Bài giảng Seminar công cụ xác định lỗ hổng Website
Các công cụ nổi tiếng : WebScarab
Là công mã nguồn mở có giao diện
đơn giản , dùng để lắng nghe các
requests/responses thông qua local
proxy
Được những lập trình viên dùng để
debuge hoặc giải quyết những vấn đề
khó khăn liên quan đến HTTP(s) .
Acunetix
Acunetix WVS là công cụ kiểm tra lỗi của website một
cách tự động.
Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài
password.
AcuSensor là công nghệ phát hiện lỗi website theo hộp
đen.
Acunetix với Giao diên người dùng , phương pháp
báo cáo tiên tiến , dễ sử dụng
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "Bài giảng Seminar công cụ xác định lỗ hổng Website", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Bài giảng Seminar công cụ xác định lỗ hổng Website
SEMINAR CÔNG CỤ XÁC ĐỊNH LỖ HỔNG WEBSITE Trình bày : Võ Đỗ Thắng và Các cộng sự Giám Đốc Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng ATHENA www.Athena.Edu.Vn Nội dung : 1 Tổng Quan Các Lỗ Hổng Web 2 Giới thiệu Các Công Cụ Quét Lỗ Hổng Web 3 Một Số Demo Khai Thác Lỗ Hổng Web 4 Thảo Luận Company Logo Tổng Quan Về Mô Hình Web Các Nguy Cơ Rủi Ro Đối Với Web Giới thiệu về Các Công Cụ Quét Lổ Hổng WebSite Giới thiệu về Các Công Cụ Quét Lổ Hổng WebSite Acunetix Paros Havij NIKTO APP SCAN WebScarab . Tổng Quan Về Các Công Cụ Các công cụ nổi tiếng : APP SCAN Là công cụ nổi tiếng của IBM , dùng để kiểm tra các lỗi bảo mật thông qua vòng đời phát triển của ứng dụng Có thể xác định được hầu hết các lỗi phổ biến của site như SQLi, XSS đến các lỗi như BufferOverFlow, BackDoor . Tổng Quan Về Các Công Cụ Các công cụ nổi tiếng : WebScarab Là công mã nguồn mở có giao diện đơn giản , dùng để lắng nghe các requests/responses thông qua local proxy Được những lập trình viên dùng để debuge hoặc giải quyết những vấn đề khó khăn liên quan đến HTTP(s) . Tổng Quan Về Các Công Cụ Các công cụ nổi tiếng : Acunetix và Paros Sẽ được giới thiệu bên dưới DeMo Sử Dụng Một Số Công Cụ Quét Lổ Hổng WebSite Acunetix Acunetix WVS là công cụ kiểm tra lỗi của website một cách tự động. Các lỗi được kiểm tra : SQL Injection , XSS, Độ dài password. AcuSensor là công nghệ phát hiện lỗi website theo hộp đen. Acunetix với Giao diên người dùng , phương pháp báo cáo tiên tiến , dễ sử dụng Acunetix Lựa chọn target: File → New → Web site scan Acunetix Nhấn Next : Lựa chọn các công nghệ của webserver. Acunetix Nhấn Next : lựa chọn các chế độ Crawling. Acunetix Nhấn Next : lựa chọn các chế độ San. Heuristic , Quick, Extenvise. Acunetix Nhấn Finish. Acunetix Lấy lỗi . Click vào lỗi Launch the attack with HTTP Editor : Acunetix Phân tích trong HTTP Editor. Acunetix Ngoài ra Acunetix còn hỗ trợ một số Tools. Acunetix Acunetix WVS Report : tạo báo cáo chuyên nghiệp. Paros : Được viết bằng Java . Dùng để đánh giá lỗ hổng ứng dụng web thông qua web proxy. Hỗ trợ chỉnh sửa /các message HTTP / HTTPS , cookie Hỗ trợ Web Spider, Hash Calculator (MD5, SHA1) Là một công cụ Scan để kiểm tra các lỗi phổ biến trên web server như SQL Injection , XSS Paros : Thiết lập Local Proxy : Paros : Thiết lập cho Web browers Firefox : Tools Options Advanced Network Settings Paros : Dùng firefox để truy cập vào site cần test. Truy cập vào những phần cần test. Mở Paros lên Vào Anlyse Scan Paros : Sau khi Scan kết thú vào Report Last Scan Report Paros : Một số công cụ bổ sung : Tools . Havij Công cụ dùng để khai thác lỗi SQL – Injection của website. Có 2 phiên bản free and shareware Có thể sử dụng để khai thác những lỗi SQL – Injection phổ biến. Havij Kết quả thu được Havij Dữ liệu trong các table: Havij Kết nối với các website crack hashed_password: Havij Lưu dữ liệu lấy được dưới dạng HTML: Demo Khai Thác Một Số Lổ Hổng Website (Website demo chỉ có giá trị nội bộ trong buổi Seminar)
File đính kèm:
- bai_giang_seminar_cong_cu_xac_dinh_lo_hong_website.pdf