Nghiên cứu kiểm thử hệ thống Website

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.33 MB, 26 trang )

Trang 1<div class="page_container" data-page="1">

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG

</div>Trang 2<div class="page_container" data-page="2">

Người hướng dan khoa hoc: PGS.TS Lê Hữu Lap

Phản biện 1: ...--. 55555 S +22 ccc+sssss

Phản biện 2: ...--- 7-55 S2 S3 +* 222251 ceces

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện

Cơng nghệ Bưu chính Viễn thông

gid ... ngà thang

Co thé tim hiéu luan van tai

-Thư viện của Hoc viện Cơng nghệ Buu chính Viễn thơng

</div>Trang 3<div class="page_container" data-page="3">

MO DAU

Đảm bao an toàn cho website dang là một van dé cấp bach của tat cả các quốc gia

trên thé giới, đặc biệt là ở Việt Nam.

Ở Việt Nam gần đây có những vụ tấn cơng vào các website gây ảnh hưởng nghiêm trọng điển hình như: Tháng 11/2006 website của Bộ Giáo dục & Đảo tạo (có địa chỉ tại www.moetgov.vn) đã bị hacker tấn cơng, tháng 6/2013 hàng loạt trang báo dân trí, vietnamnet, tuoitre đã bị tấn công làm tê liệt. Năm 2014 hàng loạt website thuộc hệ

thống của Công ty Cô phần truyền thông Việt Nam (VCCorp) và các website được hỗ

trợ vận hành bởi đơn vị này đồng loạt gặp sự cô do tan công DdoS. Gần đây vào ngày 29/7/2016, trang mạng chính thức của Vietnam Airlines đã bị hacker tấn cơng chiếm quyền kiểm sốt và chun sang trang mạng xấu ở nước ngoài. Dữ liệu của một số hội viên khách hàng thường xuyên của Vietnam Airlines đã bị cơng bó,..

Kha năng có thể truy cập 24/7 từ bat cứ nơi nào trên thé giới hay các ứng dụng web

khơng an tồn thường cung cấp truy cập dễ dàng đến cơ sở dữ liệu là một sơ hở lớn cho

phép tin tặc có thé thực hiện các hoạt động bat hợp pháp bằng cách sử dụng các trang web đã tấn công. Hau hết nguyên nhân của các vụ tan công này là do website tồn tai nhiều lỗ hong bảo mật.

Một điều đáng lo ngại nữa là đối với các cá nhân, tổ chức và doanh nghiệp, CNTT

nói chung và các ứng dụng web nói riêng đang trở thành một trong các nhân tố, công cụ

đắc lực hỗ trợ tăng hiệu suất làm việc và lợi nhuận, hiệu quả kinh tế cao cho họ, nhưng

sự quan tam, va chi phí bỏ ra cho lĩnh vực bảo tri, bảo mật lại không đáng kể. Đồng thời các môi nguy hiểm đe dọa ngày càng mới và phát trién phức tạp hon, khả năng tấn công và khai thác của các kẻ xấu đã tăng lên rõ rệt, các mã độc, phần mềm độc hại, virut trở

nên khó phát hiện và tiêu diệt hơn.

Vì vậy vấn đề an ninh mạng nói chung và bảo mật Web Application nói riêng đang là một vấn đề quan trọng và cấp bách cần phải được nghiên cứu, tìm hiểu và đưa ra các giải pháp và kỹ thuật mới dé phòng tránh, đồng thời cá nhân, t6 chức và doanh nghiệp cũng cần dành nhiều thời gian, kinh phí, nhân lực kỹ thuật để đảm bảo cho hệ thống mang cũng như Web Application của mình hoạt động tốt, có khả năng chống chọi va

ngăn chặn trước các môi nguy hiêm và các cuộc tân cơng.

</div>Trang 4<div class="page_container" data-page="4">

Đó là lý do em đã chon dé tài: “Nghiên cứu kiểm thử bảo mật website” dé làm luận

văn tôt nghiệp với mục đích hiệu được việc kiêm thử website từ đó áp dụng vào cơng

việc thực tê.

1. Mục đích nghiên cứu

Tìm hiêu các vân đê vê bảo mật, các phương pháp và các công cụ kiêm thử bảo mật

website lựa chọn công cụ kiểm thử và thực hiện thử nghiệm kiểm thử bảo mật website qua đó đánh giá kết quả

Tìm hiểu tổng quan về bảo mật

Nghiên cứu các loại kiểm thử bảo mật, quy trình kiểm thử bảo mật

Nghiên cứu các phương pháp và các công cụ tương ứng trong kiểm thử bảo

mật website

o_ Phương pháp kiểm thử hộp đen o_ Phương pháp kiểm thử hộp trắng o_ Phương pháp kiểm thử Fuzzing

Phân tích đánh giá, lựa chọn cơng cụ và thực hiện kiểm thử bảo mật website Đánh giá kết quả đạt được.

2. Đối tượng và phạm vi nghiên cứu

Trong khuôn khô luận văn thuộc loại nghiên cứu và ứng dụng, em chỉ giới hạn nghiên

cứu các vân dé sau:

Nghiên cứu các phương pháp và các công cụ tương ứng trong kiểm thử bảo

mật website

Phân tích đánh giá, lựa chọn công cụ và thực hiện kiểm thử bảo mật website

</div>Trang 5<div class="page_container" data-page="5">

CHUONG I - TONG QUAN VE BAO MAT WEBSITE

1.1. Tổng quan về bảo mật

Bảo mật cần sự thỏa hiệp giữa việc đảm bảo an ninh và chức năng hay khả năng

sử dụng của hệ thống. Nếu bảo mật quá chặt chẽ, hệ thống sẽ trở nên rất khó sử dụng hoặc

khó hoạt động một cách hiệu quả. Nếu bảo mật quá đơn giản, hệ thống dễ bị tấn công và

xâm nhập.

Kiểm thử bảo mật Web, theo nghĩa truyền thống, là đánh giá hiệu quả sự bảo vệ

tồn bộ hệ thống Web. Nó u cầu kết hợp nhiều kiến thức về các công nghệ bảo mật,

công nghệ mạng, lập trình, và kinh nghiệm thực tế về thâm nhập các hệ thống mạng. Hầu

hết các kiểm thử viên phần mềm khơng có đầy đủ kiến thức này. Do đó chúng ta cần nghiên cứu, tìm hiểu các kiến thức về bảo mật cho website từ đó có thé đưa ra cách thức thực hiện cũng như đánh giá về khả năng bảo mật của website.

1.2. Mục đích của bảo mật

Tùy thuộc vào các yêu cầu của mỗi hệ thống, mỗi hệ thống có những mục đích khác

nhau, nhưng yêu cầu bảo mật đều có điểm chung là: Đảm bảo sự an toàn dữ liệu cho hệ thống và bảo vệ các tài nguyên trên mạng trước sự tấn công nhằm phá vỡ hệ thống hoặc

sử dụng trái phép các tài nguyên của một số người có chủ ý xấu.

1.3. Thống kê tình trạng bảo mật hiện nay của các trang web

Theo thống kê của trang web bảo mật Security Daily, có đến 1039 website của Việt

Nam bi tan cơng trong vịng nửa đầu tháng 9 năm 2015 — tăng đột biến gấp 4 lần so với các

tháng trước,

Trong số này, có 69 website giáo dục và hơn 30 website của các cơ quan thuộc Chính phủ Việt Nam. Hơn 1000 website các lỗ hồng bị tan công déu là các lỗ hồng cơ bản và đã tồn tại cách đây hơn chục năm và các hacker có thé dé dang tan công các website này. Số

lượng các website bị tin tặc tấn cơng sẽ cịn tiếp tục tăng trong thời gian tới.

Theo thống kê khác của Bkav, tại Việt Nam, trung bình mỗi tháng lại có hơn 300 website của các doanh nghiệp, tổ chức trong nước bị tan công. Tỷ lệ website tồn tai lỗ hổng

ở khu vực Châu Á là 36%, Châu Âu 15%, Châu Mỹ 5% và Châu Phi 33% thì tại Việt Nam

tỷ lệ này là 40%. Như vậy, mức độ bảo mật của hệ thống các webstie Việt Nam chỉ ở mức trung bình so với các nước trong khu vực và thấp so với trên thế giới. Trong đó đáng chú ý

là 30% các website ngân hang tại Việt Nam tổn tai lỗ hồng. Và có tới 2/3 trong số này ở

mức độ nguy hiểm trung bình và cao.

</div>Trang 6<div class="page_container" data-page="6">

Trong chương này đã nêu lên các khái niệm cơ bản về bảo mật, mục đích của bảo mật,

thống kê tình trang bảo mật của website. Đồng thời giới thiệu một số lỗ hồng phổ biến hiện nay. Đề đảm bảo an toàn cho website cần thực hiện kiểm thử bảo mật cho chúng. Việc áp dụng các phương pháp kiêm thử bảo mật website sẽ được giới thiệu ở chương 2 kiểm thử

bảo mật website.

</div>Trang 7<div class="page_container" data-page="7">

CHUONG 2 ~ KIEM THU BẢO MAT WEBSITE

2.1. Giới thiệu về kiểm thử phan mềm

Kiểm thử phần mềm (kiểm tra, thử nghiệm) là một cuộc kiểm tra được tiễn hành để

cung cấp cho các bên liên quan thông tin về chất lượng của sản phẩm hoặc dịch vụ được kiểm thử. Kiểm thử có thể cung cấp cho doanh nghiệp một quan điểm, một cách nhìn độc lập về phần mềm dé từ đó cho phép đánh giá và thấu hiểu được những rủi ro trong qua trình triển khai phan mémKiém thử phần mềm là quá trình thực thi một chương trình với

mục đích tìm lỗi.

2.2. Kiểm thử bảo mật

2.2.1. Mục đích của kiểm thử bảo mật

Với tư cách là kiểm thử viên, là tập trung kiểm thử bảo mật của Website và ứng dụng Web. Điều đó có nghĩa là chúng ta tìm kiếm các lỗ hồng và rị rỉ thơng tin gây nên chủ

yếu do lập trình và do cấu hình sai các trình chủ Web và các trình chủ ứng dụng khác.

2.2.2 Trách nhiệm của kiểm thử bảo mật

Kiểm thử bảo mật liên quan đến trách nhiệm của nhiều người khác nhau sau đây:

2.3. Các loại kiểm thử bảo mat

2.3.1. Kiểm thử yêu cau và thiết kế

Bat kỳ hệ thống nào cũng được xây dựng từ một tập hợp các yêu cầu. Đôi khi

những yêu cầu này được viết một cách rõ ràng, nhưng thường chúng là những phát biểu mập mờ không được định nghĩa rõ ràng về tính bao mật. Vi dụ, có thể có phát biểu “Ung

dụng phải an tồn”. Nhưng “an tồn” nghĩa là gì và nên phải dành bao nhiêu cơng sức và

thời gian để làm cho sản phẩm an toàn. Kiểm thử bảo mật ở giai đoạn yêu cầu thiết kế cho ứng dụng web chính là việc xem xét các u cần thiết có đã mơ tả rõ các tiêu chí cụ thé về

yêu cầu bảo mật cho ứng dụng web hay chưa.

</div>Trang 8<div class="page_container" data-page="8">

2.3.2. Kiểm thử mã nguén

2.3.3. Kiểm thử các thiết lập của trình duyệt

2.3.4. Kiểm thử bức tường lửa

2.4. Quy trình kiểm thử bảo mật website

¢ Bước đầu tiên là phải hiểu được nghiệp vụ hệ thống, mục tiêu bảo mật và tuân thủ bảo mật của tổ chức. Việc lập kế hoạch kiểm tra nên xem xét tất cả các yếu tố bảo

¢ Thu thập tất cả các thông tin thiết lập hệ thong được sử dung dé phát triển phần mềm

và mạng giống như hệ điều hành, cơng nghệ, phần cứng.

« Check list các lỗ hồng và rủi ro bao mật, chuẩn bị kế hoạch kiểm tra dé giải quyết những vấn đề này

¢ Đối với mỗi mối de dọa được xác định, lỗ hồng và rủi ro bảo mật chuẩn bị ma trận lưu vết (traceability matrix).

«e Tat cả các thử nghiệm bảo mật có thể khơng thể thực hiện bang tay, do đó xác định các cơng cụ dé thực hiện tat cả các trường hợp kiểm tra bao mật nhanh hơn và đáng

tin cậy hơn.

« Chuan bi các testcase kiểm tra bảo mật.

« - Thực hiện test các testcase đó và retest các bug đã được sửa.

« Thuc hiện test tích hợp.

‹ Chuan bị báo cáo chi tiết về kiểm tra bảo mật, trong đó có lỗ héng bảo mật và các

mối đe dọa, rủi ro chỉ tiết, và các vấn đề bảo mật khác.

2.4.1. Kiểm thử bảo mật thủ công (manually)

a, Kiểm thử thủ công

Kiểm thử thủ cơng là q trình kiểm thử mà người kiểm thử phải xác định vị trí đữ liệu

cần được gửi đến ứng dụng bang cách sử dụng các intercepting proxy (là một ứng dụng

nam giữa ứng dụng và trình duyệt, cho phép người kiêm thử thay đổi giá trị một cách tùy biến trước khi gửi đến đến ứng dụng) và tập dữ liệu cần gửi đến ứng dụng tương ứng với các vị trí gửi đã xác định trước đó. Kiểm thử thủ công bao gồm design, business logic cũng như xác minh mã nguồn. Quá trình kiểm thử thâm nhập:

o_ Xác định các 16 hồng có trong hệ thống là bước quan trọng đầu tiên trong quá

o Hoạt động sửa chữa được thực hiện trên những lỗ hồng này.

</div>Trang 9<div class="page_container" data-page="9">

o_ Kiểm thử thâm nhập tương tự sẽ được lặp lại cho đến khi hệ thống từ chối tat

cả các cuộc kiểm tra.

b, Các bước kiểm thử bảo mật thủ công

o Thu thập dữ liệu

o Đánh giá tính chat dé bị tổn thương của hệ thống

o Khai thác thực tế: Day là một bước cực kỳ quan trọng

o Phân tích kết qua và chuẩn bị báo cáo

Quá trình tìm kiếm lỗi bảo mật trong mã nguồn của ứng dụng bằng phương pháp thủ cơng thì phải địi hỏi người kiểm thử phải có một phương pháp kiểm thử và ra sốt hợp lý. Bởi vì khối lượng tập tin cũng như nội dung trong các ứng dụng web

là rất lớn, nếu như khơng có một phương pháp rà sốt và đánh giá hợp lý thì sẽ tiêu tốn rất nhiều thời gian dé phát hiện lỗi.

2.4.2. Kiểm thử bảo mật tự động (Automation)

Phương pháp kiểm thử lỗi tự động là q trình các cơng cụ sẽ thực hiện tự động quét thư mục, tập tin của ứng dụng web và tự động xác định các điểm mà cần đệ trình dữ liệu. Trên cơ sở đã xác định các điểm cần gửi tự động đến công cụ sẽ thực hiện gửi các tập dữ liệu được định nghĩa sẵn và chờ sự phản hồi từ phía ứng dung web dé kiểm tra xem liệu ứng

dụng đó có bị các lỗi bảo mật hay không.

Công cụ tự động có thể được sử dụng để xác định một số lỗ hồng tiêu chuẩn hiện tại trong một ứng dụng. Công cụ kiểm thử bảo mật quét mã hiện nay dùng dé kiểm tra xem có mã độc hay khơng có thé dẫn đến vi phạm an ninh tiềm tàng. Công cụ kiểm thử bảo mật không thé xác minh lỗ hồng bảo mật hiện tại trong hệ thống như các kỹ thuật mã hóa đữ liệu và các giá

trị mã cứng giơng như username và password.

Các tiêu chí dé chọn cơng cụ kiểm thử bảo mật tốt nhất:

o Nó sẽ dé dàng được triển khai, cấu hình và sử dụng o Nó sẽ quét được hệ thống một cách dễ dàng

o Nó có thé phân loại lỗ hong dựa trên mức độ nghiêm trọng cần sửa chữa ngay

lập tức.

o Có khả năng tự động xác minh các lỗ hồng.

o Có thé xác minh lại những khai thác mà đã được tìm thấy trước đó. o Nó sẽ tạo ra các báo cáo và các bản ghi chỉ tiết về lỗ hồng.

</div>Trang 10<div class="page_container" data-page="10">

2.5. Cac phuong phap kiém thir bao mat 2.5.1. Phwong phap kiém tra hép trang

2.5.1.1. Nội dung phương pháp

Phương pháp kiểm tra hộp trắng các lỗi bảo mật trên ứng dụng web là quá trình kiểm tra

trực tiếp mã nguồn của ứng dụng web để tìm ra các lỗi bảo mật. Quá trình quan sát và kiểm

tra mã nguồn có thể thực hiện thủ cơng hoặc thực hiện băng cơng cụ. Q trình thực hiện bằng cơng cụ tức là q trình mà cơng cụ sẽ thực hiện quét toàn bộ mã nguồn của ứng dụng

và dựa trên tập nhận biết các hàm, các chỉ dẫn có khả năng gây ra lỗi bởi ngơn ngữ lập trình

phát triển ứng dụng web

a, Kiểm thử đường diễn tiến của chương trình

Đây là khái niệm chỉ đến việc thiết kế các trường hợp kiểm thử trên từng lệnh trong chương trình sẽ thực hiện ít nhất một lần. Kỹ thuật này không quan tâm đến ảnh hưởng lên

các đường quyết định (decisions path).

Việc xây dựng tập hợp kiểm thử có thé thực hiện theo những bước sau đây:

1) Dùng tài liệu thiết kế hay source code dé vẽ ra một đồ thị mơ tả flow chart của

chương trình hay hàm.

2) Xác định đồ thị V(G).

3) Từ đồ thị xác định tập đường độc lập tuyến tính lẫn nhau.

4) Xây dựng những trường hợp kiểm thử dựa trên tập đường xác định ở bước

Mỗi trường hợp được chạy và so sánh với kết quả mong đợi. Nếu tất cả các trường hợp kiểm định đều cho kết quả như mong muốn thi có thé khang định rằng tat cả các dòng lệnh trong thủ tục average đều được kiểm thử ít nhất một lần.

b, Kiểm thử cấu trúc điều khiển

e Kiểm thử các biểu thức điều kiện

Kiểm thử biểu thức điều kiện là phương pháp kiểm thử trên những điều kiện logic của hàm hay module. Một điều kiện đơn giản là một biến boolean hoặc là một biểu thức

quan hệ:

- _ X hay Not X một điều kiện logic đơn giản.

- Biểu thức quan hệ thường có dạng : El <phép toán quan hệ> E2

</div>Trang 11<div class="page_container" data-page="11">

El, E2 là các biểu thức số học và phép toán quan hệ là một trong các phép toán sau :

<, <=, ==,! =, > hay >=. Một điều kiện kết hợp của 2 hay nhiều điều kiện đơn giản, các

phép toán boolean: OR (| 1, AND (&) and NOT (!)

Các loại lỗi của điều kiện bao gồm:

- Lỗi trong các thao tác luận lý (lỗi tồn tại một biéu thức không đúng, thiếu hoặc thừa

các thao tác luận lý):

- Lỗi do giá trị của biến luận lý - Lỗi do dấu ngoặc

- _ Lỗi do phép toán quan hệ

- Lỗi trong biểu thức tốn học

Mục đích của kiểm thử cấu trúc điều khiển là phát hiện không chỉ lỗi trong điều kiện mà còn những lỗi khác trong chương trình. Nếu một tập kiểm thử cho một chương trình P là hiệu quả cho việc phát hiện lỗi trong điều kiện của P, thì bộ kiêm thử đị cũng có thé phát

hiện các lỗi khác trong P.

E1 <phép tốn quan hệ> E2

Ba trường hợp kiểm thử được yêu cầu dé kiểm tra là giá trị E1 lớn hơn, nhỏ hơn và bằng giá trị của E2. Nếu <phép toán quan hé> là không đúng và El, E2 là đúng thì 3 loại kiểm thử trên có đảm bảo có thê xác định được lỗi trong phép toán quan hệ. Dé phát hiện lỗi trong Elva E2 thì các trường hợp kiểm thử E1 lớn hơn, nhỏ hơn E2 có thé phát hiện ra được

Một biểu thức có n biến, thì có 2n khả năng kiểm thử xảy ra khi (n>0). c, Kiểm thử luồng dir liệu (DFT)

Phương pháp kiểm thử luéng dữ liệu chon lựa một số đường diễn tiến của chương trình dựa vào việc cấp phát, định nghĩa, và sử dụng những biến trong chương trình.

Phương pháp kiểm thử luồng đữ liệu yêu cầu rằng tất cả các chuỗi DU đều được kiểm thử ít nhất một lần.

DFT rất hữu ich cho các loại kiếm thử một chương trình có nhiều lệnh if và lệnh lặp lồng nhau nhiều cấp.

d, Kiểm thử vòng lặp

</div>Trang 12<div class="page_container" data-page="12">

Vòng lặp là một trong những nền tảng cho rất nhiều các thuật toán được cài đặt trong các phần mềm. Tuy nhiên, cho đến lúc này chúng ta vẫn cịn ít chú ý đến việc xây dựng các trường hợp đề kiểm thử.

Kiểm thử vòng lặp tập trung vào tính chất của cấu trúc vịng lặp. Có 4 cấu trúc vòng lặp như sau: vòng lặp đơn giản, vòng lặp móc nối, vịng lặp tạo thành tơ, và vịng lặp không

e Chỉ cần một lần duyệt xuyên qua cả vòng lặp

e Hai lần duyệt xuyên qua cả vòng lặp

e m lần duyệt xuyên qua cả vòng lặp

e n-l,n,ntl lần duyệt xun qua cả vịng lặp

(2) Vong lặp tạo tơ

Nếu như chúng ta mở rộng phương pháp kiểm thử cho vịng lặp đơn thì số lượng trường hợp kiêm thử sẽ tăng rất nhiều. Sau đây là một cách là giảm sồ lượng trường hop kiểm thử:

e Bắt đầu tại vòng lặp con trong cùng. Thiết lập tat cả các vịng lặp khác là giá tri

e Kiểm sốt vịng lặp ở trong cùng trong khi giữ các vòng lặp bên ngồi lặp lai với giá trị là minimum thơng số ảnh hưởng nhau (thơng số đó có thể là biến lặp). Thêm mơt

sỐ trường hợp ngồi phạm vi của biến lặp và một sé giá tri đặc biệt.

e_ Thực hiên như bước trên và tiến ra ngoài dan

e Thực hiện tiếp cho đến khi tất cả các vòng lặp được kiểm thử hết. (3) Vịng lặp móc nối

</div>Trang 13<div class="page_container" data-page="13">

Đối với kiểu này có thé kiểm thử bằng cách như với vòng lặp đơn ở trên nếu các bién

lặp độc lập với nhau. Tuy nhiên nếu 2 vòng lặp là móc nối và biến lặp của vịng lặp thứ nhất được sử dụng như là biến khởi tạo cho vịng lặp 2 thì 2 vịng lặp này khơng còn độc lặp nữa. Phương pháp dùng cho vòng lặp tạo tổ sẽ được sử dụng ở đây.

(4) Vòng lặp khơng có cấu trúc

Khi nào gặp các cau trúc lặp như vậy thì nên thiết kế lại. Việc kiểm thử rất phức tap.

2.5.1.2. Một số công cụ tiêu biểu

Một số công cụ giúp kiểm thử bao mật website áp dụng phương pháp kiêm thử hộp trang

a, AppCodeScan

Là công cụ hỗ trợ việc quét mã nguồn là AppCodeScan do Blueinfy Solutions Pvt. Ltd. phát

Việc thực hiện quét mã nguồn bằng công cụ rất đơn giản. Chỉ cần lựa chọn thư mục có chứa mã nguồn ứng dụng Web cần scan và thực hiện lựa chọn rule (lựa chọn các kiểu cần áp

dụng cho q trình scan).

b, Cơng cu RATS (Rough Auditing Tool for Security)

Công cu RATS cũng là một trong những cơng cụ thực hiện rà sốt mã nguồn đối với một số ứng

dụng được viết bằng các ngôn ngữ như C, C++, Perl, PHP, Python và Ruby do Secure Software Incphát triển. Công cụ này cũng chỉ dựa trên tập các hàm mà có nguy cơ gây ra lỗi bảo mật đối với

dụng và nó thực hiện scan với tốc độ cao. Sau khi thực hiện chạy cơng cụ thì công cụ sẽ đưa ra mộtdanh sách các hàm và vị trí trong mã nguồn, giúp người kiểm tra có thể nhanh chóng tập trung ra

sốt lại các hàm mà RATS đưa ra, kiểm tra liệu khi sử dụng các hàm đó đã an tồn hay chưa.

2.5.2. Phương pháp kiểm thử hộp đen

2.5.2.1. Nội dung phương pháp

Phương pháp kiểm tra hộp đen các lỗi bảo mật trên ứng dụng web đề cập đến việc kiểm

tra các ứng dụng từ bên ngoài, tức là quan sát các đữ liệu được đệ trình đến ứng dụng và các dữ liệu từ ứng dụng xuất ra mà không cần hiểu đến hoạt động bên trong của nó. Q trình đệ trình dữ liệu từ bên ngồi đến ứng dụng có thể thực hiện bằng thủ công hoặc sử dụng công cụ tự động gửi đến ứng dụng.