ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ CƠNG
CỤ TỰ ĐỘNG DỊ TÌM LỖ HỔNG BẢO
MẬT TRONG WEBSITE
EVALUATE THE EFFECTIVENESS OF SOME TOOLS
AUTOMATICALLY DETECT SECURITY
VULNERABILITIES IN WEBSITE
ThS Bùi Tùng Dương
Công ty cổ phần Musashi Việt Nam
Email:
Ngày tòa soạn nhận được bài báo:02/12/2020
Ngày phản biện đánh giá: 17/12/2020
Ngày bài báo được duyệt đăng: 28/12/2020
Tóm tắt:
Hiện nay cơng nghệ Website chủ yếu chú trọng các yếu tố tốc độ, chức năng, giao diện
.... mà xem nhẹ vấn đề bảo mật nên có nhiều lỗ hổng mà tin tặc có thể khai thác. Để khắc
phục yếu điểm này ta có thể dùng cơng cụ tự động dị tìm lỗ hổng website nhằm phát hiện
và ngăn chặn hacker. Tuy nhiên, nhiều cuộc tấn công không nằm trong các kỹ thuật đã biết
mà linh động và tăng lên tùy vào những sai sót của hệ thống website. Bài báo nghiên cứu
một số hình thức tấn cơng, các công cụ tự động quét lỗ hổng và đánh giá chúng.
Từ khóa: Cơng cụ dị tìm lỗ hổng website, tần công website, lỗ hổng...
Summary:
Currently, Website technology mainly focuses on factors such as speed, functionality,
interface ... but overlooking security issues, so there are many vulnerabilities that hackers
can exploit. To overcome this weakness, we can use tools to automatically detect website
vulnerabilities to detect and prevent hackers. However, many attacks are not in the known
techniques but are flexible and increase depending on the errors of the website system. The
article studies several types of attacks, the tools automatically scan for vulnerabilities and
evaluate them
Key words: Detection tools, website vulnerabilities, website frequency, vulnerabilities ...
1. Giới thiệu
An ninh Website là một phần của lĩnh vực

an toàn thơng tin, thường liên quan đến bảo
mật trình trình duyệt. Mục tiêu của nó là phát

hiện và phịng chống lại các cuộc tấn công
trên Internet. Công cụ quét lỗ hổng ứng dụng
web là các chương trình tự động kiểm tra các
ứng dụng web để biết các lỗ hổng bảo mật đã
biết như DDOS, SQL injection, thực thi lệnh….
TẠP CHÍ KHOA HỌC 3
QUẢN LÝ VÀ CÔNG NGHỆ


Các công cụ thu thập dữ liệu một ứng dụng
web và xác định các lỗ hổng của lớp ứng dụng
bằng cách kiểm tra chúng để tìm các thuộc
tính đáng ngờ. Đối với các trường hợp phức
tạp, các công cụ bắt chước các cuộc tấn cơng
từ bên ngồi từ tin tặc, cung cấp các phương
pháp hiệu quả để phát hiện các lỗ hổng. Hầu
hết các công cụ kiểm tra thâm nhập sử dụng
kỹ thuật fuzzing phát hiện lỗi của phần mềm
bằng cách tự động hoặc bán tự động sử dụng
phương pháp lặp lại thao tác sinh dữ liệu sau
đó chuyển cho hệ thống xử lý. Nó cung cấp
dữ liệu đầu vào cho chương trình (là các dữ
liệu khơng hợp lệ, dữ liệu không mong đợi:
các giá trị vượt quá biên, các giá trị đặc biệt
có ảnh hưởng tới phần xử lý, hiển thị của
chương trình), sau đó theo dõi và ghi lại các
lỗi, các kết quả trả về của ứng dụng trong q

trình xử lý của chương trình.

kế tiếp.

Ưu điểm chính của việc sử dụng các
công cụ kiểm tra thâm nhập là cách tương đối
nhanh và dễ dàng để phát hiện các lỗ hổng
bảo mật nhất định. Mặc dù có những ưu điểm
như trên, nhưng các công cụ kiểm tra thâm
nhập có hạn chế trong việc tìm kiếm tất cả
các lỗ hổng. Các cơng cụ khơng thể phát hiện
tồn bộ các lỗ hổng mà đều có sự mạnh yếu
riêng.

Phương pháp này không nhằm vào máy
chủ hệ thống mà chủ yếu tấn cơng trên chính
máy người sử dụng. Hacker sẽ lợi dụng sự
kiểm tra lỏng lẻo từ ứng dụng và hiểu biết hạn
chế của người dùng cũng như biết đánh vào
sự tò mị của họ dẫn đến người dùng bị mất
thơng tin một cách dễ dàng.

2. Một số kĩ thuật tấn công lỗ hổng trên
website
a, Thao tác trên tham số truyền
Thao tác trên tham số truyền là kĩ thuật
thay đổi thông tin quan trọng trên cookie, URL
hay biến ẩn của form. Kỹ thuật Cross-Site
Scripting, SessionID, SQL Injection, Buffer
Overflow…cũng cần dùng đến các tham số

này để hồn thiện các bước tấn cơng của
hacker. Có thể nói các tham số truyền là đầu
mối cho mọi hoạt động của hacker trong q
trình tấn cơng ứng dụng. Vì thế đây là nội
dung chương đầu tiên được đề cập trong mục
các kỹ thuật tấn công website, mục đích cũng
là để hỗ trợ tốt hơn phần trình bày các mục
4 TẠP CHÍ KHOA HỌC

QUẢN LÝ VÀ CƠNG NGHỆ

b, Kỹ thuật tấn công Cross Site Scripting
(XSS)
Cross-site scripting (XSS) là một kiểu tấn
cơng bảo mật trong đó kẻ tấn cơng đưa các
tập lệnh độc hại vào phần nội dung của các
trang web đáng tin cậy khác. Tấn công Crosssite scripting xảy ra khi một nguồn không đáng
tin cậy được phép đưa code của chính nó vào
một ứng dụng web và mã độc đó được bao
gồm trong nội dung gửi đến trình duyệt của
nạn nhân.
XSS là một trong những lỗ hổng ứng dụng
web phổ biến nhất và xảy ra khi một ứng dụng
web sử dụng đầu vào từ người dùng không
được xác thực hoặc khơng được mã hóa
trong đầu ra mà nó tạo ra.

Thơng thường hacker lợi dụng địa chỉ URL
để đưa ra những liên kết là tác nhân kích hoạt
những đoạn chương trình được viết bằng

ngơn ngữ máy khách như JavaScript được
thực thi trên chính trình duyệt của nạn nhân.
c, Chèn câu truy vấn sql (SQL Injection)
Khái niệm SQL Injection
SQL Injection là cách lợi dụng những lỗ
hổng trong quá trình lập trình Web về phần
truy xuất cơ sở dữ liệu. Đây không chỉ là
khuyết điểm của riêng SQL Server mà nó cịn
là vấn đề chung cho tồn bộ các cơ sở dữ
liệu khác như Oracle, MySQL, MS Access hay
IBM DB2.
Khi hacker gửi những dữ liệu (thông qua
các form), ứng dụng Web sẽ thực hiện và


trả về cho trình duyệt kết quả câu truy vấn
hay những thơng báo lỗi có liên quan đến cơ
sở dữ liệu. Và nhờ những thông tin này mà
hacker biết được nội dung cơ sở dữ liệu và
từ đó có thể điều khiển toàn bộ hệ thống ứng
dụng.
d, Chiếm hữu phiên làm việc
Ấn định phiên làm việc: Trong kiểu tấn
công ấn định một phiên làm việc, hacker ấn
định sẵn session ID cho nạn nhân trước khi
họ đăng nhập vào hệ thống. Sau đó, hacker
sẽ sử dụng session ID này để bước vào phiên
làm việc của nạn nhân đó.
Đánh cắp phiên làm việc: Khác với kiểu
tấn công ấn định phiên làm việc, hacker đánh

cắp một session ID của người dùng khi họ
đang trong phiên làm việc của mình. Và để
có thể đánh cắp session ID của người dùng,
hacker có thể dùng những phương pháp sau:
Dự đoán phiên làm việc, Vét cạn phiên làm
việc, Dùng đoạn mã đánh cắp phiên làm
việc
e, Tràn bộ đệm (Buffer Overflow)
Với kỹ thuật Buffer Overflow, cho phép
một số lượng lớn dữ liệu được cung cấp bởi
người dùng mà vượt quá lượng bộ nhớ cấp
phát ban đầu bởi ứng dụng do đó gây cho hệ
thống lâm vào tình trạng tràn bộ nhớ, thậm
chí có thể bị chèn thêm một đoạn mã bất kì.
Nếu ứng dụng được cấu hình để được thực
thi như root thì người tấn cơng có thể thao
tác như một nhà quản trị hệ thống của web
server. Hầu hết những vấn đề đều phát sinh
từ khả năng lập trình yếu kém của những nhà
lập trình. Đơn cử là sự cẩu thả trong kiểm tra
kích thước dữ liệu nhập vào.
f, Từ chối dịch vụ (DoS)
Trong một cuộc tấn công DDoS, kẻ tấn tấn
công không chỉ sử dụng máy tính của mình
mà cịn lợi dụng hay sử dụng (đơi khi là hợp
pháp) các máy tính khác. Bằng việc lợi dụng

các lỗ hổng bảo mật hay các điểm yếu của
ứng dụng, một kẻ tấn cơng có thể lấy quyền
kiểm sốt máy tính của bạn. Sau đó chúng

có thể lợi dụng máy tính của bạn để gửi các
dữ liệu hay các yêu với số lượng lớn vào một
trang web hoặc gửi các thư rác đến một địa
chỉ email cụ thể. Gọi là tấn công từ chối dịch
vụ “phân tán – Distributed” vì kẻ tấn cơng có
thể sử dụng nhiều máy tính, bao gồm cả máy
của chính bạn để thực hiện các cuộc tấn công
từ chối dụng vụ.
Thông thường, kiểu tấn công DoS dựa
trên những giao thức (protocol). Ví dụ với giao
thức là ICMP, hacker có thể sử dụng bomb
e-mail để gửi hàng ngàn thơng điệp email với
mục đích tiêu thụ băng thông để làm hao hụt
tài nguyên hệ thống trên mail server. Hoặc có
thể dùng phần mềm gửi hàng loạt yêu cầu
đến máy chủ khiến cho máy chủ không thể
đáp ứng những yêu cầu chính đáng khác.
g, Cross site tracing
Cross site tracing thường được viết tắt là
XST như một cuộc tấn cơng lạm dụng chức
năng HTTP TRACE. Chức năng này có thể
được sử dụng để kiểm tra các ứng dụng web
vì máy chủ web trả lời cùng một dữ liệu được
gửi đến nó thơng qua lệnh TRACE. Kẻ tấn
cơng có thể lừa web ứng dụng trong việc gửi
các tiêu đề bình thường của nó thơng qua
lệnh TRACE. Điều này cho phép kẻ tấn cơng
có thể đọc thơng tin trong tiêu đề như cookie.
(Shelly, 2010)
e, Local file inclusion

Lỗ hổng Local file inclusion nằm trong q
trình include file cục bộ có sẵn trên server.
Lỗ hổng xảy ra khi đầu vào người dùng chứa
đường dẫn đến file bắt buộc phải include. Khi
đầu vào này khơng được kiểm tra, tin tặc có
thể sử dụng những tên file mặc định và truy
cập trái phép đến chúng, tin tặc cũng có thể
lợi dụng các thơng tin trả về trên để đọc được
những tệp tin nhạy cảm trên các thư mục khác
TẠP CHÍ KHOA HỌC 5
QUẢN LÝ VÀ CÔNG NGHỆ


nhau bằng cách chèn các ký tự đặc biệt như
“/”, “../”, “-“.
f, Remote file inclusion
Lỗ hổng Remote file inclusion RFI cho
phép tin tặc include và thực thi trên máy chủ
mục tiêu một tệp tin được lưu trữ từ xa. Tin
tặc có thể sử dụng RFI để chạy một mã độc
trên cả máy của người dùng và phía máy
chủ. Ảnh hưởng của kiểu tấn công này thay
đổi từ đánh cắp tạm thời session token hoặc
các dữ liệu của người dùng cho đến việc tải
lên các webshell, mã độc nhằm đến xâm hại
hoàn toàn hệ thống máy chủ. Khai thác lỗ
hổng Remote file inclusion trong PHP, PHP có
nguy cơ cao bị tấn công RFI do việc sử dụng
lệnh include rất nhiều và thiết đặt mặc định
của server cũng ảnh hưởng một phần nào đó.

g, Tiêm nhiễm X-Path (X-Path Injection)
Theo ghi nhận của Van der Loo & Poll
(2011), tiêm nhiễm X-Path khá giống với tiêm
nhiễm SQL. Sự khác biệt chính giữa hai lỗ
hổng này là việc tiêm nhiễm SQL diễn ra trong
cơ sở dữ liệu SQL, trong khi việc tiêm nhiễm
X-Path xảy ra trong một XML, vì X-Path là
ngơn ngữ truy vấn cho dữ liệu XML. Giống
như tiêm nhiễm SQL, cuộc tấn công dựa trên
việc gửi thông tin nguy hại cho các ứng dụng
web. Bằng cách này, hacker có thể khám phá
ra cấu trúc của dữ liệu XML hoặc truy cập dữ
liệu mà chúng khơng có quyền truy cập.
h, Lệnh tiêm nhiễm (Command Injection)
Lệnh tiêm nhiễm như khả năng hacker gửi
lệnh đến máy chủ web từ một địa điểm từ xa.
Hacker sẽ chỉ định địa chỉ IP máy chủ từ xa
theo sau là các lệnh mong muốn. Lệnh này sẽ
được thực thi và thực hiện hành động mong
muốn.
Có thể thực hiện lệnh tiêm nhiễm khi một
ứng dụng vượt qua các dạng dữ liệu do người
dùng cung cấp khơng an tồn, tiêu đề HTTP
hoặc cookie. Hacker cung cấp cho hệ điều
6 TẠP CHÍ KHOA HỌC

QUẢN LÝ VÀ CÔNG NGHỆ

hành các lệnh thực hiện nguy hại. Các loại
tấn công này phần lớn là do xác nhận đầu

vào không đủ trên các trang web. Nếu nhà
phát triển web đưa ra các biện pháp xác thực
dữ liệu đầy đủ hơn, các cuộc tấn cơng tiêm
nhiễm lệnh có thể được giảm đáng kể.
i, Tiêm nhiễm phía máy chủ (SSI)
Kẻ tấn công xâm nhập vào các chỉ thị của
SSI trên máy chủ web. Các lệnh này được
thực thi trực tiếp trên máy chủ web và thực
hiện các thay đổi không mong muốn cho ứng
dụng web. Tấn công SSI cho phép các ứng
dụng web đưa các tập lệnh vào các trang web
HTML hoặc thực thi các mã tùy ý từ xa. Một
cuộc tấn công sẽ thành công nếu ứng dụng
web cho phép thực thi mã SSI mà không cần
xác nhận hợp lệ. Chẳng hạn, một trong những
lỗ hổng SSI đã biết tồn tại trong IIS phiên bản 4
và 5, cho phép hacker có được các đặc quyền
hệ thống thơng qua lỗi tràn bộ đệm trong tệp
dll (ssinc.dll). Bằng cách tạo một trang web
độc hại, hacker thực hiện các hành động
không mong muốn hoặc thực hiện hành vi lừa
đảo. (Mirjalili, Nowroozi, & Alidoosti 2014).
Đánh giá mức độ ảnh hướng của các
lỗ hổng
Mức độ nghiêm trọng cao: một lỗ hổng
được coi là cao, nếu hậu quả của lỗ hổng đó
là rất nghiêm trọng. Chẳng hạn, nếu hacker
có thể lấy thơng tin nhạy cảm hoặc kiểm soát
các hoạt động của ứng dụng web.
Mức độ nghiêm trọng trung bình: Một lỗ

hổng được phân loại là trung bình nếu nó
khơng được phân loại là cao hay thấp.
Mức độ nghiêm trọng thấp: Loại lỗ hổng
này không lấy thơng tin có giá trị hoặc quyền
kiểm sốt ứng dụng web nhưng nó cung cấp
cho hacker tiềm năng những thơng tin hữu ích
có thể hữu ích trong việc khai thác các lỗ hổng
khác.
3. Một số cơng cụ dị tìm lỗ hổng


không cần xác nhận hợp lệ. Chẳng

Nowroozi, & Alidoosti 2014).

Đánh giá mức độ ảnh hướng của các lỗ hổng
Bảng 1. Các mức độ nghiêm trọng của các loại lỗ hổng web. (Nguồn:
owasp.org)
Mức độ
nghiêm trọng
Cao

Lỗ hổng
SQL
Injection
Blind
SQL
Cross site Scripting
Cross site reference forgery & Cross site
tracing


Trung bình

Command injection & Server side injection
Local file
inclusion
Remote file
inclusion Buffer
overflow

Thấp

LDAP
Xpath

website
a. Wapiti
Đây là một công cụ quét web nguồn mở
cho phép bạn thực hiện kiểm toán bảo mật
cho một ứng dụng web. Nó sử dụng cách
kiểm thử hộp đen, điều này có nghĩa là nó
khơng kiểm tra mã. Thay vào đó, nó kiểm tra
tất cả các trang web và xác định các biểu mẫu
được tìm thấy trên một trang web nó có thể

chèn hoặc tiêm nhiễm dữ liệu.
b. Arachni
Arachni là một chương trình quét web đầy
đủ chạy trên nền tảng Linux, nó rất hữu ích
khi đánh giá tính bảo mật của các ứng dụng

web trực tuyến. Arachni được biết là xem xét
tính chất động của các ứng dụng web và áp
dụng độ phức tạp cần thiết để phát hiện các
lỗ hổng trong các ứng dụng đó. Nó đã được
TẠP CHÍ KHOA HỌC 7
QUẢN LÝ VÀ CƠNG NGHỆ


thiết kế để hoạt động trong một trình duyệt
web, nó có thể phát hiện mã phía máy khách
và sử dụng các công nghệ phát triển web tiên
tiến như HTML 5, javascript và Ajax.
c, Websecurify

giao diện GUI
và diện
sử dụng
cácdùng
plugin
Websecurify
có giao
người
đồ
họa giúp
dụng
rấtcác
dễ dàng.
Khi cơng.
bạn bắt đầu
để sử

thực
hiện
cuộc tấn
thử nghiệm, nó sẽ được thực hiện tự động và
có rất e,
ít tùy
chọn
để tùy
chỉnh. Nó thực sự là
Zed
Attack
Proxy
một công cụ mạnh mẽ cung cấp các phương
pháp quét tự động hoặc thủ công. Khi lỗ hổng
Đây là một cơng cụ qt
đã được phát hiện, nó được trình bày ở phần
web
mở Báo
sử dụng
giao
diện
cuối của
quánguồn
trình quét.
cáo cho
thấy
tất
cả cácGUI.
lỗ hổng
được

phát
hiện
cũng
như
các
Chỉ cần nhập URL của ứng
giải pháp
được
xuất.quét và đợi quá trình
dụng bạnđề
muốn
d, W3AF
qt hồn tất và xem xét báo cáo.

Đây là một cơng cụ dị tìm lỗ hổng qt
f, Vega
web nguồn mở được phát triển bằng Python.
Mục đích chính của dự án này là phát triển
công
cụ phát
mã
một frameworkVega
để hỗlàtrợmột
người
dùng
hiện tấtnguồn
cả cácmở
loạisử
lỗ hổng
qGUI,

trình
dụngweb.
giaoKhi
diện
qt đã hồn tất, kết quả sẽ được hiển thị trên
phân loại tóm tắt cảnh báo quét
file HTML. Nó bao gồm một giao diện GUI và
thành
bốn loại
cụ thể;
Cao,cuộc
Trung
sử dụng
các plugin
để thực
hiện các
tấn
cơng. bình, Thấp hoặc Thơng tin. Một báo

cáo bao gồm tất cả các lỗ hổng được

e, Zed Attack Proxy
Đây là một công cụ quét web nguồn mở
sử dụng giao diện GUI. Chỉ cần nhập URL
của ứng dụng bạn muốn qt và đợi q trình
qt hồn tất và xem xét báo cáo.

tìm
thấy và số lượng có thể truy cập
f, Vega

được
Vegasau
là khi
một quét
côngxong.
cụ mã nguồn mở sử

dụng giao diện GUI, phân loại tóm tắt cảnh
4. qt
Kết quả
phỏng
hiệu
cácTrung
báo
thànhmơ
bốn
loại cụ
thể;quả
Cao,
cơng
cụ hoặc
dị tìm
lỗ hổng
website
bình,
Thấp
Thơng
tin. Một
báo cáo bao
gồm tất cả các lỗ hổng được tìm thấy và số

Mơ cóphỏng
chiasauthành
các
lượng
thể truyđược
cập được
khi qt
xong.

thành
phần hoặc mơ-đun khác nhau.
4. Kết quả mô phỏng hiệu quả các công
mô-đun
liênwebsite
quan đến việc phát
cụMỗi
dị tìm
lỗ hổng
hiện
ra một loại lỗ hổng web cụ thể.
Mô phỏng được chia thành các thành
Môhoặc
phỏng
sẽ được
phần
mô-đun
khác chạy
nhau.trên
Mỗi ứng
mơ-đun

liêndụng
quanweb
đếnđểviệc
phát
hiện
ra
một
loại lỗ
thu được kết quả về độ
hổng
webxác
cụ phát
thể. hiện
Mơ phỏng
sẽgian
đượcđểchạy
chính
và thời
trên ứng dụng web để thu được kết quả về độ
dị tìm
hổng
một
ứng
chính
xác lỗ
phát
hiệntrong
và thời
gian
đểdụng.

dị tìm lỗ
Sautrong
q một
trình
thửdụng.
nghiệm,
kết trình
quả thử
hổng
ứng
Sau q
nghiệm,
kết
quả
mơ
phỏng
được
so
sánh
mơ phỏng được so sánh với các với
các công cụ quét web nguồn mở khác.
công cụ quét web nguồn mở khác.

Kết quả mô phỏng được thể hiện tại 2
Kếtdưới
quả mô
bảng
đây:phỏng được thể hiện tại

2 bảng dưới đây:


Bảng 2. Các lỗ hổng bảo mật được phát hiện bởi các công cụ quét web
N
o.

Vulnerability

Wap
iti

1

Remote file
inclusion

✔

2

Local file
inclusion

✔

3

Cross site
crossing

4


XSS

8 TẠP CHÍ KHOA HỌC

CSRF

6

Command

✔

Websecu
rify

✔

✔

Ve
ga

ZA
P

✔

✔


✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

✔

W3
af


✔

✔

QUẢN LÝ VÀ CÔNG NGHỆ

5

Arac
hni

✔

✔


3

Cross site
crossing

4

XSS

5

CSRF


Command
7 6 SQL
Injection
Injection
8
LDAP Injection
7
SQL Injection
9
Buffer overflow
8
LDAP Injection
1
X-path Injection
9
Buffer overflow
0

✔
✔

✔

✔

✔

✔

✔✔ ✔✔

✔

✔

✔

✔
✔

X-path Injection
1 1 Session
1 0 management

✔

✔

✔
✔

1 1 SSISession
injection
1
management
2
SSISplitting
injection
1 1 HTTP
3 2


✔

✔

✔

✔

✔

✔

✔

✔

✔
✔

✔
✔

✔

✔

✔

✔
✔


✔

✔

✔
✔

✔

✔

✔✔ ✔

✔

✔

✔

✔

✔

✔

✔ ✔ ✔ ✔✔

✔


HTTP
✔
✔
✔
✔
✔
SQLSplitting
1 1 Blind
✔
✔
✔
✔
✔
3 Injection
4
Blind SQL
1
✔
✔
✔
✔
✔
Injection
4
Bảng trên cho ta thầy với 14 lỗ hổng bảo mật được đưa vào thử nghiệm thì cơng
Bảng
trên
chohiện
ta thầy
vớinhất

14 lỗvà
hổng
được đưa vào
nghiệm
thì cơng cụ Wa3f
cụ
Wa3f
phát
nhiều
cơngbảo
cụ mật
Websecurify
phátthử
hiện
ít nhất.
phát hiện nhiều nhất và cơng cụ Websecurify phát hiện ít nhất. Chưa có cơng cụ nào phát hiện
Chưa
cótrên
cơng
hiện
đượcbảo
tồn
cácđưa
lỗ hổng.
Bảng
chocụtanào
thầyphát
với 14
lỗ hổng
mậtbộ

được
vào thử nghiệm thì cơng
được toàn bộ các lỗ hổng.

cụ Wa3f phát hiện nhiều nhất và cơng cụ Websecurify phát hiện ít nhất.
Bảng 3. Thời gian dị tìm lỗ hổng trong các ứng dụng của các cơng cụ qt web
Chưa có cơng cụ nào phát hiện được toàn bộ các lỗ hổng.

Time3. Thời gian
Wapit
Arach
Ck của các cơng cụVeg
Bảng
dị tìm
lỗ hổngWebsecur
trong các ứng dụng
qt web
W3af
Zap
(Minutes)
i
ni
ify
AppScan
a
Time
Arach Websecur
WebGoat
47Wapit 36
21

72Ck
88
94Veg 45
W3af
Zap
(Minutes)
i
ni
ify
AppScan
a
96
46
51
Mutillidae
68
44
29
80
WebGoat
47
36
21
72
88
94
45
Zero_Weba
78
63

64
24
52
31
96
Mutillidae
68
44
29
96
46
51
80
pp
Zero_Weba 33
PHPBB
63
24
52
pp
Average
43
48.75
PHPBB
33
63

27
27


31
27

74

96

92

78

71

63

78

TẠP CHÍ KHOA HỌC 9
QUẢN LÝ VÀ CƠNG NGHỆ

80.5
74

64

59.
88.5 68.5
92
71 5 78
59.



Mutillidae

68

44

29

80

96

46

51

Zero_Weba
pp

24

52

31

96

78


63

64

PHPBB

33

63

27

74

92

71

78

Average

43

48.75

27

80.5


88.5

68.5

59.
5

Thời gian dị tìm các lỗ hổng của cơng cụ quét website được đưa ra trong bảng 3, ta thấy
rằng các cơng cụ có thời gian dị tìm nhanh thì hiệu quả thấp và ngược lại. Trong các công cụ,
Ck AppScan là cơng cụ dị tìm chính xác và có thời gian dị tìm khá tốt.
5. Đánh giá các cơng cụ dị tìm lỗ hổng
website
Wapiti - cơng cụ này có thể được đánh giá
là trên mức trung bình, nó có thể phát hiện
hầu hết các lỗ hổng. Tuy nhiên, nó không phát
hiện ra CRLF và lỗi tràn bộ đệm. Wapiti cung
cấp hiệu suất cao và chạy trơn tru với các lỗi
tối thiểu.
W3AF - là một công cụ quét web khá
mạnh mẽ trong việc dị tìm các lỗ hổng, nó có
cấu trúc báo cáo kém hơn khi so sánh với các
công cụ khác được thử nghiệm trong nghiên
cứu này. Công cụ này không phân loại mức
độ nghiêm trọng của các lỗ hổng được phát
hiện. Nó khơng thể phát hiện ra lỗi tràn bộ
đệm, tiêm nhiễm dòng lệnh (command line
injection), BSQL, lỗ hổng mà nó xuất sắc là
trong việc phát hiện XST.
Zap - hiệu suất có thể được phân loại là

khơng tốt, công cụ này không vượt trội trong
bất kỳ lỗ hổng nào. Nó khơng phát hiện ra lỗ
hổng quản lý phiên và LDAP.
Ck AppScan - hoạt động tốt hơn tất cả các
công cụ khác được thử nghiệm. Tuy nhiên
công cụ này mất nhiều thời gian hơn để thực
hiện quá trình quét. Nó khơng phát hiện ra
LDAP do tính chất phức tạp của việc phát
hiện lỗ hổng này.
Vega - đã không phát hiện ra cross site
scripting, quản lý phiên và lỗ hổng LDAP trong
bất kỳ ứng dụng nào được thử nghiệm. Tuy
nhiên, nó đã báo cáo kết quả rất tốt trong việc
10 TẠP CHÍ KHOA HỌC

QUẢN LÝ VÀ CƠNG NGHỆ

phát hiện SQLI RFI, LFI và XSS.
Arachni - cung cấp giao diện GUI dựa trên
web. Nó rất nhanh và trình bày báo cáo khá
tốt. Điều này cũng được McQuade (2014) báo
cáo trong một nghiên cứu mà ông thực hiện
về công cụ quét lỗ hổng nguồn mở. Arachni
cũng cung cấp một giao diện dòng lệnh tùy
biến cao được khuyến nghị để quét thủ công.
Tuy nhiên hiệu suất của nó trong nghiên cứu
này khơng phải là tốt nhất. Nó khơng phát hiện
ra lệnh tiêm nhiễm dịng lệnh, LDAP và BSQL.
Tuy nhiên, nó cung cấp kết quả tuyệt vời trong
báo cáo XSS, XST, SQLI, RFI và LFI.

Websecurify - công cụ này xuất sắc trong
việc phát hiện XSS, SQLI và HTTP. Nó khơng
phát hiện ra lỗi tràn bộ đệm và tất cả các lỗ
hổng khác được phát hiện một cách khá rời
rạc.
6. Kết luận
Các cơng cụ dị tìm lỗ hổng website có khả
năng phát hiện các lỗ hổng được thử nghiệm.
Tuy nhiên, khơng có cơng cụ nào có khả năng
phát hiện tất cả các lỗ hổng. Arachni cho kết
quả tổng thể tốt hơn khi so sánh với các công
cụ khác được sử dụng. Hiệu suất Arachni của
chưa đạt 100% nhưng nó có khả năng cao
hơn để phát hiện nhiều lỗ hổng hơn khi so
sánh với các công cụ khác. Trong thời gian tới
tác giả sẽ tiếp tục nghiên cứu, đánh giá sâu và
cải tiến phần mềm dò tìm lỗ hổng này.


TÀI LIỆU THAM KHẢO
[1] Tripathi, A., & Singh, U. K. (2011). On prioritization of vulnerability categories based on CVSS
scores. In Computer Sciences and Convergence Information Technology (ICCIT), 2011 6th
International Conference on (trang 692-697). IEEE
[2] Saunders, M. N., Saunders, M., Lewis, P., & Thornhill, A. (2011). Research methods for
business students, 5/e. Pearson Education India.
[3] Sekaran, U. (2011). Research methods for business: A skill building approach. John Wiley &
Sons.

TẠP CHÍ KHOA HỌC 11
QUẢN LÝ VÀ CÔNG NGHỆ