Giới thiệu và mục tiêu

Nguồn:

Web Application Penetration Testing (kiểm tra lỗ hổng web) là gì?

Một penetration test là một phương thức để đánh giá độ an toàn của một hệ thống hoặc mạng máy tính bằng cách thực hiện một tấn công giả lập. Một Web Application Penetration Test tập trung vào đánh giá độ an toàn của một ứng dụng web.

Quá trình này nhằm tìm ra bất kỳ lỗ hổng hoặc điểm yếu của ứng dụng web.. Một vấn đề bảo mật (security issue) được tìm thấy sẽ được đưa cho người sở hữu hệ thống kèm với những ảnh hưởng của vấn đề này đến sự an toàn của hệ thống, thông báo này cũng kèm theo một giải pháp ngăn chặn tác hại hoặc giải quyết vấn đề đó.

Những câu hỏi mà một penetration test cần làm rõ

  • Vấn đề (lổ hổng, điểm yếu trong hệ thống) là gì?
  • Nguyên nhân của vấn đề này?
  • Vấn đề này có ảnh hưởng ra sao?
  • Cách khắc phục hoặc giảm thiểu ảnh hưởng xấu của vấn đề đó với hệ thống.

Nhằm trả lời được những câu hỏi đó, trong các loạt bài sau (mỗi bài sẽ nêu lên một vấn đề đối với ứng dụng web), tôi sẽ trình bày từng vấn đề theo bố cục sau:

  1. Tổng quan về vấn đề
    • Phần này giới thiệu khái quát về vấn đề
  2. Mô tả về vấn đề
    • Phần này sẽ phân tích kỹ về vấn đề và ảnh hưởng của nó đến với hệ thống
  3. Cách tìm ra vấn đề
    • Phần này rất quan trọng trong các bài viết của tôi, chỉ ra làm sao để tìm ra được vấn đề
  4. Cách khắc phục và giảm thiểu thiệt hại
    • Khi tìm ra được vấn đề, chúng ta cần đưa ra và giải thích cho người chủ của hệ thống. Tuy nhiên, như vậy cũng chưa đủ, cần phải đưa ra các giải pháp để khắc phục và giảm thiểu thiệt hại nếu vấn đề này xảy ra đối với hệ thống
  5. Các tài liệu liên quan
    • Phần này chứa các tài liệu liên quan đến vấn đề, nhằm mục đích giúp mọi người nắm rõ thêm về vấn đề được trình bày trong bài.
Advertisements