Xem các trường hợp
triển khai khác

2025/10/09

Share

  • Share on Facebook
  • Share on Twitter

Đánh giá lỗ hổng bảo mật bằng CxSAST cho các website Đánh giá lỗ hổng bảo mật bằng CxSAST cho các website

Tổng quan dự án

Chúng tôi rà soát kết quả quét tự động của CxSAST đối với từng website của khách hàng, loại trừ cảnh báo phát hiện sai và xác định các lỗ hổng thực sự. Nội dung cảnh báo được đối chiếu với mã nguồn và luồng xử lý để phân biệt True Positive/False Positive. Với các lỗ hổng xác thực, chúng tôi tổng hợp thành báo cáo đánh giá gồm nguyên nhân, tác động và biện pháp khuyến nghị, trình bày theo định dạng có thể sử dụng ở cả góc độ kỹ thuật và quản trị.

Danh mục kỹ thuật & công cụ sử dụng

  • Ngôn ngữ lập trình: PHP, Perl
  • Khung back-end: CakePHP 2.x, Mojolicious
  • Công cụ quản lý tác vụ: Excel
  • Công cụ giao tiếp: Redmine

Thách thức của khách hàng

  • Không rõ tính xác thực của cảnh báo
    Khối lượng phát hiện từ quét tự động rất lớn nhưng lẫn nhiều phát hiện sai, khiến việc đánh giá trở nên khó khăn.
  • Mức độ ưu tiên xử lý mơ hồ
    Không xác định được lỗ hổng nào có rủi ro thực tế, dẫn đến khó phân bổ nguồn lực hạn chế.
  • Thiếu báo cáo có thể dùng ngay trong vận hành
    Chưa có báo cáo đánh giá rõ ràng, hỗ trợ ra quyết định cho cả phía kỹ thuật và quản trị.

Yêu cầu của khách hàng

  • Thẩm định từng cảnh báo dựa trên nguyên tắc bảo mật web và hành vi thực tế của mã.
  • Đọc và phân tích mã nguồn để xác nhận nguyên nhân gốc rễ.
  • Phân loại rõ True Positive/False Positive.
  • Đề xuất biện pháp xử lý cho từng lỗ hổng thực sự.
  • Trình bày kết quả theo định dạng thuận tiện cho cả bộ phận kỹ thuật và quản trị.

Đề xuất & phương pháp tiếp cận của chúng tôi

  • Phân tích dựa trên tri thức
    Đánh giá lại các cảnh báo theo nguyên tắc bảo mật web và góc nhìn triển khai, đối chiếu giả định của logic phát hiện với khác biệt trong thực thi.
  • Đối chiếu mã và truy vết luồng xử lý
    Xác thực báo cáo bằng mã nguồn và luồng xử lý; theo dõi đường đi dữ liệu từ đầu vào đến đầu ra và kiểm tra việc làm sạch/sanitization để làm rõ nguyên nhân và mức độ tác động.
  • Lập bảng phân loại
    Phân loại từng cảnh báo thành True/False, ghi chú ngắn gọn căn cứ đánh giá, phạm vi ảnh hưởng và điều kiện phát sinh dự kiến.
  • Đề xuất biện pháp cụ thể
    Với lỗ hổng thực sự, đề xuất chỉnh sửa mã hoặc thay đổi cấu hình; nêu rõ vị trí áp dụng và hiệu quả kỳ vọng để có thể triển khai ngay.

Related Case Studies

Các trường hợp triển khai
được đọc kèm theo

01

02

Liệu chúng ta còn cần đến từ ‘offshore’ nữa không? Xây dựng mô hình phát triển cùng ALLEXCEED VIỆT NAM (Phần 2)

Liệu chúng ta còn cần đến từ ‘offshore’ nữa không? Xây dựng mô hình phát triển cùng ALLEXCEED VIỆT NAM (Phần 2)

IT và viễn thông

  • Phát triển phần mềm
Liệu chúng ta còn cần đến từ ‘offshore’ nữa không?” Xây dựng mô hình phát triển cùng ALLEXCEED VIỆT NAM (Phần 1)

Liệu chúng ta còn cần đến từ ‘offshore’ nữa không?” Xây dựng mô hình phát triển cùng ALLEXCEED VIỆT NAM (Phần 1)

IT và viễn thông

  • Phát triển phần mềm
Giao tiếp để phát triển offshore thành công 「Trước hết, hãy thử một lần xem sao」 – Một lời khuyên phát triển offshore từ góc nhìn thực tế (Phần cuối)

Giao tiếp để phát triển offshore thành công 「Trước hết, hãy thử một lần xem sao」 – Một lời khuyên phát triển offshore từ góc nhìn thực tế (Phần cuối)

CÔNG TY CỔ PHẦN ALLEXCEED

IT và viễn thông

  • Phát triển phần mềm
Giao tiếp để phát triển offshore thành công -「Trước hết, hãy thử một lần xem sao」 – Một lời khuyên phát triển offshore từ góc nhìn thực tế (Phần đầu)

Giao tiếp để phát triển offshore thành công -「Trước hết, hãy thử một lần xem sao」 – Một lời khuyên phát triển offshore từ góc nhìn thực tế (Phần đầu)

CÔNG TY CỔ PHẦN ALLEXCEED

IT và viễn thông

  • Phát triển phần mềm

01

02

Xem các trường hợp
triển khai khác