Seminar công cụ xác định lỗ hổng website

SEMINAR CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITE Trình bày : Võ Đỗ Thắng và Các cộng sự Giám Đốc Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng ATHENA www.Athena.Edu.Vn Company Logo Nội dung : Tổng Quan Các Lỗ Hổng Web1 Giới thiệu Các Công Cụ Quét Lỗ Hổng Web2 Một Số Demo Khai Thác Lỗ Hổng Web3 Thảo Luận4 Tổng Quan Về Mô Hình Web Các Nguy Cơ Rủi Ro Đối Với Web Giới thiệu về Các Công Cụ Quét Lổ Hổng WebSite Giới thiệu về Các Công Cụ Quét Lổ Hổng WebSite  Acunetix  Paros Havij  NIKTO  APP SCAN WebScarab  .  Là công cụ nổi tiếng của IBM , dùng để kiểm tra các lỗi bảo mật thông qua vòng đời phát triển của ứng dụng  Có thể xác định được hầu hết các lỗi phổ biến của site như SQLi, XSS đến các lỗi như BufferOverFlow, BackDoor . Tổng Quan Về Các Công Cụ Các công cụ nổi tiếng : APP SCAN  Là công mã nguồn mở có giao diện đơn giản , dùng để lắng nghe các requests/responses thông qua local proxy  Được những lập trình viên dùng để debuge hoặc giải quyết những vấn đề khó khăn liên quan đến HTTP(s) . Tổng Quan Về Các Công Cụ Các công cụ nổi tiếng : WebScarab Tổng Quan Về Các Công Cụ Các công cụ nổi tiếng : Acunetix và Paros Sẽ được giới thiệu bên dưới DeMo Sử Dụng Một Số Công Cụ Quét Lổ Hổng WebSite Acunetix  Acunetix WVS là công cụ kiểm tra lỗi của website một cách tự động.  Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password.  AcuSensor là công nghệ phát hiện lỗi website theo hộp đen.  Acunetix với Giao diên người dùng , phương pháp báo cáo tiên tiến , dễ sử dụng  Lựa chọn target: File → New → Web site scan Acunetix Acunetix  Nhấn Next : Lựa chọn các công nghệ của webserver.  Nhấn Next : lựa chọn các chế độ Crawling. Acunetix  Nhấn Next : lựa chọn các chế độ San.  Heuristic , Quick, Extenvise. Acunetix  Nhấn Finish. Acunetix  Lấy lỗi . Click vào lỗi  Launch the attack with HTTP Editor : Acunetix  Phân tích trong HTTP Editor. Acunetix  Ngoài ra Acunetix còn hỗ trợ một số Tools. Acunetix  Acunetix WVS Report : tạo báo cáo chuyên nghiệp. Acunetix  Được viết bằng Java . Dùng để đánh giá lỗ hổng ứng dụng web thông qua web proxy.  Hỗ trợ chỉnh sửa /các message HTTP / HTTPS , cookie  Hỗ trợ Web Spider, Hash Calculator (MD5, SHA1)  Là một công cụ Scan để kiểm tra các lỗi phổ biến trên web server như SQL Injection , XSS Paros :  Thiết lập Local Proxy : Paros :  Thiết lập cho Web browers Firefox : Tools  Options Advanced  NetworkSettings Paros :  Dùng firefox để truy cập vào site cần test.  Truy cập vào những phần cần test.  Mở Paros lên  Vào Anlyse Scan Paros :  Sau khi Scan kết thú vào Report Last Scan Report Paros :  Một số công cụ bổ sung : Tools  . Paros : Havij  Công cụ dùng để khai thác lỗi SQL – Injection của website.  Có 2 phiên bản free and shareware  Có thể sử dụng để khai thác những lỗi SQL – Injection phổ biến.  Kết quả thu được Havij  Dữ liệu trong các table: Havij  Kết nối với các website crack hashed_password: Havij  Lưu dữ liệu lấy được dưới dạng HTML: Havij Demo Khai Thác Một Số Lổ Hổng Website (Website demo chỉ có giá trị nội bộ trong buổi Seminar)