Khái quát dự án

Sau khi hoàn tất quá trình phát triển hệ thống web, chúng tôi đã thực hiện đánh giá bảo mật toàn diện trước khi đưa vào vận hành chính thức. Mục tiêu của dự án là phát hiện sớm các rủi ro bảo mật tiềm ẩn trong hệ thống, đảm bảo dịch vụ được phát hành trong trạng thái an toàn nhất.

Chúng tôi đã đề xuất và thực hiện quy trình chẩn đoán sử dụng công cụ kiểm tra lỗ hổng ứng dụng web “VEX (Vulnerability EXplorer)”. Bằng cách kiểm tra toàn diện tất cả các màn hình và chức năng của hệ thống, chúng tôi đã xác định các lỗ hổng tiềm ẩn và đánh giá mức độ nghiêm trọng của chúng. Ngoài ra, các kỹ sư chuyên môn đã xem xét kỹ lưỡng kết quả quét tự động của công cụ để loại bỏ các cảnh báo sai (false positive), từ đó tạo ra báo cáo chẩn đoán chính xác. Báo cáo bao gồm các đề xuất sửa chữa cụ thể cho từng lỗ hổng được phát hiện, giúp hiện thực hóa việc phát hành hệ thống đáp ứng đầy đủ các tiêu chuẩn an toàn.

Stack kỹ thuật đã sử dụng và tool phát triển

• Ngôn ngữ lập trình: Perl, PHP
• Database: MySQL, MariaDB
• Tool quản lý task: Excel
• Communication tool: Redmine

Vấn đề cần giải quyết của khách hàng

• Xác định các lỗ hổng tiềm ẩn và trực quan hóa mức độ rủi roĐối với hệ thống web đã hoàn thiện phát triển, khách hàng cần xác minh xem liệu có còn tồn tại các lỗ hổng bảo mật có thể trở thành mục tiêu tấn công từ bên ngoài hay không. Đặc biệt, nếu tồn tại lỗ hổng, việc đánh giá khách quan mức độ nghiêm trọng của nó (ví dụ: có dẫn đến rò rỉ thông tin hay ngưng trệ hệ thống hay không) là bắt buộc. Do khách hàng không có đội ngũ đánh giá bảo mật chuyên trách nội bộ, nên việc thực hiện chẩn đoán toàn diện để nắm bắt chính xác vị trí và mức độ rủi ro là nhiệm vụ cấp bách.
• Có được căn cứ cụ thể để ra quyết định và sửa chữaKhông chỉ dừng lại ở cảnh báo “có nguy hiểm”, khách hàng cần thông tin chi tiết để hiểu rõ vấn đề nằm ở đâu trong hệ thống và rủi ro bị tấn công như thế nào. Khi các nhà cung cấp phát triển hoặc đội ngũ vận hành nội bộ thực hiện sửa chữa, họ cần tài liệu để đánh giá ưu tiên và xử lý hiệu quả. Do đó, thách thức đặt ra là phải cung cấp báo cáo giải thích rủi ro về mặt kỹ thuật và làm cơ sở rõ ràng để quyết định các biện pháp khắc phục phù hợp.

Yêu cầu của khách hàng

• Kiểm tra toàn diện hệ thống sử dụng VEXYêu cầu đặt ra là lựa chọn công cụ kiểm tra lỗ hổng có độ tin cậy cao là “VEX” để kiểm tra hệ thống một cách không bỏ sót. Khách hàng yêu cầu chẩn đoán bảo mật không góc chết bằng cách bao phủ không chỉ các chức năng quan trọng mà còn mọi chuyển đổi màn hình và biểu mẫu nhập liệu trong hệ thống. Điều này nhằm mục đích giảm thiểu tối đa rủi ro xảy ra các sự cố bảo mật không mong muốn sau khi phát hành.
• Tinh chỉnh kết quả quét và loại bỏ cảnh báo sai (False Positive)Trong quá trình quét bằng công cụ tự động, thường xuất hiện các “cảnh báo sai (False Positive)” – tức là phát hiện hành vi không thể bị tấn công thực tế như một lỗ hổng. Khách hàng yêu cầu mạnh mẽ việc trích xuất chỉ những “lỗ hổng thực sự” cần xử lý từ khối lượng lớn kết quả quét. Để giảm thiểu công sức sửa chữa lãng phí và tập trung nguồn lực vào các điểm nguy hiểm thực sự, cần có kết quả chẩn đoán độ chính xác cao thông qua việc kiểm tra và phân tích thủ công bởi kỹ sư.
• Cung cấp báo cáo cuối cùng bao gồm các biện pháp đối phó cụ thểNgoài việc báo cáo kết quả chẩn đoán, việc đưa ra các biện pháp đối phó cụ thể về cách sửa chữa hoặc giảm thiểu các lỗ hổng được phát hiện là một yêu cầu bắt buộc. Khách hàng mong đợi một báo cáo tổng kết chứa các lời khuyên thực tế, chẳng hạn như quy trình tái hiện và ví dụ mã sửa chữa, để người phụ trách phát triển có thể bắt tay vào công việc sửa chữa ngay lập tức khi xem báo cáo, góp phần trực tiếp vào việc nâng cao tính an toàn của hệ thống.

Đề xuất và cách tiếp cận từ phía chúng tôi

• Thiết kế và xây dựng bản đồ kịch bản (Scenario Map) toàn diện bằng VEXĐể tránh bỏ sót trong quá trình chẩn đoán, chúng tôi đã tạo “Scenario Map” chi tiết trên công cụ VEX trước khi thực hiện quét. Đây là quy trình trực quan hóa luồng chuyển đổi màn hình và chức năng trong hệ thống web để công cụ học hỏi. Bằng cách lập bản đồ mọi lộ trình thao tác mà người dùng có thể thực hiện, từ đăng nhập đến các xử lý nghiệp vụ phức tạp, chúng tôi đã áp dụng phương pháp tiếp cận đảm bảo độ bao phủ kiểm tra gần như 100% đối với toàn bộ màn hình và chức năng.
• Phân tích và sàng lọc kết quả quét bởi kỹ sư chuyên mônSau khi thực hiện quét tự động bằng VEX dựa trên kịch bản đã tạo, các kỹ sư có kiến thức bảo mật đã tiến hành kiểm tra từng log phát hiện trong số lượng lớn kết quả đầu ra. Không chấp nhận kết quả của công cụ một cách máy móc, chúng tôi đã xác nhận xem mã tấn công có thực sự hoạt động hay không, hay đó là hành vi theo thiết kế hệ thống, và loại bỏ triệt để các cảnh báo sai (False Positive). Bằng cách chỉ trích xuất các lỗ hổng thực sự cần xử lý (True Positive), chúng tôi đã đưa ra kết quả chẩn đoán có độ tin cậy cao.
• Lập báo cáo phân loại theo mức độ nghiêm trọng và đề xuất sửa chữaChúng tôi đã tổng hợp thông tin lỗ hổng đã được tinh chỉnh và phân loại theo mức độ nghiêm trọng sử dụng các tiêu chuẩn như CVSS (Hệ thống đánh giá lỗ hổng phổ biến). Chúng tôi làm rõ các mức độ ưu tiên như “Khẩn cấp”, “Quan trọng”, “Cảnh báo” và đề xuất thứ tự cần xử lý. Hơn nữa, đối với mỗi lỗ hổng, chúng tôi cung cấp báo cáo ghi rõ các biện pháp đối phó cụ thể và khả thi, chẳng hạn như phương pháp sửa chữa ở cấp độ mã nguồn hoặc giải pháp thay thế bằng thay đổi cấu hình, nhằm hỗ trợ quy trình sửa chữa lỗ hổng diễn ra suôn sẻ.