Hạng mục công việc trong Pentest bạn cần biết
2 min readJan 11, 2018
Pentest là một quy trình nhằm đánh giá xem website, hệ thống, thiết bị, ứng dụng có an toàn, bảo mật hay không. Vậy khi tiến hành Pentest chúng ta cần thực hiện những hạng mục gì? Đọc tiếp nhé!
1.Pentest website
- Kiểm tra cấu trúc website, xây dựng cây thông tin thư mục
- Đánh giá các thông tin liên quan tới máy chủ, hệ điều hành
- Đánh giá bảo mật cho web service
- Rà quét những lỗ hổng nguy hiểm nhất Website như: SQL innjection, LDAP, XPATH, XML, XSS..
- Đánh giá lỗ hổng trong các dịch vụ web: Buffer Overflow, Memory Corruption
- Rà quét lỗ hổng, nguy cơ tấn công trong các khu vực quản trị, phân quyền.
- Kiểm tra giao thức Web SSL, SNMP…
Bạn đang cần Pentest website? Bạn muốn rà quét lỗ hổng? Tham Khảo Ngay dịch vụ Pentest của SecurityBox.
Xem thêm: Quy trình phân tích mã độc Tại đây
2.Đánh giá cho hạ tầng mạng
- Kiểm tra cấu trúc hệ thống mạng
- Đánh giá các hệ thống giám sát mạng, hệ thống firewall trong phần: cấu hình, cấu trúc, quản trị, chính sách, lỗi bảo mật, tính sẵn sàng…
- Kiểm tra thiết bị xâm nhập mạng IPS
- Pentest cho các thiết bị VPN
- Đánh giá Router/ Switch
- Khi tiến hành, chúng ta nên kiểm tra cấu hình, xác thực, phần phân quyền, kierm soát đầu vào đầu ra, nhật ký…
3.Đánh giá cho hệ thống Web Sever
- Kiểm tra xem hệ thống đang dùng máy chủ gì (Windows hay linux)
- Kiểm tra phiên bản máy chủ, kiểm tra các cổng dịch vụ, chính sách bảo mật, mật khẩu, dữ liệu, rà soát quyền truy cập vào máy chủ
- kiểm tra cân bằng tải, cơ sở dữ liệu, khả năng phòng chống của hệ thống máy chủ.
Một số tiêu chuẩn đánh giá Pentest theo chuẩn quốc tế
- Trong các tiêu chuẩn đánh giá Pentest hiện nay thì OWASP là quy trình Pentest được áp dụng hơn cả. Ngoài ra còn 2 tiêu chuẩn như PTES, NIST cũng được nhiều đơn vị áp dụng.
THAM KHẢO THÊM:
Checklist kiểm thử ứng dụng Web