GIỚI THIỆU Với hơn 90% các ứng dụng Web có mắc các lỗi bảo mật và hơn 70% các tấn công là vào các giao thức HTTP/S. Chính vì vậy, các tổ chức cần phải bổ sung các công cụ mạng để bảo đảm cho các ứng dụng Web của họ. | Bảo mật ứng dụng Web kiểm tra thâm nhập thủ công hay quét tự động GIỚI THIỆU Với hơn 90 các ứng dụng Web có mắc các lỗi bảo mật và hơn 70 các tấn công là vào các giao thức HTTP S. Chính vì vậy các tổ chức cần phải bổ sung các công cụ mạng để bảo đảm cho các ứng dụng Web của họ. Tỷ lệ phần trăm của các tấn công xuất hiện trên cổng 80 và 443 dường như rất lớn mặt khác ở đây là các cổng này gần như là cửa trước để tổ chức truyền thông online. Ngày nay khi các ứng dụng Web ngày càng trở nên phức tạp thì một số lượng lớn các dữ liệu nhạy cảm trong đó có thông tin cá nhân tài chính y tế được trao đổi và lưu trữ. Các khách hàng không chỉ mong đợi mà chính bản thân họ còn yêu cầu cần được bảo mật các thông tin này. Nhưng việc đánh giá một ứng dụng Web sẽ đi đến đâu bằng việc kiểm tra ứng dụng theo phương pháp thủ công hay bằng các công cụ và hệ thống tự động. Nó cho ta thấy từ các khái niệm bằng việc mô hình hóa rủi ro bảo mật được giới thiệu trong các ứng dụng cũng như các biện pháp đối phó khác được thêm vào bổ sung. Sự bảo mật cần phải được xem như là các thành phần quan trọng khác trong mỗi ứng dụng phải được phân tích xem xét qua từng bước trong mỗi chu kỳ sử dụng của ứng dụng. Việc tìm ra các lỗ hổng trong các ứng dụng Web có thể được thực hiện bằng nhiều cách Tự động Bằng các công cụ quét Sự phân tích tĩnh Thủ công Kiểm tra sự thâm nhập Xem xét lại code Mục đích chính của bài viết này là để kiểm tra các phương pháp phát hiện lỗ hổng đặc biệt là việc so sánh giữa phương pháp tự động và phương pháp kiểm tra sự thâm nhập thủ công. LỊCH SỬ Việc kiểm tra sự thâm nhập bảo mật thủ công là phương pháp đã có từ lâu. Các nhà phát triển kiểm tra các lỗ hổng ứng dụng của họ và các vấn đề trong suốt thời gian tồn tại của ứng dụng. Tuy nhiên khi mà các tấn công ngày càng tinh vi và các ứng dụng phức tạp ngày một tăng thì mục tiêu của các chuyên gia là tìm ra và khai thác các vấn đề bảo mật như vậy càng thể hiện rõ. Những người này được biết đến như là các cây kiểm tra . Việc kiểm