Địa chỉ KĐT Pháp Vân, Ngõ 161 Ngọc Hồi, Hoàng Liệt, Hoàng Mai, Hà Nội Cài APP
Email Ducht.hni@vnpt.vn Hotline: 0919.97.92.91
Địa chỉ KĐT Pháp Vân, Ngõ 161 Ngọc Hồi, Hoàng Liệt, Hoàng Mai, Hà Nội Cài APP
Email Ducht.hni@vnpt.vn Hotline: 0919.97.92.91

VNPT Pentest – Kiểm thử xâm nhập ATTT

VNPT Pentest là dịch vụ Xác định các lỗ hổng bảo mật của ứng dụng Web App, Mobile App bằng một cuộc tấn công kiểm thử xâm nhập thực sự với vai trò hacker bên ngoài.VNPT Pentest phân tích rủi ro, ảnh hưởng của những lỗ hổng và đánh giá mức độ ảnh hưởng đến an toàn, bảo mật hệ thống. Đưa ra khuyến cáo để khắc phục các lỗ hổng bảo mật.

VNPT Pentest
Dịch vụ kiểm thử an toàn thông tin VNPT Pentest

Lợi ích của dịch vụ VNPT Pentest

Dịch vụ kiểm thử an toàn thông tin
Kiểm thử xâm nhập ATTT VNPT

Phương pháp thực hiện dịch vụ kiểm thử xâm nhập ATTT

  

Không được  cung cấp bất cứ  thông tin nào về  mục tiêu kiểm thử, đóng vai trò như một hacker  từ bên ngoài

Được cung cấp  một phần  thông tin vềmục tiêu kiểm  thử

Được cung cấp  đầy đủ thông  tin (mã nguồn,  tài khoản quản  trị,..)

OWASP (Open Web Application Security Project)

OWASP Mobile Security Testing Guide

Pentest whitebox Web app, Android & iOS Mobile Application bao gồm nhưng không giới hạn các hạng mục

 

Threat Modeling

Kiểm thử xâm nhập ATTT VNPT
hệ thống đánh giá ATTT VNPT

Quy trình cung cấp dịch vụ kiểm thử ATTT

LẬP KẾ HOẠCH TRIỂN KHAI TỔNG THỂ

STT Giai đoạn Công việc chi tiết
1 Khảo sát hệ thống và thống nhất kế hoạch -Thống nhất nội dung, kế hoạch sẽ thực hiện

-Khảo sát thông tin hệ thống

2 Đánh giá kiến trúc an ninh CNTT -Khảo sát, phân tích, đánh giá kiến thúc hệ thống thống tìm ra các điểm yếu, lỗ hổng ở mức kiến trúc.

-Đánh giá các role, policy trên hệ thống

3 Đánh giá điểm yếu về mặt kỹ thuật

(VA – Vulnerability Assessment)

-Rà soát lại các thành phần, dịch vụ trong hệ thống, tìm ra, liệt kệ ra các mối nguy cơ mất ATTT, hay rủi ro tiềm tàng trên hệ thống ( thực hiện theo chiều rộng của hệ thống)
4 Đánh giá xâm nhập thử nghiệm kiểm thử bảo mật dò quét lỗ hổng và khắc phục điểm yếu với ứng dụng trên mobile/ ứng dụng web – Thực hiện việc tấn công hệ thống như những attacker thực tế từ đó tìm ra các lỗ hổng, điểm yếu của hệ thống để có biện pháp khắc phục kịp thời.

– Pentest theo các hình thức: black box, grey box, external, internal.

5 Báo cáo tổng hợp Báo cáo quá trình đánh giá, rà quét hệ thống
hệ thống đánh giá ATTT
VNPT Pentest

Quy trình pentest kiểm thử xâm nhập, đánh giá ATTT

TT ATTTVNPT IT Khách hàng
–  Khảo sát các hệ thống, website và ứng dụng trong danh  mục yêu cầu kiểm thử

–  Triển khai thực hiện rà quét lỗ hổng và kiểm thử xâm nhập theo quy trình của TT ATTT- VNPT IT :

+ Thu thập thông tin

+ Mô hình hóa các mối đe dọa

+ Phân tích lỗ hổng

+Thử nghiệm xâm nhập

+ Báo cáo

-Xây dựng các nền tảng ứng dụng giả lập trên môi trường Security Test Lab tại VNPT IT tùy vào hệ thống đặc thù của từng đơn vị như SharePoint, WebLogic Server, Liferay Portal … phục vụ Research, PoC khai thác lỗ hổng.

– Cung cấp yêu cầu hỗ trợ kỹ thuật để thực hiện các bài kiểm thử

– Điều động nhân sự phù hợp tham gia phối hợp giám sát thực hiện

– Tiếp nhận báo cáo thường trực từ TT ATTT – VNPT IT

STT Hạng mục VNPT
1 Quy trình pentest kiểm thử xâm nhập, đánh giá ATTT Triển khai thực hiện rà quét lỗ hổng và kiểm thử xâm nhập theo quy trình của TT ATTT – VNPT IT :

+ Thu thập thông tin

+ Mô hình hóa các mối đe dọa

+ Phân tích lỗ hổng

+ Thử nghiệm xâm nhập

+ Báo cáo

Xây dựng các platform nền tảng ứng dụng web giả lập trên môi trường Security test lab tại VNPT phục vụ kiểm thử lỗ hổng bảo mật. Ví dụ đối với các hệ thống đặc thù của từng đơn vị như SharePoint, WebLogic Server, Liferay Portal … Team Pentest sẽ build và tìm lỗ hổng cho các ứng dụng này.

2 Các bước thực hiện kiểm thử ứng dụng Web, Mobile App. Kết hợp cả kỹ thuật tự động và kỹ thuật thủ công. Ngoài việc sử dụng các công cụ tự động để rà quét lỗ hổng, VNPT thực hiện kỹ thuật thủ công để xác định những điểm yếu không được phát hiện bởi công cụ tự động và loại bỏ các lỗ hổng false positive từ công cụ tự động. Phân tích thủ công cụ thể từng request, response giữa client – server và các API, system, platform … có nguy cơ khai thác trong ứng dụng web và mobile app.
3 Kho dữ liệu zero-day về các nền tảng ứng dụng web và hệ thống CNTT. Các chuyên gia VNPT có kinh nghiệm chuyên sâu trong nghiên cứu lỗ hổng zero-day. Cơ sở dữ liệu về các lỗ hổng zeroday của VNPT bao gồm (Liferay JSON Deserialization, Weblogic T3 Protocol Deserialization, Remote Code Execution TP-Link, Remote Code Execution NetGear … ) được đội ngũ Pentest tích lũy trong thời gian nghiên cứu và thực hiện kiểm thử thâm nhập cho các hệ thống CNTT  trong nhiều năm liền
4 Hệ thống crawl, do thám dữ liệu tự động của đơn vị được đánh giá VNPT xây dựng hệ thống crawl dữ liệu và áp dụng các mô hình Machine learning để phân tích dữ liệu nhạy cảm của đơn vị bị leak trên môi trường internet ví dụ account login vào các hệ thống mail , CMS …

Báo cáo hệ thống đánh giá ATTT

Phân loại lỗ hổng dựa trên mức độ ảnh hưởng.

Phân loại lỗ hổng dựa trên mức độ ảnh hưởng.

PoC, phân tích root-cause của vấn đề, đưa ra khuyến nghị khắc phục

STT Danh sách các lỗ hổng Mức độ tả Hệ thống bị ảnh hưởng
1 Business logic  vulnerability Nghiêm trọng -Đánh cắp tiền trong tài khoản người dùng bất kì sử dụng Mobile Banking.

-Tạo 1 giao dịch chuyển tiền hợp lệ mà không cần xác thực OTP.

Mobile Banking
2 XXE (XML External

Entity)

Nghiêm trọng Lỗ hổng tồn tại trong quá trình xử lý RouteComplaint SOAP request đến EWS service

endpoint.

Attacker có thể thông qua lỗ hổng XXE  read file hệ thống dẫn đến RCE chiếm quyền điều hệ  thống Mail

Microsoft Exchange

Server  Mail Server

3 Stored XSS Cao Lỗ hổng ở chức năng upload tệp tin Media, attacker có thể upload tệp tin .svg và chèn vào

các payload khai thác lỗ hổng XSS.

Portal internet
4 SQL Injection Nghiêm trọng Lỗ hổng tồn tại trên hệ thống One Admin, cho phép kẻ tấn công có thể inject các câu lệnh

SQL tuỳ ý, dump toàn bộ cơ sở dữ liệu trên hệ thống.

Mobile Banking
5 Insecure direct  object references  (IDOR) Cao Lỗ  hổng  tồn  tại  trên  hệ  thống  Member  Portal,  cho  phép  brute-force  mã  cif  của  người  dùng  để

lấy được thông tin (tên, cmnd, số điểm); xoá voucher của người khác

Mobile Banking
6 Arbitrary File  Download lead to RCE Nghiêm trọng Kẻ tấn công có thể đọc file config trên máy chủ, lấy các thông tin nhạy cảm (username,

password) kết nối đến các hệ thống khác, history …

CMS

Mobile Banking

7 Unrestricted File  Upload Nghiêm trọng Lỗ hổng cho phép upload file tùy ý lên máy chủ cms mobile banking từ đấy chiếm quyền điều

khiển máy chủ.

CMS

Mobile Banking

8 Broken Access Control Cao Lỗ hổng cho phép người dùng có quyền thấp thực hiện tác vụ của người dùng có quyền cao. CMS

Mobile Banking

Báo giá

Liên hệ

Đăng ký


    Series Navigation<< VNPT DNS ProtectionSmart IR >>
    Series Navigation<< VNPT SmartbotSmart IR >>

    Leave a Reply

    Bài viết mới

    SDWan
    28/01/2021
    Ứng dụng đặt lịch khám bệnh Vncare
    10/03/2022
    VNPT Meeting – Hội nghị truyền hình
    04/07/2019
    Tổng đài Meg Vinaphone
    28/03/2018
    Quản lý Hộ Kinh doanh – VNPT HKD
    10/03/2022
    VNPT - Giải Pháp Doanh Nghiệp