Định nghĩa
Kiểm thử bảo mật để tìm ra các lỗ hổng của hệ thống và xác định rằng dữ liệu và tài nguyên được bảo vệ từ các yếu tố có thể bị xâm nhập
Có 2 khía cạnh chính trong bảo mật là:
Bảo vệ dữ liệu ko bị mất
Quyền truy cập các dữ liệu trên
Các loại kiểm thử bảo mật
Vulnerability Scanning (Quét lỗ hổng)
Việc này được thực hiện thông qua phần mềm tự động để quét 1 hệ thống chống lại các lỗ hổng chữ ký đã biết
Security Scanning (Quét bảo mật)
Việc này liên quan đến việc xác định nhược điểm của mạng và hệ thống
Việc này có thể được thực hiện thủ công hoặc tự động
Penetration Testing (Kiểm tra thâm nhập)
Loại này liên quan đến sự phân tích một hệ thống cụ thể để kiểm tra các lỗ hổng tiềm ẩn đối với nỗ lực hack từ bên ngoài
Risk Assessment (Phân tích rủi ro)
Loại này liên quan đếm sự phân tích bảo mật các rủi ro đã quan sát được, các rủi ro này sẽ được phân mức độ: Thấp, Trung bình, Cao
Loại kiểm thử này đề nghị các kiểm soát và các biện pháp để xử lý/giảm rủi ro
Security Auditing (Kiểm tra bảo mật)
Loại kiểm thử là kiểm tra nội bộ về lỗi bảo mật; có thể kiểm tra từng dòng code
Posture Assessment (Đánh giá thế trận)
Kết hợp với loại Quét bảo mật (Security Scanning), Ethical hacking và Risk Assessment để hiển thị 1 thế trận an ninh tổng thể của tổ chức
Ethical hacking (Hack đạo đức)
Hack hệ thống phần mềm của tổ chức
Mục đích là tìm tất cả các lỗ hổng bảo mật để fix
Security testing trong SDLC
SDLC Phases | Security Processes |
---|---|
Requirements | Phân tích bảo mật cho các yêu cầu và kiểm tra các trường hợp bị lạm dụng |
Dessign | Phân tích các rủi ro bảo mật của thiết kế. Lập test plan (bao gồm cả security test) |
Coding & Unit Testing | Thực hiện Unit test và kiểm thử bảo mật hộp trắng |
Integration Testing | Test hộp đen |
System Testing | Test hộp đen kết hợp với Vulnerability Scanning |
Implementation/ Acceptance Testing | Penetration Testing, Vulnerability Scanning |
Support | Phân tích tác động của các bản vá lỗi |
Test Plan nên bao gồm:
TC hoặc Kịch bản kiểm thử liên quan đến bảo mật
Ví dụ:
Mật khẩu phải hiển thị dưới dạng mã hóa
Check cookies, session time
Với các site liên quan đến tài chính thì back browser không hoạt động
Dữ liệu test liên quan đến test bảo mật
Ví dụ: Không cho phép truy cập nếu user không hợp lệ
Công cụ kiểm tra để test bảo mật
Ví dụ: Các công cụ test như: Intruder
Phân tích các đầu ra từ các công cụ test khác nhau
Các phương pháp kiểm thử bảo mật
Tiger box
Việc hack này thường được thực hiện trên máy tính xách tay có cái đặt các HĐH và công cụ hack. phương pháp này giúp penetration tester và security tester tiến hành đánh giá và tấn công lỗ hổng để phát hiện và ngăn chặn kịp thời
Ví dụ: Nikto, AppScan, WebScarab, Wa3f…
Black Box
Tester được ủy quyền để thử nghiệm mọi thứ về cấu trúc liên kết mạng và công nghệ
Là việc kiểm tra khả năng bảo mật của ứng dụng từ bên ngoài. Quan sát các dữ liệu được gửi đến ứng dụng và các dữ liệu từ ứng dụng xuất ra mà không cần hiểu đến hoạt động bên trong của nó
Grey Box
Thông tin một phần được cung cấp cho người kiểm tra về hệ thống và nó là sự kết hợp của các mô hình hộp trắng và đen.
White box: là quá trình kiểm tra trực tiếp mã nguồn của ứng dụng web để tìm ra các lỗi bảo mật.
Các lỗ hổng bảo mật thường gặp
Missing function level access control (lỗi phân quyền)
Với lỗ hổng này, tester cần test xem tất cả các phân quyền đã được thực hiện đúng. Đưa ra 2 câu hỏi để thực hiện test:
Authentication: Gồm những roles nào? (who you are?)
Authorization: Các hành động mà role được thực hiện (What you can do?)
Ngoài 2 ý trên, thì lỗ hổng này cũng bao gồm:
Authentication
Test rule password
Test Default login
Test password recovery
Test capcha
Test Logout
Test Change password
Test security question/answer
Authorization
Test case kiểm soát truy cập dọc và truy cập ngang, trong đó:
Truy cập ngang là cơ chế ngăn chặn truy cập vào tài nguyên không được cho phép
Ví dụ: chỉ xem được những doc do mình tạo, sửa thông trên đường link để truy cập của người khác (1 số thông tin có thể đổi như: ID)
Truy cập dọc là cơ chế quản lý truy cập tới các chức năng (nhóm người dùng khác nhau thì chức năng sẽ khác nhau)
Ví dụ: Truy cập đường link không thuộc phân quyền
Test các case mà acc không có phân quyền
Test các case quản lý truy cập dựa vào trạng thái của đối tượng tương tác
Ví dụ: Đơn hàng đã hủy chỉ “Admin” mới được đưa về Đơn chờ duyệt
Data Protection
Khía cạnh trong Data Protection
User truy cập đúng các tài nguyên mà họ được phép truy cập (như truy cập trên ngang ở loại Lỗi phân quyền)
Dữ liệu dưới DB được lưu trữ như thế nào? Các thông tin quan trọng có được mã hóa không?
Mật khẩu, Tài khoản ngân hàng… có được mã hóa?
Tấn công bằng SQL Injection có xảy ra vấn đề gì không?
Các thay đổi về dữ liệu có được lưu vết (audit log)?
Bản backup dữ liệu có bị lộ? => Mã hóa và kiểm tra dữ liệu của production, sao lưu dữ liệu để bảo mật dữ liệu
Cấu hình DB có đúng không? => Chú ý việc cài đặt tài khoản giống như tài khoản mặc định
Tấn công bằng DoS xảy ra vấn đề gì?
=> Tester cần thực hiện test ở các tầng: Business Layer, Access layer, UI layer
Các kỹ thuật kiểm tra bảo mật DB
Penetration Testing (Kiểm tra xâm nhập)
Dựa vào các lỗ hổng tìm được để tấn công → Dữ liệu có bị mất hay thay đổi?
Risk Assessment (Đánh giá rủi ro)
Đánh giá và phân tích các rủi ro liên quan đến kiểu cấu hình bảo mật dữ liệu được triển khai → Chuyên gia thực hiện các đánh giá này
SQL Injection Validation
Sử dụng các câu lệnh SQL để kiểm tra sự toàn vẹn của dữ liệu
Password Cracking
Kiểm tra các chính sách validate mật khẩu
Security Audit
Chính sách thực hiện bảo mật dữ liệu
Áp dụng các biện pháp bảo mật thích hợp: mã hóa pass khi lưu, các chính sách đặt pass, …
Tester cần thực hiện:
Query các thông tin đã được mã hóa dưới DB xem hiển thị như thế nào (Ví dụ: query Mật khẩu, Số tài khoản, …)
Verify dữ liệu đã được transmitted chưa?
Ví dụ: copy mật khẩu của ứng dụng, mở ứng dụng trên trình duyệt khác và copy xem có thể login thành công hay không
Verify nếu thêm các ký tự space vào đầu/cuối password
Sử dụng các kỹ thuật để tìm lỗ hổng
Brute Force Attack
Kỹ thuật tấn công sử dụng phần mềm để crack mật khẩu nếu mật khẩu không đủ mạnh bằng cách xoay vòng các ký tự kết hợp với nhau để tạo ra được 1 mật khẩu đúng
Tester cần thực hiện:
Check cơ chế tạm ngưng tài khoản khi nhập sai quá x lần
Để test loại này, bạn có thể sử dụng tool auto test, random password có thể nhập
SQL Injection and XSS (Cross Site Scripting)
XSS: Kỹ thuật tấn công vào các trường dạng input, sử dụng các thẻ như: HTML, script để lấy được cookies của người dùng
SQL Injection: Kỹ thuật tấn công vào các trường dạng input, sử dụng các câu lệnh SQL để Thêm/Sửa/Xóa dữ liệu
Tester cần thực hiện:
Check maxlength all input field, đảm bảo max length được validate với mọi loại định dạng nhập vào (bao gồm html và script)
Check các ký tự đặc biệt