[Hỏi] Cách kiểm tra lỗi bảo mật website

MINZ · 06/06/2014

Xin chào các bạn,mình có vấn đề xin nhờ các bạn tư vấn.
Sắp tới mình phải đi kiểm tra các website của sở ban nghành trong tình về vấn đề bảo mật.

Mình đã đọc các bài viết về XSS,Padding-oracle,Acunetix-Web trên diễn đàn cung cấp để kiểm tra lỗi nhưng ko tìm thấy vấn đề gì nghi vấn.

Có lẽ trình độ mình còn kém,mong các bạn có thể chỉ ra lỗi và cách khắc phục(nếu có lỗi) của 1 trong các website sau cho mình.

http://snnphutho.vn
http://socongthuong.phutho.gov.vn

Xin chân thành cảm ơn.

iuIT

Re: [Hỏi] Cách kiểm tra lỗi bảo mật website

MINZ;13575 đã viết:
Xin chào các bạn,mình có vấn đề xin nhờ các bạn tư vấn.
Sắp tới mình phải đi kiểm tra các website của sở ban nghành trong tình về vấn đề bảo mật.

Mình đã đọc các bài viết về XSS,Padding-oracle,Acunetix-Web trên diễn đàn cung cấp để kiểm tra lỗi nhưng ko tìm thấy vấn đề gì nghi vấn.

Có lẽ trình độ mình còn kém,mong các bạn có thể chỉ ra lỗi và cách khắc phục(nếu có lỗi) của 1 trong các website sau cho mình.

http://snnphutho.vn
http://socongthuong.phutho.gov.vn

Xin chân thành cảm ơn.

thớt nghĩ sao khi dùng joomscan để quét.

MINZ

Re: [Hỏi] Cách kiểm tra lỗi bảo mật website

iuIT;13584 đã viết:
thớt nghĩ sao khi dùng joomscan để quét.

Đây là web asp.net mà??

iuIT

Re: [Hỏi] Cách kiểm tra lỗi bảo mật website

MINZ;13599 đã viết:
Đây là web asp.net mà??

ừ không để ý

Mask

Re: [Hỏi] Cách kiểm tra lỗi bảo mật website

MINZ;13575 đã viết:
Xin chào các bạn,mình có vấn đề xin nhờ các bạn tư vấn.
Sắp tới mình phải đi kiểm tra các website của sở ban nghành trong tình về vấn đề bảo mật.

Mình đã đọc các bài viết về XSS,Padding-oracle,Acunetix-Web trên diễn đàn cung cấp để kiểm tra lỗi nhưng ko tìm thấy vấn đề gì nghi vấn.

Có lẽ trình độ mình còn kém,mong các bạn có thể chỉ ra lỗi và cách khắc phục(nếu có lỗi) của 1 trong các website sau cho mình.

http://snnphutho.vn
http://socongthuong.phutho.gov.vn

Xin chân thành cảm ơn.

Bạn có thể kiểm tra các lỗi bảo mật website theo các bước cơ bản sau:
- Thu thập thông tin về hệ thống website (webserver, framework, ngôn ngữ lập trình...). Từ đó, xác định phiên bản webserver, framework... mà website đó sử dụng có mắc phải các lỗ hổng đã được công bố hay không? (qua các CVE)
- Kiểm tra các cơ chế xác thực, khả năng vượt qua cơ chế xác thực (nếu có chức năng đăng kí, đăng nhập tài khoản).
- Kiểm tra sự tồn tại của các lỗ hổng như XSS, SQli, CSRF, LFI, RFI... Để kiểm tra các lỗ hổng này thì cần nắm được nguyên nhân, cách khai thác của từng lỗ hổng.

Việc kiểm tra, đánh giá về các lỗ hổng của 1 website phụ thuộc rất nhiều vào chuyên môn và kinh nghiệm của người kiểm tra. Bạn có thể tìm hiểu thêm về Web Application Penetration Testing của OWASP tại link https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents

CỘNG ĐỒNG AN NINH MẠNG VIỆT NAM

[Hỏi] Cách kiểm tra lỗi bảo mật website

MINZ

W-------

[Hỏi] Cách kiểm tra lỗi bảo mật website

MINZ

W-------

Số người đang xem

Thống kê diễn đàn