác Khai thác từ Đề xuất khuyến nghị cách giải quyết Bên ngoài Bên trong
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt