ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ KIỀU PHI HÙNG XÂY DỰNG THỬ NGHIỆM CÔNG CỤ PHÁT HIỆN VÀ KHAI THÁC CÁC LỖ HỔNG AN NINH Ngành: Cơng nghệ Thơng tin Chun ngành: An tồn Thơng tin Mã số: 8480202.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: GS.TS NGUYỄN THANH THỦY Hà Nội - 2019 LỜI CẢM ƠN Đầu tiên tơi xin bày tỏ lịng cảm ơn chân thành sâu sắc đến GS.TS Nguyễn Thanh Thủy hƣớng dẫn bảo tận tình với định hƣớng, lời khuyên, kiến thức vô quý giá Thầy trình em theo học nhƣ làm luận văn tốt nghiệp Tôi xin đƣợc gửi lời cảm ơn tới Thầy Cô khoa Công nghệ thông tin – trƣờng Đại học Công Nghệ - Đại học Quốc gia Hà Nội nói chung nhƣ thầy mơn An tồn thơng tin nói riêng tận tình giảng dạy, trang bị cho kiến thức quý báu trình tơi theo học khoa Đây tiền đề để tơi có đƣợc kiến thức cần thiết để hồn thành luận văn Cuối cùng, tơi xin đƣợc gửi lời cảm ơn tới Thầy Cô giáo anh chị em bạn bè theo học mơn An tồn thơng tin tận tình bảo tạo điều kiện tốt để đƣợc làm việc môn với đầy đủ trang thiết bị cần thiết để tơi hoàn thành tốt luận văn Mặc dù cố gắng nhƣng luận văn chắn không tránh khỏi thiếu sót, tơi mong nhận đƣợc ý kiến đánh giá phê bình từ phía Thầy Cơ để luận văn đƣợc hồn thiện Tôi xin chân thành cảm ơn! Hà nội, tháng 05 năm 2019 Học viên Kiều Phi Hùng LỜI CAM ĐOAN Tôi xin cam đoan luận văn tốt nghiệp với đề tài “Xây dựng thử nghiệm công cụ phát khai thác lỗ hổng an ninh” cơng trình nghiên cứu riêng tơi dƣới hƣớng dẫn GS.TS Nguyễn Thanh Thủy Các kết trình bày luận văn hồn tồn trung thực chƣa đƣợc nộp nhƣ khóa luận, luận văn hay luận án trƣờng Đại học Công Nghệ - Đại học Quốc gia Hà Nội trƣờng đại học khác Tơi trích dẫn đầy đủ tài liệu tham khảo, cơng trình nghiên cứu liên quan nƣớc quốc tế phần tài liệu tham khảo Ngoại trừ tài liệu tham khảo này, luận văn hồn tồn cơng việc riêng tơi Nếu có phát gian lận chép tài liệu, cơng trình nghiên cứu tác giả khác mà không ghi rõ phần tài liệu tham khảo, tơi xin chịu hồn tồn trách nhiệm kết luận văn Hà Nội, tháng 05 năm 2019 Học viên Kiều Phi Hùng MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ TÓM TẮT GIỚI THIỆU 10 CHƢƠNG 1: TỔNG QUAN VỀ KIỂM THỬ AN NINH 11 1.1 Khái niệm 11 1.2 Phân loại kiểm thử an ninh 11 1.2.1 Kiểm thử hộp trắng 11 1.2.2 Kiểm thử hộp đen 11 1.2.3 Kiểm thử hộp xám 11 1.3 Quy trình kiểm thử an ninh 12 1.3.1 Giai đoạn khởi tạo 13 1.3.2 Đặt phạm vi 13 1.3.3 Thu thập thông tin trƣớc kiểm thử 14 1.3.4 Tuyên bố công việc 15 1.3.5 Quyền kiểm thử chuyên sâu 15 1.3.6 Thực thi kiểm thử 15 1.3.7 Báo cáo kiểm thử an ninh 15 CHƢƠNG 2: TỔNG QUAN VỀ METASPLOIT 17 2.1 Khái niệm 17 2.2 Lịch sử Metasploit 17 2.3 Các phiên Metasploit 18 2.4 Metasploit Framework 20 2.4.1 Tổng quan Metasploit Framework 20 2.4.2 Cấu trúc Metasploit Framework 23 2.4.3 Quy trình kiểm thử Metasploit Framework 24 CHƢƠNG 3: MỞ RỘNG TÍNH NĂNG TẠO BÁO CÁO CHO METASPLOIT FRAMEWORK 25 3.1 Xác định chuẩn báo cáo Metasploit Pro 26 3.1.1 Chuẩn PCI 27 3.1.2 Chuẩn FISMA 27 3.2 Xác định loại báo Metasploit Pro 28 3.3 Chuẩn bị liệu để kết xuất 29 3.3.1 Chuẩn bị liệu công kiểm thử 29 3.3.2 Tấn công kiểm thử 29 3.4 Thiết kế công cụ tạo báo cáo 35 3.4.1 Phân tích 35 3.4.2 Đƣa giải pháp 38 3.4.3 Thiết kế Logic 39 3.5 Viết chƣơng trình chạy thử nghiệm cơng cụ 45 3.5.1 Viết chƣơng trình 45 3.5.2 Chạy thử nghiệm công cụ 49 3.5.3 Kết đạt đƣợc 54 CHƢƠNG 4: KÊT LUẬN 60 TÀI LIỆU THAM KHẢO 61 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Ký hiệu Ý nghĩa Thuật ngữ Code Mã (trong phần mềm) Database Cơ sở liệu Exploit Mã tìm kiếm lỗ hổng, điểm yếu, back door Gói thƣ viện sẵn có trang Gem Rubygem Hacker Tin tặc Hash Kiểu liệu dạng từ điển HTML Hyper Text Markup Language Ngôn ngữ đánh dấu siêu văn IDS Intrusion Detection System Hệ thống phát xâm nhập Meterpreter Mã khai thác xâm nhập thành công MSF PDF Metasploit Framework Portable Document Format Định dạng tài liệu di động Hệ quản trị sở liệu quan hệ PostgreSQL đối tƣợng XML eXtensible Markup Language Ngôn ngữ đánh dấu mở rộng DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1 Quy trình kiểm thử an ninh 12 Hình Metasploit Community Edition 18 Hình 2 Metasploit Pro 19 Hình Metasploit Framework 20 Hình Tính tích hợp hỗ trợ giao tiếp với bên 21 Hình Tính tự động 21 Hình Tính xâm nhập 22 Hình Cấu trúc Metasploit Framework 23 Hình 1: Đề xuất báo cáo Metasploit Pro 25 Hình 2: Chuẩn báo cáo Metasploit Pro 26 Hình 3: Các loại báo Metasploit Pro 28 Hình Quét mục tiêu Armitage 30 Hình Tấn cơng chế độ Hail Mary 31 Hình Tấn cơng Exploit tìm đƣợc 32 Hình Tạo kết cơng dƣới định dạng XML 33 Hình Báo cáo chuẩn PCI DSS Metasploit Pro 34 Hình Sơ đồ ngữ cảnh sử dụng 35 Hình 10 Các chức cơng cụ 36 Hình 11 Sơ đồ luồng liệu 41 Hình 12 File ruby report.rb 42 Hình 13 Thƣ mục Report_engine 42 Hình 14 Cấu trúc module công cụ 43 Hình 15 Thiết kế vật lý 45 Hình 16 Đọc thông tin Host 46 Hình 17 Đọc thơng tin dịch vụ, lỗ hổng 47 Hình 18 Danh sách lệnh 48 Hình 19 Khởi động Plugin 49 Hình 20 Lệnh Report_banner 50 Hình 21 Lệnh Check_db 50 Hình 22 Lệnh Check_report 50 Hình 23 Lệnh Check_status 51 Hình 24 Lệnh Use_datapack 51 Hình 25 Lệnh Unuse_datapack 52 Hình 26 Lệnh Remove_datapack 52 Hình 27 Lệnh Collect_info 53 Hình 28 Lệnh Gen_report 53 Hình 29 File báo cáo 54 Hình 30 Báo cáo kiểm định thu đƣợc 55 Hình 31 Báo cáo dịch vụ thu đƣợc 56 Hình 32 Báo cáo tuân thủ chuẩn PCI thu đƣợc 57 TÓM TẮT Trong thời đại công nghệ thông tin phát triển nhƣ vấn đề đảm bảo an tồn, an ninh thông tin đƣợc đặt lên hàng đầu, phƣơng pháp kiểm thử an ninh ln đƣợc sử dụng phổ biến nhằm xác định mối đe dọa hệ thống lỗ hổng tiềm tàng Việc vừa giúp hệ thống khỏi nguy liên quan đến bảo mật, vừa giúp nhà phát triển khắc phuc vấn đề tồn đọng thiết kế Hiện nhiều công cụ phần mềm đƣợc đời nhằm thực hỗ trợ việc kiểm thử an ninh này, nhiên bật phổ biến đƣợc hầu hết chuyên gia bảo mật đánh giá cao sử dụng Metasploit hay cịn gọi Metasploit Project Đây dự án liên quan đến bảo mật máy tính, cung cấp thơng tin lỗ hổng bảo mật Đối tƣợng nhắm đến Metasploit q trình cơng xâm nhập kiểm thử (Penetration Testing) phát triển hệ thống phát xâm nhập (Intrusion Detection System – IDS) Metasploit phát triển nhiều phiên khác nhau, muốn sử dụng phiên tốt với tất tính ƣu việt bạn phải trả chi phí sử dụng hàng năm lớn (khoảng 7000$-8000$/ năm) cịn khơng đủ khả chi trả sử dụng phiên miễn phí với giao diện dòng lệnh, thiếu nhiều tính hữu ích quan trọng Do mục đích chúng tơi phát triển mở rộng thêm tính tạo báo cáo kết phiên kiểm thử an ninh theo định dạng PDF HTML cho phiên mã nguồn mở miễn phí Metasploit , vốn tính có phiên thƣơng mại đắt tiền Metasploit Pro 10 GIỚI THIỆU Hiện vấn đề an tồn thơng tin hệ thống thơng tin, hệ thống mạng không gian mạng đƣợc quan tâm lớn toàn giới Trong năm gần chứng kiến công mạng, cố mạng quy mơ lớn, tin tặc lợi dụng lỗ hổng hệ thống để đánh cắp liệu mật hay trực tiếp tống tiền quy mơ tồn cầu Do để giúp hệ thống tránh khỏi nguy liên quan đến bảo mật, đồng thời giúp nhà phát triển khắc phục vấn đề tồn đọng thiết kế phƣơng pháp kiểm thử an ninh đƣợc áp dụng sử dụng phổ biến Để thực kiểm thử cách tốt đem lại kết cao nhiều cơng cụ hay phần mềm hỗ trợ thực thi kiểm thử đƣợc đời Hiện bật phổ biến đƣợc hầu hết chuyên gia bảo mật đánh giá cao sử dụng Metasploit Cơng cụ cung cấp cho ta chức để thám kiểm tra công lỗ hổng hệ thống máy tính xâm nhập vào hệ thống từ xa Metasploit phát triển nhiều phiên khác nhau, với phiên cao cấp Metasploit Pro đem lại cho ngƣời dùng tất tính tốt nhƣ tính tự động, giao diện thân thiện, tạo báo cáo vv phục vụ cho việc kiểm thử an ninh Tuy nhiên để sử dụng phiên bạn phải trả chi phí hàng năm lớn (khoảng 7000$8000$/ năm) Ngồi cịn có phiên Metasploit Framework, phiên miễn phí mã nguồn mở với chức tập trung vào Module cơng, giao diện dịng lệnh thân thiện với ngƣời dùng, khơng có tính tự động, bƣớc làm phải làm thủ cơng vv Chính tơi phát triển mở rộng thêm tính tạo báo cáo kết phiên kiểm thử an ninh theo định dạng PDF HTML cho phiên miễn phí này, vốn tính có phiên thƣơng mại đắt tiền Metasploit Pro.Với tính tạo báo cáo đƣợc thêm vào giúp ta so sánh phân tích đánh giá lỗ hổng hay khám phá mối đe dọa tiềm ẩn khác để đƣa sản phẩm bảo mật an ninh tích hợp mạnh mẽ Trong luận văn tập trung trình bày khái niệm tổng quan kiểm thử an ninh, khái niệm Metasploit phiên có Trình bày Metasploit Framework cách mở rộng tính tạo báo cáo với kết đạt đƣợc Luận văn đƣợc trình bày chƣơng: Chƣơng 1: Tổng quan kiểm thử an ninh Chƣơng 2: Tổng quan Metasploit Metasploit Framework Chƣơng 3: Mở rộng chức tạo báo cáo cho Metasploit Framework Chƣơng 4: Kết luận 48 Hình 18 Danh sách lệnh 49 3.5.2 Chạy thử nghiệm công cụ Khi đƣợc nạp vào thông qua lệnh “load report”, trình khởi động Plugin gồm bƣớc (xem Hình 3.19)  Nạp kiểm tra Module chức năng, cụ thể nạp ReportEngine từ ReportEngine nạp Module Module liên quan đƣợc sử dụng Việc nạp thành công kiểm tra đƣợc phiên thành phần  Đọc tình trạng gói liệu đƣợc sử dụng lần trƣớc  Gắn lệnh cơng cụ Report vào lệnh Console  Chạy lời chào cơng cụ  Kiểm tra thử tình trạng kết nối sở liệu  Kiểm tra danh sách gói liệu sử dụng cho báo cáo Hình 19 Khởi động Plugin 50 Ngồi lệnh chƣơng trình bao gồm: Report_banner: In lại lời chào ứng dụng hình (Hình 3.20) Hình 20 Lệnh Report_banner Check_db: Sử dụng biến trạng thái sở liệu Framerork để thông báo cập nhật trạng thái sở liệu công cụ (Hình 3.21) Hình 21 Lệnh Check_db Check_report: Sử dụng để kiểm tra chức chƣơng trình có hoạt động hay không việc ngầm xuất File báo cáo mẫu (Hình 3.22) Hình 22 Lệnh Check_report 51 Check_status: Kiểm tra trạng thái gói liệu, liệt kê, thông tin lần cập nhật cuối tình trạng chọn Các gói đƣợc lƣu thƣ mục cài đặt chƣơng trình nên ngƣời dùng bỏ trực tiếp File theo định dạng Xml xuất sở liệu Metasploit vào thƣ mục chứa Trạng thái gói liệu đƣợc lƣu dƣới dạng tên gói biến chƣơng trình nên chƣa sử dụng gói chƣa đƣợc mở (Hình 3.23) Hình 23 Lệnh Check_status Use_datapack: Chọn gói cho mục đích xuất báo cáo Gói đƣợc chọn sau check_status đƣợc hiển thị có dấu tích X (Hình 3.24) Hình 24 Lệnh Use_datapack 52 Unuse_datapack: Bỏ chọn gói liệu (Hình 3.25) Hình 25 Lệnh Unuse_datapack Remove_datapack: Xố vĩnh viễn gói liệu khỏi máy (Hình 3.26) Hình 26 Lệnh Remove_datapack Collect_info: thu thập thông tin Workspace đƣợc định trở thành gói liệu dùng cho việc tạo báo cáo Các tập tin liệu đƣợc lƣu thƣ mục chứa gói liệu hiển thị check_status (Hình 3.27) 53 Hình 27 Lệnh Collect_info Gen_report: thực tạo báo cáo đƣờng dẫn đƣợc định Báo cáo đƣợc lƣu dƣới dạng PDF HTML nhƣng khơng khuyến khích dùng tập tin HTML bị chỉnh sửa dễ dàng Để lấy tập tin HTML, sau xuất file ngƣời dùng cần vào thƣ mục Report_engine/Generator/form//export.html để dùng (Hình 3.28) Hình 28 Lệnh Gen_report 54 Sau tạo báo cáo, File xuất thƣ mục đích (Hình 3.29) Hình 29 File báo cáo Hoạt động tạo báo cáo lệnh Check_report lệnh Report thực qua chƣơng trình PDFexporter.exe Vì Plugin khơng thể đƣa tới cho ngƣời dùng Gem Ruby hay yêu cầu Rapid7 thêm Gem liên quan đến hoạt động tạo báo cáo nên Gem dùng ngồi cho mục đích tạo File đƣợc viết File PDFexport.rb PDFexporter.rb sau đƣợc biên dịch cơng cụ Ocra để tạo File thực thi cho tảng Windows Cơng cụ Ocra có nhiệm vụ đọc mã nguồn, tích hợp mơi trƣờng Ruby phù hợp gói cần thiết cho cơng cụ PDFexport chạy đƣợc biên dịch thành File thực thi Việc thuận tiện cho nhà phát triển can thiệp đƣợc vào danh sách gói đƣợc sử dụng Framework, tránh việc phiên Plugin hoạt động Framework cập nhật thay đổi danh sách Gem 3.5.3 Kết đạt đƣợc Sau trình phát triển công cụ kết xuất báo cáo, thu đƣợc báo cáo theo ba chuẩn báo cáo kiểm định (Hình 3.30), báo cáo dịch vụ (Hình 3.31) báo cáo tuân thủ chuẩn PCI (Hình 3.32), đồng thời so sánh ba mẫu báo cáo với ba mấu báo cáo tƣơng ứng phiên Metasploit Pro 55 Báo cáo kiểm định Hình 30 Báo cáo kiểm định thu đƣợc 56 Báo cáo dịch vụ Hình 31 Báo cáo dịch vụ thu đƣợc 57 Báo cáo tuân thủ chuẩn PCI Hình 32 Báo cáo tuân thủ chuẩn PCI thu đƣợc 58 Từ báo cáo thu đƣợc tiến hành so sánh phân tích với báo cáo chuẩn phiên Metasploit Pro, thấy đƣợc có khác biệt Ở đây, khác biệt lớn liên quan đến việc trình bày trang báo cáo Các tài liệu báo cáo đƣợc chuẩn bị cho đạt độ giống lớn báo cáo tiêu chuẩn đƣợc xuất từ công cụ Metasploit Pro Với việc xây dựng lại mẫu báo cáo ngôn ngữ HTML chƣa đạt độ giống 100% cỡ chữ, giãn cách, lề, chữ dọc, … Ngồi cịn có số khác biệt khác đến từ khó khăn thực dự án  Thiếu liệu thu thập Credential Do khơng có sở liệu mẫu đầy đủ ban đầu cho nhà phát triển đến từ Rapid7 nhƣ cộng đồng, liệu công kiểm thử để kiểm tra trình tạo báo cáo thu thập đƣợc thông tin máy chủ, dịch vụ, lỗ hổng, thông tin kiện công mà không thu thập đƣợc thông tin Credential máy ảo Metasploitable Thực tế, việc thu thập Credential đƣợc thực nhƣng không đạt kết quả, thông qua quét MSF scan công cụ Armitage, sử dụng Module Auxiliary mysql_login, telnet_login, ssh_login, vnc_login, postgres_login Do thiếu sót trƣờng Credential gói liệu báo cáo nên mục 8.2, 8.4, 8.5.8, 8.5.10, 8.5.11 báo cáo tuân thủ chuẩn PCI chuẩn báo cáo Credentials không xây dựng đƣợc Hơn nữa, công cụ quét lỗ hổng Web không đƣợc hỗ trợ phiên Framework, thay vào thông tin liên quan đến tảng Web lại đến từ dịch vụ quét dịch vụ máy chủ Web, việc thu thập đƣợc thông tin đầy đủ để phục vụ cho việc phát triển báo cáo lỗ hổng Web điều khó khăn không cần thiết phiên Framework, trƣờng lỗ hổng Web hữu gói liệu Khó khăn nguồn liệu mẫu báo cáo phần cải tiến đƣợc nhờ trình sử dụng Framework thu thập đƣợc nhiều thông tin hơn, sở cho hƣớng phát triển công cụ báo cáo tiếp sau  Thiếu cơng cụ tích hợp trình diễn liệu giao diện HTML Một điểm bật báo cáo trình diễn số liệu, với mơ hình trình diễn dƣới dạng liệt kê, thống kê, bảng thống kê dễ dàng cắt giao diện HTML để in định dạng PDF Nhƣng với dung lƣợng thời gian phạm vi đề tài, việc nghiên cứu áp dụng cơng cụ phân tích/khai phá liệu trình diễn liệu chƣa thể thực Có thể dễ dàng thấy báo cáo xây dựng đƣợc khơng có biểu đồ thống kê Để khắc phục hạn chế này, phiên cơng cụ trích xuất báo cáo, chúng tơi có chuyển đổi thơng tin dƣới dạng biểu đồ cuối báo cáo dịch vụ thành dạng thống kê bảng, phần đáp ứng đƣợc thông tin nâng cao mức độ giống phiên báo cáo đến từ Rapid7 59  Đánh số trang Mở rộng khó khăn định dạng trang HTML, công cụ in báo cáo Pdfkit thực chất chƣa có cách truyền vào báo cáo biến số trang trình in trang, trang báo cáo hầu hết đƣợc ngắt trang nội dung chạm đến lề dƣới khổ giấy Cùng với khơng thể đánh số trang cho trang in khó xác định chiều dài trang dựa việc cắt nội dung HTML Nhƣ chƣơng giới thiệu chi tiết bƣớc tìm hiểu ,thao khảo, thiết kế, viết chƣơng trình Đồng thời chạy thử nghiệm cho kết giống với chuẩn báo cáo phiên Metasploit Pro đến 90% 60 CHƢƠNG 4: KÊT LUẬN Có thể nói Metasploit Framework sản phẩm mạnh đƣợc đúc kết từ nhiều chuyên gia giới Nhƣng đồng thời đƣợc sử dụng Hacker cho mục đích xấu Cho nên việc đời công cụ tạo báo cáo giúp làm bật ý nghĩa tốt đẹp việc tìm phát lỗ hổng hệ thống có ý nghĩa vơ quan trọng Nó giúp ta tổng hợp liệu thăm dị, để từ dễ dàng chuyển giao cho ngƣời có trách nhiệm quản lý, sở khắc phục khiếm khuyết hệ thống, làm hệ thống an toàn hoàn thiện Sau thời gian tìm hiểu, nghiên cứu tài liệu làm luận văn dƣới hƣớng dẫn thầy GS.TS Nguyễn Thanh Thủy tơi hồn thành luận văn với đề tài “Xây dựng thử nghiệm công cụ phát khai thác lỗ hổng an ninh” Luận văn đạt đƣợc kết sau:  Tìm hiểu nghiên cứu đƣợc quy trình cơng kiểm thử chuẩn báo cáo quan trọng doanh nghiệp tổ chức  Tìm hiểu cơng cụ công kiểm thử mã nguồn mở lớn giới Metasploit, cấu trúc, cách hoạt động công cụ  Áp dụng kỹ thuật tƣ liệu việc tạo báo cáo để phát triển mở rộng thêm tính cho phiên miễn phí Metasploit Framework, đáp ứng đƣợc nhu cầu nhƣng vô quan trọng phiên kiểm thử Với kết đạt đƣợc trên, tƣơng lai đề tài phát triển theo hƣớng sau:  Mở rộng loại định dạng báo cáo in đƣợc  Mở rộng thêm chuẩn báo cáo khác để đáp ứng đƣợc nhu cầu trao đổi thông tin phạm trù an ninh thông tin bên liên quan trình xây dựng vào củng cố an toàn cho hệ thống  Mở rộng nội dung đƣa vào báo cáo, thơng qua việc tạo loại báo cáo tuỳ chỉnh, báo cáo không theo chuẩn  Mở rộng chức cho cơng cụ tạo báo cáo, chức có hai hƣớng nhỏ khác kể đến nhƣ: o Tích hợp cơng cụ phân tích khai phá liệu cơng kiểm thử trình diễn liệu o Mở rộng chức cho công cụ nhƣ gộp liệu từ nhiều nguồn vào báo cáo, báo cáo định kỳ, tự động gửi báo cáo, tự động đồng lƣu gói liệu, 61 TÀI LIỆU THAM KHẢO Tiếng Anh Foster, J C., & Liu, V (2006) Writing security tools and exploits Rockland: Syngress Hall, G., & Watson, E (2016) Hacking: Computer hacking, security testing, penetration testing and basic security Jaswal, N (2016) Mastering Metasploit Birmingham, UK: PACKT Publishing Svensson, R (2016) From hacking to report writing: An introduction to security and penetration testing.Z Website 262588213843476 (n.d.) A walkthrough for creating a new Ruby project Retrieved from https://gist.github.com/sampablokuper/1391900?fbclid=IwAR3yAs3ob4PC3aJu56FDBwQf8BbDDMXE4aoI_KmIjYTEU8qSmX9TQtD_Wio Category: PDF Generation (n.d.) Retrieved from https://www.rubytoolbox.com/categories/pdf_generation?fbclid=IwAR0ee_tGq1QQY7ptPqWuJgHAe2aa3ZyqsEP Jdn_0H5vdn7uEO2JL8D4kUBQ Getting Started (n.d.) Retrieved from https://metasploit.help.rapid7.com/docs?fbclid=IwAR1akZbCgHcTMyNlJTzgrei6DTj_ACkiq8J6lLHCBgxwzvlZkYf-F2DDs Metasploit Unleashed (n.d.) Retrieved from https://www.offensivesecurity.com/metasploitunleashed/?fbclid=IwAR1_ceByQ5IpezIyys9XtNsQAhRU meemv1y5MFYStZe826gxOx15YJAyMI 62 PDFKit (n.d.) Retrieved from https://www.rubydoc.info/gems/pdfkit/0.8.4.1?fbclid=IwAR1ipECG4SnFjdhL3Nxd2e2LtAV_0MSjJthkBxGorE_SdOD00ff18zg xAM 10 You are viewing this page in an unauthorized frame window (n.d.) Retrieved from https://nvd.nist.gov/80053?fbclid=IwAR0BtpxAEfFCGmNbIpCjLqj_J86W5t6cYThGS9EW1XJdvHLfvrbFEZ38frw ... thiện Tơi xin chân thành cảm ơn! Hà nội, tháng 05 năm 2019 Học viên Kiều Phi Hùng LỜI CAM ĐOAN Tôi xin cam đoan luận văn tốt nghiệp với đề tài ? ?Xây dựng thử nghiệm công cụ phát khai thác lỗ hổng. .. cơng cụ kỹ thuật Hacker 1.3.7 Báo cáo kiểm thử an ninh Bản báo cáo cuối luôn khía cạnh quan trọng kiểm thử an ninh Báo cáo văn tổng hợp liệt kê đƣa thông tin nhƣ loại lỗ hổng bảo mật đƣợc phát hiện, ... module khai thác, công lỗ hổng bảo mật Mỗi Module đƣợc phát triển từ bên thứ ba (Third-Party) đƣợc kèm với khuyến cáo để nhằm nêu bật đƣợc khả khai thác, mức độ rủi ro cách khắc phục lỗ hổng không