Nếu đây là lần đầu tiên bạn nghe về thuật ngữ “Ứng dụng web”, thì tôi muốn bạn nhớ định nghĩa của nó một cách đơn giản chỉ là “một trang web có chức năng tiện lợi trên Internet”. Ví dụ: các công cụ tìm kiếm như Google và Yahoo! là “ứng dụng web”.
Một trang web phục vụ việc kiểm tra số dư tài khoản ngân hàng cũng là một ứng dụng web. Ngoài ra, các trang e-learning, blog… tất cả đều là các ứng dụng web.
Để hiểu rõ hơn về lỗ hổng, hãy cùng xem xét trường hợp của các trang EC (như Tiki, Lazada …). Đối với các công ty quản lý EC, trang web EC là một công cụ bán hàng quan trọng.
Nếu có một lỗ hổng trong ứng dụng web của trang EC này, và nếu nó bị tấn công mạng, bị hack, thì có khả năng nó sẽ phải chịu những thiệt hại sau.
Để tránh xảy ra các thiệt hại như trên, tôi nghĩ bạn sẽ muốn điều tra lỗ hổng của ứng dụng web của mình bằng công cụ chẩn đoán bảo mật OWASP ZAP.
Công cụ chẩn đoán bảo mật “OWASP ZAP” được tạo bởi một cộng đồng quốc tế có tên là The Open Web Application Security Project (OWASP). OWASP được điều hành bởi tổ chức có tên The OWASP Foundation (Quỹ OWASP) tại Hoa Kỳ và được thành lập vào năm 2001. Ngày nay thì đã có hơn 200 chi nhánh trên khắp thế giới. Tại Nhật Bản cũng có OWASP Nhật Bản. Mục đích của The OWASP Foundation là bảo vệ các ứng dụng Web, vì vậy các thành viên của OWASP đang thực hiện hơn 120 dự án. Và OWASP ZAP là tool được tạo ra bên trong hơn 120 dự án đó, để cho bất cứ ai cũng có thể kiểm tra các lỗ hổng của ứng dụng web một cách miễn phí.
Cách sử dụng của OWASP ZAP thực sự rất đơn giản.
Chỉ cần tải OWASP ZAP về máy tính của bạn và nhập URL của ứng dụng Web mà bạn muốn kiểm tra lỗ hổng. Nó sẽ cố gắng tấn công ứng dụng Web đó để kiểm tra, xác định điểm yếu và đưa ra cho chúng ta biết những điểm yếu mà nó đã tìm thấy.
Khi tải xuống, một thông báo “Bạn có muốn lưu ?” xuất hiện, hãy lưu nó. Tiếp theo, sẽ xuất hiện thông báo hỏi “Bạn muốn lưu ZAP session như thế nào ?”, check vào checkbox “Không lưu liên tục, chỉ lưu session khi cần” rồi nhấp vào “Bắt đầu”. Như vậy, OWASP ZAP đã sẵn sàng để chạy trên máy tính, sau khi thực hiện cài đặt proxy thì bạn có thể thực hiện kiểm tra lỗ hổng.
OWASP ZAP kiểm tra lỗ hổng của ứng dụng web bằng ba phương pháp kiểm tra sau.
Hãy cùng xem xét cụ thể từng phương pháp.
“Scan” nghĩa là tấn công ứng dụng web mục tiêu. Khi nhập URL của ứng dụng Web cần kiểm tra trong OWASP ZAP, quá trình scan đơn giản sẽ bắt đầu. Tùy trường hợp mà việc scan có thể được thực hiện trong vài phút, nhưng hoặc có thể mất vài giờ.
OWASP ZAP sẽ gửi một số lượng lớn request đến ứng dụng Web mục tiêu. (“Request” theo thuật ngữ máy tính là “yêu cầu” hoặc “tin nhắn” được trao đổi trên hệ thống máy tính.) Khi quá trình scan đơn giản hoàn tất, các lỗ hổng được tìm thấy sẽ được hiển thị ở mục “Alert (warning)” trên màn hình.
Trong quá trình scan tĩnh, người thao tác OWASP ZAP (user) sẽ thực sự sử dụng thử ứng dụng Web mục tiêu. Ví dụ: nếu ứng dụng Web mục tiêu là trang EC, thì user sẽ mở trang sản phẩm, cho sản phẩm vào “Giỏ hàng” rồi thực hiện thanh toán. Bằng cách thực hiện các thao tác mà user luôn thực hiện ở ứng dụng Web, OWASP ZAP sẽ thực hiện kiểm tra là ứng dụng Web đã hoạt động như thế nào ứng với thao tác của user. Khi scan tĩnh hoàn thành, các lỗ hổng được tìm thấy cũng sẽ được hiển thị dưới dạng Warning.
Scan động được thực hiện bằng cách gửi một số lượng lớn request (giống như quá trình scan đơn giản) đối với các vị trí thực hiện scan tĩnh. Mục đích là “Thử cố gắng tấn công một lần nữa” nhằm tìm ra các điểm yếu đã bị sót ở scan đơn giản và scan tĩnh.
OWASP ZAP có thể được sử dụng miễn phí. Vì vậy, hãy thử sử dụng nó để kiểm tra ứng dụng web của mình. Và nếu tìm thấy lỗ hổng, bạn có thể yêu cầu bên phát triển hệ thống thực hiện kiểm tra bảo mật thông tin một cách đầy đủ. Hãy thử sử dụng OWASP ZAP.
Nguồn bài viết: https://viblo.asia/p/gioi-thieu-ve-cong-cu-chan-doan-bao-mat-owasp-zap-1VgZvaE7KAw
You need to login in order to like this post: click here
YOU MIGHT ALSO LIKE