Mục lục
1
Kiểm tra đảm bảo an ninh, bảo mật cho máy chủ web
1 Kiểm tra lập kế hoạch và quản lý máy chủ web
Mục đích kiểm tra:
Khía cạnh quan trọng nhất của việc triển khai bảo mật máy chủ Web là lập kế hoạch cẩn
thận trước khi cài đặt, cấu hình và triển khai. Kiểm tra lập kế hoạch để đảm bảm rằng máy
chủ web bảo mật phù hợp với tất cả các chính sách tổ chức liên quan không.
Tìm ra nguyên nhân tại sao máy chủ web hoạt động không hiệu quả
1.1 Kiểm tra lập kế hoạch cài đặt và phát triển
Kiểm tra lập kế hoạch cài đặt và phát triển có đúng theo kế hoạch ban đầu không, để cân
bằng sự tiện dụng và hiệu năng, rủi ro và kịp thời có những thay đổi phù hợp với khả năng
của tổ chức. Một kế hoạch triển khai cho phép các tổ chức duy trì những cấu hình bảo mật
và có những trợ giúp trong việc xác định các lỗ hổng bảo mật mà nguyên nhân là do sự sai
lệch so với kế hoạch.
Danh mục kiểm tra Kết quả Nhận xét
 Kiểm tra cần xác định được mục đích của máy chủ
web
o Những loại thông tin sẽ được lưu trữ trên máy chủ
web?
o Những loại thông tin sẽ được xử lý và được truyền
qua máy chủ web?
o Những yêu cầu bảo mật cho thông tin?
o Bất kỳ thông tin sẽ được khôi phục như thế nào từ
nơi lưu trữ trên các máy chủ khác (cơ sở dữ liệu lưu
trữ, máy chủ mail)?
o Những yêu cầu bảo mật cho bất kỳ máy chủ khác
như thế nào? (cơ sở dữ liệu lưu trữ, máy chủ thư
mục, máy chủ mail và máy chủ proxy)?
o Những dịch vụ nào sẽ được cung cấp bởi máy chủ
web?

o Kiểm tra tính tương thích với cơ sở hạ tầng đã tồn
tại
o Kiểm tra kiến thức của các nhân viên hiện tại
o Kiểm tra mối quan hệ sản xuất đã có
o Kiểm tra lịch sử điểm yếu trong quá khứ
o Kiểm tra chức năng
 Kiểm tra các hình thức bảo vệ an ninh vật lý có thích
hợp không?
o Khóa
o Truy nhập bằng công cụ đọc thẻ
o Nhân viên bảo vệ
o Các công cụ phát hiện xâm nhập vật lý IDSs (cảm
biến, camera giám sát)
 Kiểm tra nhiệt độ, độ ẩm của môi trường có phù hợp
không?
 Kiểm tra có nguồn điện dự phòng? Sẽ cung cấp
được nguồn điện là bao lâu?
 Kiểm tra khả năng sẵn sàng cao, có kết nối mạng đến
ít nhất 2 nhà cung cấp dịch vụ không ?
 Kiểm tra vị trí đặt của máy chủ web, nếu vị trí đặt
máy chủ web tại những nơi thiên tai thì có đủ độ
cứng để chống lại thảm họa thiên tai không hoặc có
một trang web dự phòng bên ngoài không?
1.2 Nhân viên quản lý bảo mật
Mục đích kiểm tra:
3
Kiểm tra vai trò chung, ý thức trách nhiệm của từng cá nhân liên quan đến máy chủ web.
Đối với từng tổ chức thì vai trò trách nhiệm của từng cá nhân cũng khác nhau.
1.2.1 Cán bộ quản lý công nghệ thông tin cấp cao/ Giám đốc thông tin
Danh mục kiểm tra Kết quả Nhận xét

các yêu cầu chính sách bảo mật với hệ thống tương
ứng
1.2.3 Cán bộ bảo mật hệ thống thông tin
Kiểm tra trách nhiệm giám sát của cán bộ bảo mật hệ thống thông tin cho tất cả các
khía cạnh của bảo mật thông tin với đối tượng cụ thể, đảm bảo rằng các hoạt động bảo
4
mật thông tin của tổ chức phù hợp với các chính sách, tiêu chuẩn thủ tục của từng
phòng ban. Các ISSO có trách nhiệm với các hoạt động sau mà có liên quan đến máy
chủ web:
• Hợp tác trong việc triển khai và phát triển các công cụ bảo mật, cơ chế, và công
nghệ đơn giản
• Duy trì các thông tin cấu hình chuẩn của máy chủ web và hỗ trợ hạ tầng mạng
được kiểm soát bởi tổ chức, nhưng không giới hạn đến các hệ điều hành, tường
lửa, định tuyến và các ứng dụng máy chủ web
• Duy trì tính toàn vẹn của hệ thống bằng cách tiến hành các kiểm tra bảo mật và
lập lịch kiểm tra cho các hệ thống quan trọng
1.2.4 Cán bộ quản trị mạng và máy chủ web
Kiểm tra trách nhiệm của cán bộ quản trị máy chủ web đối với thiết kế chung, triển
khai, duy trì cho máy chủ web. Cán bộ quản trị mạng có trách nhiệm với thiết kế
chung, triển khai, duy trì cho một mạng. Hàng ngày, cán bộ quản trị mạng và máy chủ
web thực hiện các yêu cầu bảo mật cho hệ thống mà họ phải chịu trách nhiệm quản trị.
Những giải pháp và vấn đề bảo mật có thể bắt nguồn từ những nguyên nhân bên ngoài
(bản vá lỗi và sửa lỗi bảo mật từ những nhà sản xuất hoặc các nhóm ứng cứu sự cố
bảo mật máy tính) hoặc bên trong tổ chức (phòng an ninh). Các cán bộ quản trị có
trách nhiệm với các hoạt động sau có liên quan đến máy chủ web:
 Kiểm tra cài đặt và cấu hình các hệ thống phù hợp với chính sách và tiêu chuẩn
bảo mật tổ chức và phù hợp với những cấu hình mạng hệ thống
 Kiểm tra duy trì hệ thống quản lý bảo mật, bao gồm cả sao lưu thường xuyên và
áp dụng những bản vá lỗi 1 cách kịp thời
 Kiểm tra giám sát tính toàn vẹn hệ thống, các cấp độ bảo vệ và các sự kiện bảo

cần phải triển khai kiểm tra các hoạt động sau:
 Kiểm tra chính sách bảo mật hệ thống thông tin tổ chức có hoạt động theo các
nguyên lý cơ bản, quy tắc bảo mật và mục đích theo kế hoạch đã đề ra ban đầu
hay không. Các chính sách cần đưa ra trách nhiệm cụ thể từng khu vực của hệ
thống thông tin (triển khai, thực hiện. kiểm toán và soát xét) . Các chính sách
phải được thực thi một cách nhất quán trong tổ chức sao cho có hiệu quả.
 Kiểm tra quản lý và kiểm soát thay đổi/cấu hình – quy trình kiểm soát thay đổi
thiết hệ thống, phần cứng, chương trình, phần mềm nhằm đảm bảo hệ thống có
thể chống lại những thay đổi không hợp lệ trước, trong khi và sau khi triển khai
6
hệ thống. Kiểm soát cấu hình theo chính sách bảo mật hệ thống thông tin. Kiểm
soát cấu hình theo phương pháp truyền thống được giám sát theo bảng kiểm
soát cấu hình là quyền hạn cuối cùng về tất cả các thay đổi đề xuất đến hệ thống
thông tin.
 Kiểm tra quản lý và đánh giá rủi ro – đánh giá rủi ro là quy trình phân tích và
làm rõ rủi ro. Quy trình này bao gồm xác định phạm vi đánh giá, phương pháp
thực hiện, thu thập và phân tích các dữ liệu có liên quan và làm rõ những kết
quả phân tích rủi ro. Thu thập và phân tích dữ liệu rủi ro yêu cầu xác định các
tài sản, mối đe dọa, điểm yếu, biện pháp an toàn, hậu quả và các khả năng xảy
ra tấn công thành công
 Kiểm tra cấu hình chuẩn – Các tổ chức cần phải phát triển các cấu hình bảo mật
chuẩn trong phạm vi lớn sử dụng nhiều ứng dụng, hệ điều hành, nhằm cung cấp
các cho các nhà quản trị mạng và máy chủ web cách cấu hình hệ thống 1 cách
bảo mật và đảm bảo tuân thủ theo chính sách bảo mật của tổ chức.
 Kiểm tra thực hành lập trình bảo mật – các tổ chức cần phải thông qua chủ
trương phát triển ứng dụng bảo mật để đảm bảo những ứng dụng web của hộ
được bảo mật một cách đầy đủ
 Kiểm tra về đào tạo và nhận thức về bảo mật – Một chương trình đào tạo bảo
mật là vô cùng quan trọng đối với an toàn thông tin chung của tổ chức. Làm
cho người dùng và quản trị viên nhận thức ý thức trách nhiêm bảo mật của họ

o Các biện pháp điều hành, đây là những biện pháp được triển khai chính và
được thực thi bởi mọi người. Các biện pháp này đòi hỏi chuyên môn đặc
biệt hoặc kỹ thuật cao và thường dựa vào các hoạt động quản lý cũng như
các biện pháp kỹ thuật
o Các biện pháp kỹ thuật, là những cơ chế bảo mật hệ thống máy tính sử
dụng. Các biện pháo có thể cung cấp bảo vệ tự động từ những truy cập, lạm
dung trái phép, tạo điều kiện phát hiện các hành vi vi phạm bảo mật, và hỗ
trợ các yêu cầu bảo mật cho ứng dụng và dữ liệu. Việc triển khai các biện
pháp kỹ thuật, tuy nhiên đòi hỏi cần nhắc các hoạt động quan trọng và phù
hợp với quản lý bảo mật trong tổ chức
1.5 Các yêu cầu về nguồn nhân lực
Nguồn nhân lực là tài sản vô cùng quan trọng của tổ chức trong việc duy trì và phát
triển tổ chức. Nguồn nhân lực phù hợp và đầy đủ là khía cạnh quan trọng ảnh hưởng
đến bảo mật máy chủ web. Các tổ chức cần phải xem xét trên thực tế, nói chung giải
pháp kỹ thuật không thể thay thế cho kỹ năng và kinh nghiệm của cá nhân.
Khi xem xét đến những tác động của nguồn nhân lực và triển khai một máy chủ, các tổ
chức cần phải xem xét các vấn đề sau:
8
• Kiểm tra yêu cầu của nhân viên về hệ thống mạng của nhân viên, tổ chức có
đáp ứng đầy đủ không? Điều này sẽ bao gồm các vị trí như quản trị hệ thống và
quản trị máy chủ web, chủ trang web, quản trị mạng
• Kiểm tra các kỹ năng cần thiết của nhân viên: những kỹ năng cần thiết nào để
hoàn thành đầy đủ kế hoạch, phát triển và duy trì máy chủ web? Ví dụ bao gồm
cả quản trị hệ điều hành, quản trị mạng, nội dung hoạt động chuyên môn, lập
trình
• Kiểm tra tổ chức có những nguồn nhân lực sẵn sàng nào? Thêm vào đó, các kỹ
năng hiện tại là gì và các kỹ năng này có đủ để hỗ trợ cho máy chủ web không
1.6 Kiểm tra những nền tảng máy chủ web
Mặc dù nhiều tổ chức quản lý máy chủ web hoạt động trên những hệ điều hành đa
năng, đây là những trường hợp mà tổ chức có thể sử dụng trong những trường hợp cần

máy chủ web. Các hệ thống này làm tăng thêm cơ chế bảo mật trên máy chủ web đó.
Trong một số trường hợp, các hệ thống có thể ngăn chăn tấn công đến máy chủ web.
Kiểm tra xem máy chủ web có sử dụng những công cụ phổ biến như:
• Có sử dụng SSL không?
• Kiểm tra bảo mật cổng, giám sát các luồng thông tin vào ra từ máy chủ web để
phát hiện tấn công tiềm ẩn
• Kiểm tra lọc nội dung, giám sát các luồng thông tin vào ra từ máy chủ web để
phát hiện những dữ liệu không phù hợp hoặc nhạy cảm, đưa ra hành đồng khi
cần thiết
• Kiểm tra xem việc xác thực người dùng qua những cơ chế nào, và điều khiển
đến đúng URL trên chính mảy chủ web đó
Khi mua một thiết bị web cần chú ý đến một số vấn đề sau:
• Kiểm tra hệ điều hành cơ sở có những tính năng gì và kiểm tra bảo mật ở tình
trạng như thế nào ?
• Làm thế nào để thiết bị riêng của mình ở tình trang kiểm tra bảo mật (Chú ý đến
các tùy chọn cấu hình của các thiết bị web bị hạn chế, do đó 1 thiết bị web sẽ
chỉ thường bảo mật với cấu hình cài đặt chuẩn)
• Kiểm tra các thiết bị máy chủ web của tổ chức làm việc tốt với nhau?
• Kiểm tra các tùy chọn mở rộng vốn có trong thiết bị này có thể chấp nhận cho
tổ chức không?
10
• Kiểm tra cấu hình thiết bị thì có khó khăn như thế nào? Thiết bị có đủ linh hoat
để đáp ứng nhu cầu của tổ chức ?
• Kiểm tra mức độ đáp ứng của các nhà sản xuất và cung cấp các bản vá lỗi cho
các lỗ hổng tiềm ẩn nhanh như thế nào?
• Kiểm tra có phần mềm cơ bản sử dụng trên thiết bị độc quyền, mã nguồn mở,
hoặc kết hợp cả hai không?
• Kiểm tra xem thời gian hỗ trợ của nhà sản xuất là bao nhiêu thời gian
1.6.3 Máy chủ web và những hệ điều hành cứng hóa
Những hệ điều hành cứng hóa dựa trên những hệ điều hành đa năng đã được sửa đổi

• Ảo hóa riêng sẽ chỉ mô phỏng phần cứng cần thiết để chạy một hệ điều hành
khách cố định.
• Ảo hóa một phần sẽ không ảo hóa phần cứng, thay vào đó nó dùng một giao
diện lập trình ứng dụng API có thể được sử dụng bởi một hệ điều hành khách,
hoặc tận dụng khả năng ảo hóa được hỗ trợ bởi bộ vi xử lý
Ảo hóa thêm vào các lớp phức tạp khác để thiết lập máy chủ web. Cả 2 loại hệ điều
hành máy chủ và hệ điều hành khách đều cần thiết được bảo mật. Nếu công nghệ ảo
hóa hỗ trợ bảo mật, thì có thể tiến hành sao lưu cho mỗi hệ điều hành khách và ứng
dụng máy chủ web, những bản lưu này cho phép được khôi phục nếu xảy ra tấn công.
Máy chủ web, hệ điều hành khách của nó, máy chủ hệ điều hành và phần mềm ảo cần
phải được vá lỗi một cách kịp thời. Điều quan trọng cần phải lưu ý là nếu ứng dụng
hay hệ điều hành khách bị thỏa hiệp thì máy ảo khách có thể bị lây nhiễm sang các
máy chủ khác trong mạng như thế nó là một máy chủ vật lý độc lập. Mỗi hệ điều hành
và phần mềm máy chủ web liên quan càn phải được cấu hình và duy tri theo những
khuyến ở những nội dung tiếp theo
2 Kiêm tra bảo mật máy chủ web
Trước khai bắt đầu cài đặt phần mềm máy chủ web cần phải đọc tài liệu của các nhà
sản xuất máy chủ web trước và hiểu được các tùy chọn khác nhau trong suốt quá trình
cài đặt.
2.1 Kiểm tra hoạt động cài đặt máy chủ web
Nguyên tắc chung đầu tiên là chỉ cài các dịch vụ cần thiết cho máy chủ web để loại bỏ
bất kỳ những lỗ hổng nào thông qua những bản vá lỗi hay bản cập nhật. Bất kỳ ứng
12
dụng, dịch vụ hay các tập lệnh không cần thiết nào có thể bỏ luôn trong quá trình cài
đặt. Trong suốt quá trình cài đặt cần thực hiện kiểm tra theo những bước sau:
• Kiểm tra cài đặt phần mềm máy chủ web hoặc là trên một máy chủ chuyên
dụng hoặc trên một hệ điều hành khách chuyên dụng nếu ảo hóa đang được sử
dụng
• Kiểm tra việc áp dụng bất kỳ những bản vá lỗi hay bản cập nhật nào để khắc
phục bất kỳ những điểm yếu đã biết

o Kiểm tra các tập tin có chưa các thông tin ủy quyền được sử dụng trong
truy cập hay không?
o Kiểm tra những thông tin khóa quan trọng được sử dụng trong lĩnh vực
bí mật, toàn vẹn và dịch vụ chống chối bỏ
• Kiểm tra log máy chủ và các tập tin giám sát hệ thống
• Kiểm tra các tập tin cấu hình và phần mềm hệ thống
• Kiểm tra các tập tin nội dung của trang web
2.2.1 Kiểm tra cấu hình quyền hạn cho ứng dụng máy chủ web
Kiểm tra cấu hình quyền hạn cho ứng dụng máy chủ web để hạn chế các tập tin có thể
bị truy cập bới những quy trình dịch vụ máy chủ web. Những quy trình này chỉ cho
phép có quyền đọc những tập tin cần thiết và không có quyền truy cập các tập tin khác
ví dụ như truy cập đến các tập tin log nhật ký máy chủ. Khi kiểm tra sử dụng hệ điều
hành máy chủ web cần tuân theo những điểm sau:
• Kiểm tra những quy trình dịch vụ được cấu hình để chạy như một người dùng
và bị giới hạn quyền, những quy trình dịch vụ này có chạy quyền quản trị, siêu
quyền hay những tài khoản tương tự không, nếu có tắt bỏ
• Kiểm tra các tập tin nội dung web có thể được đọc những không được ghi bởi
những quy trình dịch vụ
• Kiểm tra những quy trình dịch vụ không được phép ghi lên những thư mục có
chứa những nội dung web công khai
• Kiểm tra những quy trình được ủy quyền cho người quản trị máy chủ web mới
có quyền ghi các tập tin nội dung web
• Ứng dụng máy chủ web có thể ghi vào những tập tin nhật ký máy chủ web,
nhưng những tập tin nhật ký không được đọc bởi những ứng dụng máy chủ
web. Chỉ những quy trình mức siêu quyền/hệ thống/quản trị có quyền đọc
những tập tin nhật ký máy chủ web
• Những tập tin tạm thời được tạo ra bởi ứng dụng máy chủ web, có thể được
sinh ra những trang web động hoặc người dùng đưa thông tin lên, những tập tin
này cần phải xác định bảo vệ phù hợp
• Việc truy cập đến bất kỳ tập tin tạm thời nào được tạo ra bởi ứng dụng máy chủ

15
• Dành riêng một phân vùng logic hay ổ cứng cho nội dung web và thiết lập các
thư mục con có liên quan đến các tập tin nội dung máy chủ web, bao gồm đồ
họa nhưng không bao gồm các tập lệnh và chương trình khác.
• Xác định cây thư mục riêng dành cho các chương trình, tập lệnh bên ngoài
được thực thi như một phần của nội dung web (CGI, ASP, PHP)
• Vô hiệu hóa thực thi của các tập lệnh mà không phải dùng tài khoản quản trị.
Hành động này được thực hiện bằng cách tạo ra và kiểm soát truy cập vào một
thư mục riêng biệt có chứa các tập lệnh ủy quyền
• Vô hiệu hóa việc sử dụng những liên kết cứng hay các liên kết mềm
• Xác định một ma trận truy cập nội dung web hoàn chỉnh. Xác định thư mục và
tập tin trong tài liệu máy chủ web nên được giới hạn và có thể truy cập
Đa số các nhà cung cấp phần mề máy chủ web đều cung cấp những lệnh cho phép
người quản trị web có thể giới hạn người dùng truy cập đến cá tập tin có chứa nội
dung máy chủ web. Ví dụ, phần mềm máy chủ web Apache cung cấp chỉ lệnh
<Limit>, cho phép người quản trị web có thể hạn chế truy cập đây là tính năng truy
cập tùy chọn (ví dụ như tạo mới, xóa, kết nối…) có liên quan đến tập tin có chứa nội
dung web; bất kỳ phương thức nào bị bỏ qua từ chỉ lệnh <Limit> sẽ được cho phép.
Với chỉ lệnh <Limit> quản trị viên có thể có những yêu cầu cụ thể phù hợp với hành
động được giới hạn. Apache cho phép quản trị web giới hạn nội dung để xác thực
người dùng hay nhóm người dùng.
2.2.3 URI và Cookies
URI viết tắt của Uniform Resource Identifiers – tham chiếu tài nguyên mạng
Địa chỉ URL (Uniform Resource Locator) được dùng để tham chiếu tới tài nguyên trên
Internet. URL mang lại khả năng siêu liên kết cho các trang mạng, các tài nguyên khác
nhau.
Một URL gồm các thành phần sau:
• Giao thức (ví dụ: http, ftp) nhưng cũng có thể là một cái tên khác (ví dụ: news,
mailto).
• Tên miền (ví dụ: example.com.vn, abc.vn).

• Mediabot được sử dụng bởi Google để phân tích nội dung phục vụ bởi một
trang AdSense
• Siêu liên kết “xác nhận” được sử dụng bởi Webmaster để tự động xác nhận các
liên kết trên trang web của họ
• EmailSiphon và Cherry Picker là những bot được thiết đặc biệt để thu thập các
trang web mail điện tử thêm vào để thêm vào danh sách thư rác. Đây là những
17
ví dụ phổ biến về chương trình có thể một tác động tiêu cực trên một trang web
hoặc người sử dụng
• Nhiều spambot thu thập các website để đăng nhập khung tạo ra những địa chỉ
email miễn phí từ đó gửi spam và spam rác các trang cá nhân, quest book, wiki
và những diễn đàn để đẩy thứ hạng tìm kiếm của 1 trang web lên
• Screen scaper lấy nội dung từ các trang web để đưa một bản sao trên máy chủ
web. Những bản sao này có thể được sử dụng để lừa đảo hoặc cố gắng để sinh
thêm doanh thu quảng cáo bằng cách hướng người dùng truy cập vào những
bản sao này
• Một số chương trình độc hại sẽ thu thập các website cho các ứng dụng có khả
năng có điểm yếu có chưa những dữ liệu nhạy cảm như thẻ tín dụng, số an sinh
xã hội)
Các bot có thể đưa ra thách thức cho các quản trị viên Webmaster của các máy chủ của
họ vì:
• Các máy chủ web thường chứa các thư mục không cần được chỉ mục
• Các tổ chức có thể không mong muốn một phần trong trang web của họ xuất
hiện trong công cụ tìm kiếm
• Máy chủ web thường chứa các trang web tạm thời mà không cần phải được lập
chỉ mục
• Các tổ chức thực hiện máy chủ web đang trả tiền cho bằng thông và muốn loại
trừ robot và spider mà không có lợi cho mục tiêu của họ
Quản trị web hoặc webmaster có thể
3 Bảo mật máy chủ web theo OWASP

những công cụ tự động.
19
Kiểm tra bộ lọc đầu vào của trang web có tốt và lọc được tốt nhất hay không, ngăn
chặn được các mã script hay không.
3.2 Kiểm tra lỗi SQL Injection cho dịch vụ web
c. Mô tả
Chèn các câu SQL vào các thể đầu vào phía máy khách, nếu khai thác thành công lỗi
này thì dữ liệu có thể bị đọc, chỉnh sửa, xóa…
d. Nội dung kiểm tra
Bước 1: Kiểm tra sự tồn tại của SQL
Kiểm tra các đầu vào thường là chèn thêm các dấu nháy đơn, nháy kép hoặc dấu chấm
phẩy vào các trường kiểm tra
Bước 2: Kiểm tra chèn các câu truy vấn
Chèn các câu truy vấn trả lại True để kiểm tra xem dữ liệu của người dùng mà dạng
xác thực có tồn tại, sau đó người dùng được cho phép đăng nhập vào hệ thống, ngược
lại truy vấn sẽ bị từ chối
3.3 Kiểm tra xác thực và quản lý phiên
-Kiểm tra xác thực: kiểm tra việc thiết lập và chứng thực có tin cậy hay không. Xác
thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, trong khi xác
thực một người dùng là việc thẩm tra nhận dạng của họ, việc xác thực thường phụ
thuộc vào một hoặc nhiều nhân tố xác thực để chứng minh cụ thể, kiểm tra xác thực có
nghĩa là hiểu quá trình xác thực làm việc như thế nào và sử dụng những thông tin này
để phá vỡ các cơ chế xác thực.
-Kiểm tra quản lý phiên làm việc
Phiên là khoảng thời gian mà người dùng giao tiếp với ứng dụng, tính từ lúc người
dùng bắt đầu sử dụng ứng dụng cho đến khi người dùng kết thúc sử dụng ứng dụng.
Điều khiển phiên về tổng thể sẽ bao gồm tất cả những điều khiển lên người dùng từ
xác thực cho đến khi rời khỏi ứng dụng.
Kiểm tra quản lý phiên làm việc có 5 bài kiểm tra khác nhau:
+Kiểm tra lược đồ quản lý phiên: kiểm tra xem cookie hay session token đã được tạo

rạc, kẻ tấn công có thể truy cập tất cả các loại dữ liệu như thế
Kiểm tra khả năng mắc phải lỗi này hay không:
Cách tốt nhất để xem một ứng dụng có bị lỗi này hay không là kiểm tra tất cả các đối
tượng tham chiếu có được bảo vệ hợp lý hay không.
- Đối với các liên kết trực tiếp tới các dữ liệu cần bảo vệ, ứng dụng cần phải kiểm tra
xem người dùng đang yêu cầu có được phép truy cập đến dữ liệu đó hay không?
- Nếu liên kết là một tham biến gián tiếp, việc chuyển biến đến dữ liệu trực tiếp phải
được giới hạn bởi những giá trị cho phép đối với người dùng hiện tại
21
3.5 Giả mạo yêu cầu CSRF
Mô tả: Bất cứ ai cũng có thể lừa người dùng của bạn gửi yêu cầu đến website. Bất cứ
website hoặc HTML feed mà người dùng có thể truy cập đến đều có thể bị sử dụng.
Kẻ tấn công có thể giả mạo một yêu cầu HTML và lừa nạn nhân gửi chúng đi qua các
thẻ hình ảnh, XSS, hoặc rất nhiều kỹ thuật khác. Nếu người dùng đã được xác thực,
việc tấn công sẽ thành công. Vì vậy cần phải kiểm tra xem mỗi đường liên kết hay
form chứa những giá trị không thể đoán được cho mỗi người sử dụng. Nếu không có
những giá trị như vậy, kẻ tấn công có thể giả mạo bất cứ yêu cầu nào. Tập trung vào
liên kết và form thực hiện những chức năng thay đổi trạng thái bởi vì những thứ ấy
thường là đối tượng tấn công của CSRF.
CSRF lợi dụng ứng dụng web cho phép kẻ tấn công đoán được tất cả những chi tiết
của một hành vi nào đó Vì trình duyệt gửi những thông tin như cookie phiên làm việc
tự động, kẻ tấn công có thể tạo những trang web độc mà tạo những yêu cầu giả không
khác biệt so với những trang thực Việc phát hiện CSRF tương đối dễ qua việc tấn công
thử nghiệm hoặc phân tích mã nguồn.
3.6 Kiểm tra sai sót cấu hình an ninh
Có thể là những kẻ tấn công nặc danh từ phía ngoài, hoặc người người dùng sở hữu tài
khoản muốn kiểm soát hệ thống. Cũng nên cân nhắc những đối tượng nội bộ muốn che
dấu hành động
Kẻ tấn công sử dụng tài khoản tài khoản mặc định, trang web không được sử dụng, lỗi
bảo mật chưa được vá, tập tin và thư mục không được bảo vệ để thu thâp thông tin

web lừa đảo hay phần mềm độc hại, hoặc chuyển tiếp để truy cập các trang trái phép

23