Đang tải... (xem toàn văn)
Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)Nghiên cứu các kỹ thuật kiểm thử bảo mật ứng dụng Web (Luận văn thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - THÁI THỊ MỸ HẠNH NGHIÊN CỨU CÁC KỸ THUẬT KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB LUẬN VĂN THẠC SỸ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2020 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - THÁI THỊ MỸ HẠNH NGHIÊN CỨU CÁC KỸ THUẬT KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ : 8.48.01.04 LUẬN VĂN THẠC SỸ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS LÊ HỮU LẬP HÀ NỘI – 2020 LỜI CAM ĐOAN Luận văn thành trình học tập nghiên cứu tơi giúp đỡ, khuyến khích Q thầy cơ, đặc biệt PGS.TS Lê Hữu Lập sau hai năm theo học chương trình đào tạo Thạc sỹ, chuyên ngành Hệ thống thơng tin Học viện Cơng nghệ Bưu Viễn thơng Tơi xin cam đoan cơng trình nghiên cứu riêng Nội dung luận văn có tham khảo sử dụng số thông tin, tài liệu từ nguồn sách, tạp chí liệt kê danh mục tài liệu tham khảo trích dẫn hợp pháp Tác giả (Ký ghi rõ họ tên) Thái Thị Mỹ Hạnh LỜI CẢM ƠN Sau thời gian dài học tập nghiên cứu, cuối tơi hồn thành luận văn tốt nghiệp này, dịp tốt để tơi bày tỏ lòng biết ơn sâu sắc đến người Tơi xin gửi lời cảm ơn sâu sắc đến thầy Lê Hữu Lập, tận hình hướng dẫn, định hướng cho suốt thời gian thực đề tài Thầy cho tơi lời khun q báu để hồn thành tốt luận văn Tôi xin cảm ơn Khoa Sau Đại học, Khoa Công Nghệ Thông Tin – Học viện Cơng nghệ Bưu Viễn thơng, cảm ơn thầy khoa tận tình giảng dạy, truyền đạt cho kiến thức quý báu năm học vừa qua, giúp cho tơi có tảng kiến thức vững để thực luận văn nghiên cứu học tập sau Cuối cùng, xin gửi lời cảm ơn đến tất bạn bè, anh, chị, đồng nghiệp, người giúp đỡ, khích lệ phê bình, góp ý, giúp tơi hồn thành luận văn cách tốt Hà Nội, tháng 12 năm 2019 Thái Thị Mỹ Hạnh iii MỤC LỤC DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT vi DANH MỤC BẢNG BIỂU viii DANH MỤC HÌNH VẼ, SƠ ĐỒ ix MỞ ĐẦU Chương TỔNG QUAN VỀ BẢO MẬT VÀ CÁC LỖ HỔNG BẢO MẬT TRÊN WEB……………………………………………………….…………………4 1.1 Tổng quan bảo mật [1], [2] .4 1.1.1 Bảo mật website 1.1.2 Bảo mật ứng dụng web 1.2 Các lỗ hổng bảo mật [3], [4], [8] 1.2.1 A1: Injection 1.2.2 A2: Lỗi xác thực (Broken Authentication) 1.2.3 A3: Rò rỉ liệu nhạy cảm (Sensitive Data Exposure) .10 1.2.4 A4: Tấn cơng thực thể bên ngồi XML (XML External EntitiesXEE)………………………………………………………………………… 11 1.2.5 A5: Kiểm soát truy cập bị hỏng ( Broken Access Control ) .12 1.2.6 A6: Lỗi cấu hình (Security Misconfiguration) 12 1.2.7 A7: Lỗ hổng Cross Site Scripting- XSS .13 1.2.8 A8: Chuyển đổi cấu trúc liệu khơng an tồn(Insecure Deserialization) 14 iv 1.2.9 A9: Sử dụng thành phần có lỗ hổng (Using Components with Know Vulnerabilities) .15 1.2.10 A10: Không ghi nhật ký giám sát đầy đủ (Insufficient Logging & Monitoring) 15 1.3 Tình trạng cơng trang web [17] 16 1.4 Kết chương 19 Chương CÁC KỸ THUẬT KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB .20 2.1 Kiểm thử bảo mật ứng dụng web [2], [7] 20 2.1.1 Ứng dụng web 20 2.1.2 Kiểm thử bảo mật ứng dụng web .21 2.2 Phân loại kiểm thử bảo mật .24 2.2.1 Kiểm thử yêu cầu thiết kế 24 2.2.2 Kiểm thử mã nguồn 24 2.2.3 Kiểm thử thiết lập trình duyệt 24 2.2.4 Kiểm thử tường lửa 25 2.3 Quy trình kiểm thử bảo mật [3] 25 2.3.1 Giai đoạn khám phá 25 2.3.2 Đánh giá lỗ hổng .26 2.3.3 Giai đoạn khai thác .29 2.3.4 Giai đoạn báo cáo .30 2.4 Các kỹ thuật kiểm thử bảo mật [5], [6], [8], [9] 30 2.4.1 Kiểm thử hộp đen .31 v 2.4.2 Kiểm thử hộp trắng .35 2.5 Đánh giá kỹ thuật kiểm thử bảo mật 40 2.6 Kết chương 41 Chương CÁC CÔNG CỤ KIỂM THỬ VÀ THỰC NGHIỆM KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB 42 3.1 Giới thiệu công cụ kiểm thử Zed Attack Proxy [7] 42 3.1.1 Tổng quan 42 3.1.2 Mơ hình hoạt động 43 3.2 Thực nghiệm kiểm thử bảo mật dựa Web dựa ZAP 43 3.2.1 Giai đoạn lập kế hoạch khám phá 43 3.2.2 Đánh giá lỗ hổng .51 3.2.3 Giai đoạn khai thác .52 3.2.4 Giai đoạn báo cáo .54 3.3 Đánh giá 58 KẾT LUẬN 59 Những đóng góp luận văn 59 Hướng phát triển .60 TÀI LIỆU THAM KHẢO 61 PHỤ LỤC 1: DANH SÁCH URL QUÉT ĐƯỢC 63 vi DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT STT Từ viết tắt API CSDL CSRF DAST DOM DDos HTTP ID ISECOM 10 OWASP Tiếng Việt Giao diện lập trình ứng dụng Cơ sở liệu Tiếng Anh Application Programming Interface Database Giả mạo yêu cầu Cross Site Request trang web Forgery Kiểm tra bảo mật ứng dụng Dynamic Application động Security Testing Mô hình Đối tượng Tài liệu Document Object Model Tấn cơng từ chối dịch vụ phân Distributed Denial of tán Service Giao thức truyền tải siêu văn Hypertext Transfer Protocol Nhận dạng Identification Viện bảo mật phương pháp Institute for Security and mở Open Methodologies Dự án mở bảo mật ứng Open Web Application dụng web Security Project vii 11 PHP Ngơn ngữ lập trình kịch Hypertext Preprocessor 12 SAST Kiểm tra bảo mật ứng dụng Static Application tĩnh Security Testing 13 SQL Ngôn ngữ truy vấn liệu 14 XML Ngôn ngữ đánh dấu mở rộng 15 XSS Lỗ hổng Cross-site scripting Cross Site Scripting 16 URL Định vị Tài nguyên thống Uniform Resource Locator Structured Query Language Extensible Markup Language viii DANH MỤC BẢNG BIỂU Bảng 2.1: So sánh kiểm thử bảo mật thủ công tự động 29 Bảng 3.1: Tổng hợp lỗ hổng bảo mật web: duticrm.info .54 Bảng 3.2 Tổng hợp lỗ hổng bảo mật web: https://hack-yourself-first.com/ 57 50 Tiến trình trình quét hoạt động theo dõi từ cửa sổ Progress Information Hình 3.10: Cửa sổ Progress Information Các lỗ hổng bảo mật thống kê chi tiết tab Alerts, Request bị lỗi liệt kê chi tiết Sau Đọc thông tin lỗi, thực tiến hành tái tạo lỗi Có màu thể mức độ nguy hiểm từ cao đến thấp Đỏ (Cao) ➡ Cam (Trung bình) ➡ Vàng (Thấp)➡ Xanh (Rất thấp): - Cao: Kẻ cơng xâm nhập thỏa hiệp hệ thống /hoặc có quyền truy cập vào thơng tin hệ thống có độ nhạy cảm cao Điều dẫn đến việc trộm cắp liệu riêng tư nhạy cảm - Trung bình: Kẻ cơng có quyền truy cập vào thơng tin hệ thống dẫn đến công khác thỏa hiệp tồn hệ thống Điều dẫn đến hành vi trộm cắp liệu cá nhân nhạy cảm 51 - Thấp: Kẻ cơng truy cập vào hệ thống thông tin để hỗ trợ công cụ thể dẫn đến hành vi trộm cắp liệu cá nhân nhạy cảm - Rất thấp: Tất mục cấp độ đơn giản cung cấp thông tin bổ sung cho thơng tin có sẵn hệ thống thử nghiệm Nó khơng ngụ ý hệ thống bị tổn thương hay khơng Hình 3.11: Thống kê lỗ hổng bảo mật Khi click vào lỗ hổng, nhìn vào cột bên cạnh ta thấy thông tin lỗ hổng giải pháp sửa chữa lỗ hổng đưa 3.2.2 Đánh giá lỗ hổng Ví dụ tab Alert ta thấy có lỗi: Absence of Anti-CSRF Tokens, tiến hành phân tích, đánh giá lỗi ta có thơng tin sau: - CSRF (Cross Site Request Forgery) kĩ thuật công cách sử dụng quyền chứng thực người sử dụng website khác CSRF kiểu công hacker lợi dụng phiên làm việc trình duyệt để thực hành động mà khơng biết Thường kết hợp với 52 hình thức social engineering (dẫn dụ người dùng click đường link load lại trang… mà user không rõ) Hacker tạo trang web giả mạo giống trang web vừa truy cập, chứa thông tin giống form thật Nhưng người dùng thực giao dịch bị thông tin - Giả mạo yêu cầu nhiều trang web công liên quan đến việc buộc nạn nhân gửi yêu cầu HTTP đến đích mà khơng có kiến thức ý định họ để thực hành động với tư cách nạn nhân Nguyên nhân chức ứng dụng sử dụng hành động URL/ biểu mẫu dự đoán theo cách lặp lại Bản chất công CSRF khai thác niềm tin mà trang web dành cho người dùng - Một kỹ thuật để phòng chống CSRF sử dụng CSRF Token Tạo token tương ứng với form, token form thường hàm tạo token nhận đối số là"SESSION" lưu thông tin SESSION Khi nhận lệnh HTTP POST về, hệ thống thực so khớp giá trị token để định có thực hay không 3.2.3 Giai đoạn khai thác Giai đoạn ta sử dụng thông tin thu thập với kinh nghiệm để tiến hành dò tìm xác thực lỗ hổng tồn hệ thống website Tiếp lỗ hổng bên trên: Absence of Anti-CSRF Tokens, tiến hành tái tạo lại thủ công lỗ hổng ta được: Tại trang đăng ký người dùng: nhập Tên người dùng = ZAP; Email = foobar@example.com, hiển thị thông báo lỗi sau: 53 Hình 3.12: Giao diện Đăng ký người dung Về kỹ thuật Anti-CSRF token: người dùng gửi form tạo request chứng thực yêu cầu cookie, mã token anti-CSRF nên bao gồm request Ứng dụng web xác nhận token tồn xác trước xử lý u cầu Nếu token khơng có khơng request bị từ chối Nhìn từ phần Request thể tool ZAP, gửi thông tin yêu cầu đăng nhập, khơng tìm thấy dòng chứa Anti-CSRF token: POST https://duticrm.info/wp-login.php?action=register HTTP/1.1 UserAgent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0 10 Pragma: no-cache Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded Content-Length: 93 Referer: https://duticrm.info/wp-login.php?action=register Host: duticrm.info Cookie: wordpress_test_cookie=WP+Cookie+check user_login=ZAP&user_email=foo-bar%40example.com&redirect_to=&wpsubmit=%C4%90%C4%83ng+k%C3%BD 54 3.2.4 Giai đoạn báo cáo Theo thống kê cảnh báo lỗ hổng từ Mơ-đun Alert, ta có bảng Tổng hợp báo cáo sau: Có 179 lỗ hổng tìm thấy với mức độ nguy hại: Medium (Trung bình), Low (Thấp), Informational (Rất thấp): Bảng 3.1: Tổng hợp lỗ hổng bảo mật web: duticrm.info No Type Number issues Severity X-Frame-Options Header Not Set Medium Absence of Anti-CSRF Tokens 23 Low Cookie No HttpOnly Flag 25 Low Cookie Without Secure Flag 16 Low Incomplete or No Cache-control and 38 Low Low Pragma HTTP Header Set Cross-Domain JavaScript Source File Inclusion Web Browser XSS Protection Not Enabled 16 Low X-Content-Type-Options Header Missing 55 Low Charset Mismatch Informational Từ báo cáo tổng quát, lập báo cáo chi tiết loại Lỗ hổng: Với lỗ hổng Absence of Anti-CSRF Tokens Phân tích trên, ta có mẫu báo cáo sau Các lỗ hổng khác, báo cáo tiến hành tương tự ◉ Title: Absence of Anti-CSRF Tokens ◉ Details: No Anti-CSRF tokens were found in a HTML submission form ◉ Severity: Low ◉ Steps: Go to: https://duticrm.info/wp-login.php?action=register 55 Enter the script in Username/Email textbox: user_login=ZAP&user_email= foo-bar@example.com ◉ Request: 11 POST https://duticrm.info/wp-login.php?action=register HTTP/1.1 12 UserAgent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0 13 14 15 16 17 18 19 20 Pragma: no-cache Cache-Control: no-cache Content-Type: application/x-www-form-urlencoded Content-Length: 93 Referer: https://duticrm.info/wp-login.php?action=register Host: duticrm.info Cookie: wordpress_test_cookie=WP+Cookie+check user_login=ZAP&user_email=foo-bar%40example.com&redirect_to=&wpsubmit=%C4%90%C4%83ng+k%C3%BD ◉ Response: 10 Form đăng ký ‹ DutiCRM — WordPress 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 document.body.className = document.body.className.replace('nojs','js'); 28 29 56 30 Xây dựng WordPress 31Đăng ký web này
32 LỖI: Tên người dùng đăng k ý Vui lòng chọn tên khác. 33 Lỗi: Thư điện tử sử dụng, chọn địa khác 34 35 3637 Tên người dùng 38 39
4041 Email 42 43
4445 Email xác nhận gửi tới hộp thư bạn
46 47 4849 50
51 52 53 5758 ← Quay lại DutiCRM
59 60 61 try{document.getElementById('user_login').focus();}catch(e){} 62 if(typeof wpOnload=='function')wpOnload(); 63 64 65 66 ◉ Recommended: Phase: Architecture and Design Use a vetted library or framework that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid For example, use anti-CSRF packages such as the OWASP CSRFGuard Tương tự, thực hành trang: https://hack-yourself-first.com/ Thực bước Ví dụ 1, ta có kết sau: 57 Bảng 3.2 Tổng hợp lỗ hổng bảo mật web: https://hack-yourself-first.com/ No Type Number issues Severity Cross Site Scripting (Reflected) High Path Traversal High SQL Injection - Microsoft SQL Server High X-Frame-Options Header Not Set 49 Medium Absence of Anti-CSRF Tokens 75 Low Cookie No HttpOnly Flag Low Cookie Without SameSite Attribute Low Cookie Without Secure Flag Low Incomplete or No Cache-control and 52 Low Low 105 Low 12 Web Browser XSS Protection Not Enabled 52 Low 13 X-AspNet-Version 105 Low 102 Low Informational 52 Informational Pragma HTTP Header Set 10 Secure Pages Include Mixed Content 11 Server Leaks Information via "X-PoweredBy" HTTP Response Header Field(s) Response Header Scanner 14 X-Content-Type-Options Header Missing 15 Information Disclosure - Suspicious Comments 16 Timestamp Disclosure - Unix 58 3.3 Đánh giá ZAP cung cấp cho chuyên gia an ninh kỹ sư kiểm thử phần mềm - loạt tính tuyệt vời gói đơn giản, liền mạch mạnh mẽ: Giao diện thân thiện dễ sử dụng Phần mềm mã nguồn mở nên cập nhật thường xuyên đội ngũ cộng tác viên giới Phù hợp với người kiểm thử nghiệp dư đến chun nghiệp Khơng cần có kiến thức sâu mà lập trình, hiểu biết chi tiết hệ thống Không yêu cầu truy cập vào mã nguồn nên thực nhanh chóng, thường xuyên Có thể thực quét tự động thủ công, tùy theo nhu cầu Trong báo cáo có phân loại lỗ hổng dựa mức độ nghiêm trọng Sử dụng với ngôn ngữ lập trình với framework sẵn có hay tùy chỉnh Ngoài số điểm mạnh nêu trên, ZAP có số hạn chế như: Phần mềm mã nguồn mở, chưa phải thương mại nên chưa thực hiệu Nhiều loại lỗ hổng bảo mật khó tìm thấy vấn đề xác thực, vấn đề kiểm soát truy cập, sử dụng mật mã khơng an tồn, Dữ liệu bị ghi đè tải trọng độc hại đưa vào trang web thực kiểm thử Chỉ phù hợp với doanh nghiệp quy mô vừa nhỏ 59 KẾT LUẬN Những đóng góp luận văn Tấn công mạng thường xuyên thời điểm Việc tiến hành kiểm thử bảo mật web sở quét lỗ hổng thường xuyên kiểm tra thâm nhập để phát lỗ hổng điều quan trọng cấp thiết quan, doanh nghiệp cá nhân website Tần suất tiến hành kiểm tra xâm nhập phải phụ thuộc vào sách bảo mật tổ chức Tuy nhiên, tiến hành kiểm tra xâm nhập thường xuyên xác định điểm yếu hệ thống giúp tránh vi phạm an ninh Một cách sử dụng công cụ kiểm thử Các công cụ kiểm thử cung cấp giao diện trực quan đơn giản để xác định lỗ hổng bảo mật cụ thể Luận văn thực nghiên cứu bảo mật website, kiểm thử bảo mật website đặc biệt sâu nghiên cứu phương pháp kiểm thử cho website sử dụng công cụ kiểm thử bảo mật Zed Attack Proxy (ZAP) để kiểm thử trang web: https://duticrm.info https://hack-yourself-first.com/ Cụ thể kết đạt sau: - Luận văn trình bày vấn đề bảo mật website, kiểm thử bảo mật website Đồng thời trình bày phương pháp kiểm thử website cơng cụ có tương ứng Thực so sánh phân tích ưu nhược điểm khả áp dụng thực tế của phương pháp công cụ để lựa chọn công cụ áp dụng vào công việc kiểm thử bảo mật website thực tế - Tiếp theo luận văn trình bày việc sử dụng công cụ Zed Attack Proxy (ZAP) cho việc kiểm thử bảo mật website https://duticrm.info https://hackyourself-first.com/ Toàn kết đạt phần áp dụng thực nghiệm trình cố gắng thân việc vận dụng lý thuyết, tìm tòi, nghiên cứu, học hỏi từ đồng nghiệp, bạn bè vài dự án thực tế 60 - Kết nghiên cứu có ích cho việc kiểm thử bảo mật website https://duticrm.info https://hack-yourself-first.com/ Từ giúp tìm lỗi, lỗ hổng bảo mật website để kịp thời đưa phương án khắc phục sớm đảm bảo website an tồn khơng bị cơng tin tặc - Do thời gian kiến thức hạn chế nên chưa thực kết hợp nhiều công cụ với với nhiều phương pháp khác nhiều website để đưa kết xác Hướng phát triển Luận văn sử dụng nghiên cứu phương pháp, công cụ kiểm thử ứng dụng cho kiểm thử bảo mật website Vì hướng nghiên cứu xây dựng hệ thống/công cụ áp dụng phương pháp kiểm thử khác để đưa vào triển khai đơn vị mà khơng phải tốn thêm chi phí mua quyền công cụ 61 TÀI LIỆU THAM KHẢO [1] PGS.TSKH Hồng Đăng Hải, Quản lý an tồn thơng tin, 2018 [2] Karin Klooster (2016), University of tartu, “Applying a Security Testing Methodology: a Case Study” [3] Can Zhu (2017), Aalto University School of Science, “Experimental study of vulnerabilities in a web application” [4] https://securitybox.vn/4509/10-lo-hong-trong-ung-dung-web/ (truy cập ngày 01/11/2019) [5] http://softwaretestingfundamentals.com/white-box-testing/ (truy cập ngày 08/11/2019) [6] http://softwaretestingfundamentals.com/black-box-testing/ (truy cập ngày 08/11/2019) [7] https://owasp.org/www-project-zap/ (truy cập ngày 15/11/2019) [8] https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_102017_Top_10.html (truy cập ngày 15/10/2019) [10] https://whitehat.vn/threads/pentest-chuan-pentest-website-theo-owasp.6989/ (truy cập ngày 10/11/2019) [11] https://insights.sei.cmu.edu/sei_blog/2018/07/10-types-of-application-securitytesting-tools-when-and-how-to-use-them.html (truy cập ngày 08/11/2019) [12] https://www.breachlock.com/3-opensource-tools-for-dast/ (truy cập ngày 15/11/2019) [13] https://www.acunetix.com/vulnerability-scanner/ (truy cập ngày 15/10/2019) [14] http://rips-scanner.sourceforge.net/ (truy cập ngày 15/10/2019) 62 [15]https://www.ibm.com/support/knowledgecenter/en/SSS9LM_9.0.3/com.ibm.ratio nal.appscansrc.common.doc/topics/intro_products.html (truy cập ngày 15/10/2019) [16] https://tools.kali.org/information-gathering/nikto (truy cập ngày 25/10/2019) [17] https://cystack.net/vi/resource/tinh-hinh-an-ninh-mang-2019/ (truy cập ngày 25/11/2019) 63 PHỤ LỤC 1: DANH SÁCH URL QUÉT ĐƯỢC 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 https://duticrm.info/ https://duticrm.info/'+t+' https://duticrm.info/+t+ https://duticrm.info/author https://duticrm.info/author/duticrm/ https://duticrm.info/comments https://duticrm.info/comments/feed/ https://duticrm.info/embed/ https://duticrm.info/feed/ https://duticrm.info/page-sitemap.xml https://duticrm.info/post-sitemap.xml https://duticrm.info/robots.txt https://duticrm.info/s https://duticrm.info/s/521dd3.js https://duticrm.info/s/7e4e02.js https://duticrm.info/s/85b35f.js https://duticrm.info/s/8fb1ff.css https://duticrm.info/s/904306.js https://duticrm.info/s/fd37bd.js https://duticrm.info/search https://duticrm.info/search/ZAP https://duticrm.info/search/ZAP/feed https://duticrm.info/search/ZAP/feed/rss2/ https://duticrm.info/search/feed https://duticrm.info/search/feed/rss2/ https://duticrm.info/sitemap.xml https://duticrm.info/sitemap_index.xml https://duticrm.info/wp-admin https://duticrm.info/wp-admin/ https://duticrm.info/wp-admin/admin-ajax.php https://duticrm.info/wp-admin/css https://duticrm.info/wp-admin/css/forms.min.css?ver=5.3 https://duticrm.info/wp-admin/css/l10n.min.css?ver=5.3 https://duticrm.info/wp-admin/css/login.min.css?ver=5.3 https://duticrm.info/wp-admin/images https://duticrm.info/wp-admin/images/wordpress-logo.svg?ver=20131107 https://duticrm.info/wp-admin/js https://duticrm.info/wp-admin/js/password-strength-meter.min.js?ver=5.3 https://duticrm.info/wp-admin/js/user-profile.min.js?ver=5.3 https://duticrm.info/wp-content https://duticrm.info/wp-content/et-cache https://duticrm.info/wp-content/et-cache/5 https://duticrm.info/wp-content/et-cache/5/et-core-unified-51574696153603.min.css https://duticrm.info/wp-content/et-cache/global https://duticrm.info/wp-content/et-cache/global/et-divi-customizer-global15746962159519.min.css https://duticrm.info/wp-content/themes https://duticrm.info/wp-content/themes/Divi https://duticrm.info/wp-content/themes/Divi/core https://duticrm.info/wp-content/themes/Divi/core/admin https://duticrm.info/wp-content/themes/Divi/core/admin/fonts https://duticrm.info/wp-content/themes/Divi/core/admin/fonts/modules.ttf https://duticrm.info/wp-content/themes/Divi/core/admin/js https://duticrm.info/wp-content/themes/Divi/core/admin/js/common.js?ver=4.0.6 https://duticrm.info/wp-content/themes/Divi/js https://duticrm.info/wp-content/themes/Divi/js/custom.min.js?ver=4.0.6 https://duticrm.info/wp-content/themes/Divi/style.css?ver=4.0.6 64 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 https://duticrm.info/wp-content/uploads https://duticrm.info/wp-content/uploads/2019 https://duticrm.info/wp-content/uploads/2019/10 https://duticrm.info/wp-content/uploads/2019/10/Afbeelding-stand_klein-1.png https://duticrm.info/wp-content/uploads/2019/10/business-coach-0034.jpg https://duticrm.info/wp-content/uploads/2019/10/favicon-150x150.png https://duticrm.info/wp-content/uploads/2019/10/favicon.png https://duticrm.info/wp-content/uploads/2019/10/logo.png https://duticrm.info/wp-includes https://duticrm.info/wp-includes/css https://duticrm.info/wp-includes/css/buttons.min.css?ver=5.3 https://duticrm.info/wp-includes/css/dashicons.min.css?ver=5.3 https://duticrm.info/wp-includes/css/dist https://duticrm.info/wp-includes/css/dist/block-library https://duticrm.info/wp-includes/css/dist/block-library/style.min.css?ver=5.3 https://duticrm.info/wp-includes/js https://duticrm.info/wp-includes/js/jquery https://duticrm.info/wp-includes/js/jquery/jquery-migrate.min.js?ver=1.4.1 https://duticrm.info/wp-includes/js/jquery/jquery.js?ver=1.12.4-wp https://duticrm.info/wp-includes/js/underscore.min.js?ver=1.8.3 https://duticrm.info/wp-includes/js/wp-embed.min.js?ver=5.3 https://duticrm.info/wp-includes/js/wp-util.min.js?ver=5.3 https://duticrm.info/wp-includes/js/zxcvbn-async.min.js?ver=1.0 https://duticrm.info/wp-includes/js/zxcvbn.min.js https://duticrm.info/wp-includes/wlwmanifest.xml https://duticrm.info/wp-json https://duticrm.info/wp-json/ https://duticrm.info/wp-json/oembed https://duticrm.info/wp-json/oembed/1.0 https://duticrm.info/wpjson/oembed/1.0/embed?format=xml&url=https%3A%2F%2Fduticrm.info%2F https://duticrm.info/wp-json/oembed/1.0/embed?url=https%3A%2F%2Fduticrm.info%2F https://duticrm.info/wp-login.php https://duticrm.info/wp-login.php?action=lostpassword https://duticrm.info/wp-login.php?action=register https://duticrm.info/wp-login.php?checkemail=confirm https://duticrm.info/wp-login.php?redirect_to=https%3A%2F%2Fduticrm.info%2Fwpadmin%2F&reauth=1 https://duticrm.info/xmlrpc.php https://duticrm.info/xmlrpc.php?rsd ... 1.1.2 Bảo mật ứng dụng web Bảo mật ứng dụng web nhánh bảo mật thông tin liên quan cụ thể đến bảo mật trang web, ứng dụng web dịch vụ web Ở cấp độ cao, bảo mật ứng dụng web dựa nguyên tắc bảo mật ứng. .. công cụ kiểm thử thực thử nghiệm kiểm thử bảo mật website qua đánh giá kết - Tìm hiểu tổng quan bảo mật - Nghiên cứu loại kiểm thử bảo mật, quy trình kiểm thử bảo mật - Nghiên cứu kỹ thuật công... web Đề tài "Nghiên cứu kỹ thuật kiểm thử bảo mật ứng dụng web" nhằm nghiên cứu thử nghiệm kỹ thuật nhằm phát để ngăn chặn kịp thời nguy an ninh, bảo mật ứng dụng web Bảo mật trang web đòi hỏi