Một số tiêu chuẩn pentest
Như ở bài trước ta đã cùng nhau đi tìm hiều tổng quan về Penetration Testing (Pentest), một số khái niệm thường gặp và các hình thức kiểm thử trong quá trình Pentest. Ở bài này, ta sẽ tiếp tục đi sâu hơn về Pentest bằng cách tìm hiểu về một số tiêu chuẩn pentest trên thế giới.
1. Tiêu chuẩn đánh giá ứng dụng Web – OWASP (Open-source Web Application Security Project)
- OWASP là một chuẩn mở cho phép tổ chức doanh nghiệp tiến hành xây dựng, phát triển, duy trì hoạt động của các ứng dụng trên nền tảng web một cách an toàn nhất. Quá trình đánh giá dựa trên các tiêu chí đã được cộng đồng bảo mật xác nhận.
- OWASP cung cấp cho cộng đồng nhiều nguồn “tài nguyên” khác nhau:
- OSSTMM là một chuẩn mở cung cấp phương pháp kiểm tra an ninh một hệ thống đang hoạt động của doanh nghiệp. Từ phiên bản 3.0, OSSTMM đưa ra phương pháp kiểm định cho hầu hết các thành phần trong hệ thống như: con người, hạ tầng vật lý, mạng không dây, truyền thông và các mạng sử dụng truyền dữ liệu.
- Có những cách thức khác nhau để thực hiện kiểm tra an ninh theo phương pháp OSSTMM như sau:
[1]. http://owasp.org
[2]. http://www.isecom.org/research/osstmm.html
[3]. http://www.pcworld.com.vn
[4]. http://ctf.ist-vnisa.org.vn/web/top-10-owasp.html
[5]. Kali Linux – Assuring Security by Penetration Testing
1. Tiêu chuẩn đánh giá ứng dụng Web – OWASP (Open-source Web Application Security Project)
- OWASP là một chuẩn mở cho phép tổ chức doanh nghiệp tiến hành xây dựng, phát triển, duy trì hoạt động của các ứng dụng trên nền tảng web một cách an toàn nhất. Quá trình đánh giá dựa trên các tiêu chí đã được cộng đồng bảo mật xác nhận.
- OWASP cung cấp cho cộng đồng nhiều nguồn “tài nguyên” khác nhau:
- Các công cụ và tiêu chuẩn về an toàn thông tin.
- Các bộ chuẩn về kiểm tra an ninh ứng dụng, lập trình an toàn và kiểm định mã nguồn
- Các thư viện và tiêu chuẩn điều khiển an toàn thông tin
- Các nghiên cứu mới nhất về an ninh ứng dụng web
- Các địa chỉ thư tín chung
- Những buổi hội thảo toàn cầu
- Ngoài ra, OWASP cũng giới thiệu tài liệu “OWASP Top 10”. Đây là một danh sách được OWASP tổng hợp và công bố về 10 lỗ hổng phổ biến nhất theo từng năm, nhằm đưa ra các cảnh báo rủi ro an ninh của ứng dụng web một cách ngắn gọn và xúc tích, giúp các doanh nghiệp, cá nhân xây dựng, phát triển hay đánh giá các ứng dụng web để có thể tự đưa ra được các giải pháp phù hợp, nâng cao an toàn thông tin. Một số lỗ hổng trong “OWASP Top 10” thường nằm trong danh sách công bố các năm bao gồm: Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Insecure Cryptographic Storage (Đối tượng tham chiếu thiếu an toàn), Unvalidated Redirects and Forwards (Chuyển hướng và chuyển tiếp thiếu an toàn). Về nội dung của “OWASP Top 10” sẽ được trình bày chi tiết ở một bài viết khác.
- Tiêu chuẩn OWASP khuyến khích các nhà phát triển các ứng dụng tích hợp các khâu kiểm tra an ninh vào từng giai đoạn phát triển. Điều này sẽ giúp cho các ứng dụng trong quá trình phát triển tránh được các lỗi và an toàn hơn.
- Tài liệu của OWASP cung cấp chi tiết về các kỹ thuật đánh giá, cung cấp một cái nhìn rộng hơn vào nhiều nền tảng công nghệ giúp người kiểm tra lựa chọn cách thức phù hợp nhất để tiến hành kiểm tra.
- Một vài công cụ do cộng đồng OWASP phát triển và đưa ra để kiểm thử ứng dụng web tự động như: WebScarab, Wapiti, JbroFuzz, SQLiX, ...
- OSSTMM là một chuẩn mở cung cấp phương pháp kiểm tra an ninh một hệ thống đang hoạt động của doanh nghiệp. Từ phiên bản 3.0, OSSTMM đưa ra phương pháp kiểm định cho hầu hết các thành phần trong hệ thống như: con người, hạ tầng vật lý, mạng không dây, truyền thông và các mạng sử dụng truyền dữ liệu.
- Có những cách thức khác nhau để thực hiện kiểm tra an ninh theo phương pháp OSSTMM như sau:
- Blind: Kiểm thử “Blind” không yêu cầu phải biết các thông tin về hệ thống mục tiêu trước đó. Tuy nhiên, mục tiêu này đã được thông báo trước khi bắt đầu tiến hành kiểm thử. Kiểm thử game trước khi được phát hành là ví dụ về kiểm thử “Blind”.
- Double blind: Trong kiểm thử “Double blind”, người kiểm tra không cần biết bất kỳ thông tin nào về hệ thống mục tiêu và mục tiêu cũng không được thông báo trước khi tiến hành kiểm tra. Kiểm thử hộp đen và kiểm thử thâm nhập là những ví dụ của kiểm thử “Double blind”. Với loại kiểm thử này, người kiểm tra gặp một thách thức lớn trong việc lựa chọn loại công cụ và kỹ thuật tốt nhất để giải quyết được yêu cầu kiểm tra.
- Gray box: Thường được gọi là kiểm thử hộp xám và với lại kiểm thử này người kiểm tra đã biết trước một vài thông tin về hệ thống mục tiêu và mục tiêu được thông báo trước khi kiểm tra được thực hiện. Đánh giá lỗ hổng (vulnerability assessment) là một trong những ví dụ cơ bản của kiểm thử hộp xám.
- Double gray box: Kiểm thử “Double gray box” tương tự như kiểm thử hộp xám, trừ việc xác định khung thời gian cho một lần kiểm tra và không thực hiện kiểm tra kênh truyền (channels) và hướng tấn công (vectors). Kiểm thử hộp trắng là một ví dụ về kiểm tra cặp hộp xám.
- Tandem (được gọi là kiểm thử song song): Trong kiểm thử này, người kiểm tra đã có các kiến thức tối thiểu để đánh giá về hệ thống mục tiêu và mục tiêu cũng được thông báo trước khi kiểm tra được thực hiện. Các kiểm thử song song (hay cặp trước sau) được thực hiện triệt để. Kiểm thử hộp thủy tinh (crytal box) và kiểm toán (in-house audit) là ví dụ của kiểm thử song song.
- Reversal (đảo ngược): Trong kiểm thử đảo ngược, người kiểm tra biết trước đầy đủ kiến thức về hệ thống mục tiêu và mục tiêu không được biết khi nào kiểm thử được tiến hành. Kiểm thử mũ đỏ (red-teaming) là một ví dụ của kiểm thử đảo ngược.
[1]. http://owasp.org
[2]. http://www.isecom.org/research/osstmm.html
[3]. http://www.pcworld.com.vn
[4]. http://ctf.ist-vnisa.org.vn/web/top-10-owasp.html
[5]. Kali Linux – Assuring Security by Penetration Testing
Chỉnh sửa lần cuối bởi người điều hành: