Bảo mật web

Công cụ kiểm tra lỗ hổng trên thiết kế web, ứng dụng web

24/09/2014  | 
Để bảo mật thiết kế web của mình khỏi hacker và virus, điều đầu tiên bạn cần làm là kiểm tra mức độ bảo mật an toàn của web. Cách hiệu quả để làm việc này là thông qua việc sử dụng các công cụ quét lỗ hổng bảo mật web để tìm ra vấn đề cần giải quyết.

Bảo mật thiết kế web là rất quan trọng bởi vì các thiết kế web bán hàng hay [website] chứa nhiều thông tin người dùng đang trở thành đối tượng tấn công của các hacker, gây ra nhiều thiệt hại không lường được. Các lỗ hổng phổ biến nhất là [SQL] Injection và XSS (Cross Site Scripting).

Do vậy, để bảo vệ ứng dụng web, thiết kế web của mình, chúng ta cần phải tìm ra các lỗ hổng trước khi hacker tìm thấy nó, cố gắng sử dụng một số công cụ có liên quan để tìm kiếm và sửa chữa nó.

Có rất nhiều sản phẩm thương mại và miễn phí để hỗ trợ bạn trong việc thử nghiệm bảo mật của thiết kế web. Một số công cụ miễn phí có thể xem xét: 

1. Netsparker 


Netsparker Web Application Security Scanner là một công cụ dò tìm lỗ hổng tự động. Có thể phát hiện tốt các lỗ hổng ứng dụng web cơ bản như SQL Injection, Cross-site Scripting (XSS), File Inclusion cũng như các vấn đề bảo mật khác trên các ứng dụng web, các trang web xây dựng bởi bất kì nền tảng công nghệ nào. Netsparker được sử dụng nhiều bởi các Web Application pentester (người kiểm thử bảo mật cho website), các hacker và cả các nhà phát triển, quản trị các hệ thống website nhằm phát hiện tự động các nguy cơ bảo mật đang tồn tại trên hệ thống.

Netsparker rất thuận tiện để sử dụng cho mọi người. Chức năng phát hiện độc đáo và kỹ thuật khai thác an toàn cho phép Netsparker phát hiện các lỗ hổng một cách chính xác. Người dùng chỉ việc tập trung vào cách xử lí và fix các lỗ hổng, vấn đề bảo mật mà không cần tốn thời gian để học cách sử dụng một công cụ dò tìm lỗ hổng web.

Netsparker có phiên bản miễn phí và phiên bản có phí.

2. OpenVAS


OpenVAS là một công cụ quét lỗ hổng bảo mật mạnh mẽ được tích hợp trên backtrack dành cho các nhà quản trị. Hiện nay OpenVAS đã quét hơn 25.000 lỗ hổng. Công cụ này được tạo ra như một nhánh của Nessus khi Nessus trở nên thương mại hóa.

3. OWASP


OWASP là viết tắt của Open Web Application Security Project là một tổ chức phi lợi nhuận trên toàn thế giới đang tập trung vào việc cải thiện sự an toàn của các ứng dụng web. Các ZAP (Zed Attack Proxy) dễ dàng sử dụng công cụ tích hợp thử nghiệm thâm nhập để tìm kiếm các lỗ trong trong các ứng dụng web. Nó có chức năng tự động quét và có một bộ công cụ cho phép bạn tìm thấy các lỗ hổng được điều khiển bằng tay.

4. W3AF


Web Application Attack and Audit Framework hay W3AF là tạo ra một framework để tìm và khai thác các lỗ hổng bảo mật ứng dụng web một cách dễ sử dụng và mở rộng. W3AF đã có mặt trong Backtrack 5.

5. Skipfish


Skipfish là một công cụ bảo mật ứng dụng web tự động được thiết kế để tìm kiếm các lỗ hổng trên các ứng dụng web, tìm thấy lỗ hổng trên trang web của bạn trước khi hacker tìm thấy và khai thác nó. Nó cũng đã có sẵn trên Backtrack5.

6. Nikto

Nikto là một trong những công cụ thực hiện fuzzer các lỗi bảo mật tốt nhất và nhanh nhất hiện nay. Với cơ sở dữ liệu cập nhật hàng trăm lỗi bảo mật được xuất hiện hằng ngày. Đặc biệt là Nikto được sử dụng hoàn toàn miễn phí và có khả năng tùy biến cao. Nikto cũng là một trong những công cụ được insecure.org bình chọn một trong những công cụ quét lỗi bảo mật web tốt nhất trong 10 công cụ. Ngoài ra, Nikto cho phép người sử dụng tùy biến viết các thành phần và nhúng kết với Nikto để thực thi. Hơn nữa, Nikto cũng hỗ trợ nhiều định dạng của những chương trình quét lỗi bảo mật khác như: Nmap, Nessus.

7. Websecurify


Websecurify là một phần mềm tự động có khả năng quét các thông số an ninh khác nhau trên trang web của bạn và đưa ra phân tích thống kê toàn diện giúp bạn có thể tìm thấy lỗ hổng an ninh để giữ cho trang web của mình luôn được an toàn.

Websecurify thì miễn phí và là công cụ mã nguồn mở để bạn có thể mở rộng chức năng theo nhu cầu của mình. Nó là một ứng dụng nền tảng cross-platform được phát triển với mã [JavaScript], [Java], [Python] và C.

Các kết quả từ kiểm tra tự động có thể làm bạn nản chí, như thể chúng đã đưa ra tất cả các vấn đề cực kỳ tồi tệ của trang web. Hãy tập trung vào các vấn đề quan trọng đầu tiên. Mỗi một báo cáo thường đi kèm với một lời giải thích về lỗ hổng có thể xảy ra. Bạn có thể thấy rằng một số những vấn đề trung bình/thấp không phải là một mối quan tâm cho thiết kế web của bạn.

Chúc bạn thành công trong việc bảo mật website của mình khỏi hacker.


Like Tạp Chí Web
comments powered by Disqus