Posts

Showing posts from October, 2020

An toàn thông tin ứng dụng Web

Hi all! Do quá nhiều bạn pm hỏi mình về cuốn "Hướng dẫn Audit ứng dụng web" có bán trên Google Book, mà thực ra mình không có upload lên đó. Có thể 1 bạn học viên ngày trước của mình đã upload lên.  Cuốn đó là part 4 trong bộ đào tạo về ATTT ứng dụng web. Mình viết cũng khá lâu rồi (từ 2014, nay được 7 năm). Nội dung về nhiều mảng ATTT ứng dụng web, từ khái niệm cơ bản, các nguy cơ, cách bảo vệ (nguyên lý, phương pháp, và đánh giá). Link của cuốn này mọi người có thể tham khảo trong đây nhé. PHẦN 1: KIẾN THỨC CƠ SỞ I. Kiến trúc ứng dụng web. 1. Các thành phần hệ thống ứng dụng web 2.  Giao thức HTTP, HTTPS 3.  Nguyên lý hoạt động của WebServer II. Các thành phần ứng dụng web 1.  URL – Uniform Resource Locator 2.  URI – Uniform Resource Identifiers 3.  HTML 4.  Javascript 5. CSS 6.  Cookie 7.  Session 8.  View-state III.Các công nghệ phổ biến trong phát triển ứng dụng web 1.  JSON 2.  XML 3.  XHTML 4.  HTML5 5.  AJAX 6.  Web 2.0 7.

ATTT Ứng dụng Web - PHẦN 4: ĐÁNH GIÁ AN TOÀN THÔNG TIN ỨNG DỤNG WEB

Image
PHẦN 4: ĐÁNH GIÁ AN TOÀN THÔNG TIN ỨNG DỤNG WEB I.  Quy trình đánh giá an toàn thông tin ứng dụng web Greybox 1.  Các phương pháp đánh giá an toàn thông tin ứng dụng web 1.1 Tại sao cần đánh giá an toàn thông tin ứng dụng web Hiện nay, Website và các ứng dụng dựa trên nền web ngày càng đa dạng và phổ biến. Các công ty ngày càng dựa vào web để phục vụ cho các hoạt động kinh doanh của mình, bởi vì: Website là bộ mặt của công ty ( giới thiệu thông tin về công ty) nhận trả lời các phẩn hồi từ người dùng. Website là nơi cung cấp dịch vụ của công ty ( mua bán hàng hóa, thanh toán trực tuyến…). Tuy nhiên, nhiều ứng dụng web vẫn còn tồn tại những lỗ hổng nghiêm trọng chưa được sửa chữa. Do đó, cần phải thực hiện đánh giá điểm yếu an ninh hệ thống website,  nhắm tới mục tiêu: Phát hiện ra những lổ hổng bảo mật nằm trong các ứng dụng Web/Website của hệ thống website có nguy cơ bị tấn công và phá hoại. Từ những kết quả thu thập được của việc dò quét sử dụng các kỹ thuật để tấn công thử nghiệm vào