VNPT Pentest là dịch vụ Xác định các lỗ hổng bảo mật của ứng dụng Web App, Mobile App bằng một cuộc tấn công kiểm thử xâm nhập thực sự với vai trò hacker bên ngoài.VNPT Pentest phân tích rủi ro, ảnh hưởng của những lỗ hổng và đánh giá mức độ ảnh hưởng đến an toàn, bảo mật hệ thống. Đưa ra khuyến cáo để khắc phục các lỗ hổng bảo mật.
> Xem thêm: Audit – Kiểm thử ATTT Hạ Tầng CNTT
> Xem thêm: Redteam – Dịch vụ giả lập tấn công mạng hệ thống
Lợi ích của dịch vụ VNPT Pentest
Phương pháp thực hiện dịch vụ kiểm thử xâm nhập ATTT
Không được cung cấp bất cứ thông tin nào về mục tiêu kiểm thử, đóng vai trò như một hacker từ bên ngoài |
Được cung cấp một phần thông tin vềmục tiêu kiểm thử |
Được cung cấp đầy đủ thông tin (mã nguồn, tài khoản quản trị,..) |
OWASP (Open Web Application Security Project)
OWASP Mobile Security Testing Guide
Pentest whitebox Web app, Android & iOS Mobile Application bao gồm nhưng không giới hạn các hạng mục
Threat Modeling
Quy trình cung cấp dịch vụ kiểm thử ATTT
LẬP KẾ HOẠCH TRIỂN KHAI TỔNG THỂ
STT | Giai đoạn | Công việc chi tiết |
1 | Khảo sát hệ thống và thống nhất kế hoạch | -Thống nhất nội dung, kế hoạch sẽ thực hiện
-Khảo sát thông tin hệ thống |
2 | Đánh giá kiến trúc an ninh CNTT | -Khảo sát, phân tích, đánh giá kiến thúc hệ thống thống tìm ra các điểm yếu, lỗ hổng ở mức kiến trúc.
-Đánh giá các role, policy trên hệ thống |
3 | Đánh giá điểm yếu về mặt kỹ thuật
(VA – Vulnerability Assessment) |
-Rà soát lại các thành phần, dịch vụ trong hệ thống, tìm ra, liệt kệ ra các mối nguy cơ mất ATTT, hay rủi ro tiềm tàng trên hệ thống ( thực hiện theo chiều rộng của hệ thống) |
4 | Đánh giá xâm nhập thử nghiệm kiểm thử bảo mật dò quét lỗ hổng và khắc phục điểm yếu với ứng dụng trên mobile/ ứng dụng web | – Thực hiện việc tấn công hệ thống như những attacker thực tế từ đó tìm ra các lỗ hổng, điểm yếu của hệ thống để có biện pháp khắc phục kịp thời.
– Pentest theo các hình thức: black box, grey box, external, internal. |
5 | Báo cáo tổng hợp | Báo cáo quá trình đánh giá, rà quét hệ thống |
Quy trình pentest kiểm thử xâm nhập, đánh giá ATTT
TT ATTT – VNPT IT | Khách hàng |
– Khảo sát các hệ thống, website và ứng dụng trong danh mục yêu cầu kiểm thử
– Triển khai thực hiện rà quét lỗ hổng và kiểm thử xâm nhập theo quy trình của TT ATTT- VNPT IT : + Thu thập thông tin + Mô hình hóa các mối đe dọa + Phân tích lỗ hổng +Thử nghiệm xâm nhập + Báo cáo -Xây dựng các nền tảng ứng dụng giả lập trên môi trường Security Test Lab tại VNPT IT tùy vào hệ thống đặc thù của từng đơn vị như SharePoint, WebLogic Server, Liferay Portal … phục vụ Research, PoC khai thác lỗ hổng. |
– Cung cấp yêu cầu hỗ trợ kỹ thuật để thực hiện các bài kiểm thử
– Điều động nhân sự phù hợp tham gia phối hợp giám sát thực hiện – Tiếp nhận báo cáo thường trực từ TT ATTT – VNPT IT |
STT | Hạng mục | VNPT |
1 | Quy trình pentest kiểm thử xâm nhập, đánh giá ATTT | Triển khai thực hiện rà quét lỗ hổng và kiểm thử xâm nhập theo quy trình của TT ATTT – VNPT IT :
+ Thu thập thông tin + Mô hình hóa các mối đe dọa + Phân tích lỗ hổng + Thử nghiệm xâm nhập + Báo cáo Xây dựng các platform nền tảng ứng dụng web giả lập trên môi trường Security test lab tại VNPT phục vụ kiểm thử lỗ hổng bảo mật. Ví dụ đối với các hệ thống đặc thù của từng đơn vị như SharePoint, WebLogic Server, Liferay Portal … Team Pentest sẽ build và tìm lỗ hổng cho các ứng dụng này. |
2 | Các bước thực hiện kiểm thử ứng dụng Web, Mobile App. | Kết hợp cả kỹ thuật tự động và kỹ thuật thủ công. Ngoài việc sử dụng các công cụ tự động để rà quét lỗ hổng, VNPT thực hiện kỹ thuật thủ công để xác định những điểm yếu không được phát hiện bởi công cụ tự động và loại bỏ các lỗ hổng false positive từ công cụ tự động. Phân tích thủ công cụ thể từng request, response giữa client – server và các API, system, platform … có nguy cơ khai thác trong ứng dụng web và mobile app. |
3 | Kho dữ liệu zero-day về các nền tảng ứng dụng web và hệ thống CNTT. | Các chuyên gia VNPT có kinh nghiệm chuyên sâu trong nghiên cứu lỗ hổng zero-day. Cơ sở dữ liệu về các lỗ hổng zeroday của VNPT bao gồm (Liferay JSON Deserialization, Weblogic T3 Protocol Deserialization, Remote Code Execution TP-Link, Remote Code Execution NetGear … ) được đội ngũ Pentest tích lũy trong thời gian nghiên cứu và thực hiện kiểm thử thâm nhập cho các hệ thống CNTT trong nhiều năm liền |
4 | Hệ thống crawl, do thám dữ liệu tự động của đơn vị được đánh giá | VNPT xây dựng hệ thống crawl dữ liệu và áp dụng các mô hình Machine learning để phân tích dữ liệu nhạy cảm của đơn vị bị leak trên môi trường internet ví dụ account login vào các hệ thống mail , CMS … |
Báo cáo hệ thống đánh giá ATTT
Phân loại lỗ hổng dựa trên mức độ ảnh hưởng.
Phân loại lỗ hổng dựa trên mức độ ảnh hưởng.
PoC, phân tích root-cause của vấn đề, đưa ra khuyến nghị khắc phục
STT | Danh sách các lỗ hổng | Mức độ | Mô tả | Hệ thống bị ảnh hưởng |
1 | Business logic vulnerability | Nghiêm trọng | -Đánh cắp tiền trong tài khoản người dùng bất kì sử dụng Mobile Banking.
-Tạo 1 giao dịch chuyển tiền hợp lệ mà không cần xác thực OTP. |
Mobile Banking |
2 | XXE (XML External
Entity) |
Nghiêm trọng | Lỗ hổng tồn tại trong quá trình xử lý RouteComplaint SOAP request đến EWS service
endpoint. Attacker có thể thông qua lỗ hổng XXE read file hệ thống dẫn đến RCE chiếm quyền điều hệ thống Mail |
Microsoft Exchange
Server Mail Server |
3 | Stored XSS | Cao | Lỗ hổng ở chức năng upload tệp tin Media, attacker có thể upload tệp tin .svg và chèn vào
các payload khai thác lỗ hổng XSS. |
Portal internet |
4 | SQL Injection | Nghiêm trọng | Lỗ hổng tồn tại trên hệ thống One Admin, cho phép kẻ tấn công có thể inject các câu lệnh
SQL tuỳ ý, dump toàn bộ cơ sở dữ liệu trên hệ thống. |
Mobile Banking |
5 | Insecure direct object references (IDOR) | Cao | Lỗ hổng tồn tại trên hệ thống Member Portal, cho phép brute-force mã cif của người dùng để
lấy được thông tin (tên, cmnd, số điểm); xoá voucher của người khác |
Mobile Banking |
6 | Arbitrary File Download lead to RCE | Nghiêm trọng | Kẻ tấn công có thể đọc file config trên máy chủ, lấy các thông tin nhạy cảm (username,
password) kết nối đến các hệ thống khác, history … |
CMS
Mobile Banking |
7 | Unrestricted File Upload | Nghiêm trọng | Lỗ hổng cho phép upload file tùy ý lên máy chủ cms mobile banking từ đấy chiếm quyền điều
khiển máy chủ. |
CMS
Mobile Banking |
8 | Broken Access Control | Cao | Lỗ hổng cho phép người dùng có quyền thấp thực hiện tác vụ của người dùng có quyền cao. | CMS
Mobile Banking |
Báo giá
Liên hệ
Đăng ký
- Dịch vụ bảo mật VNPT MMS
- Phần mềm Chấm Công – Điểm danh VNPT VnFace
- VNPT DNS Protection
- VNPT Pentest – Kiểm thử xâm nhập ATTT
- Smart IR – phát hiện và ứng cứu sự cố điểm cuối
- VNPT AntiDDOS
- VNPT SOC – Giám sát An toàn thông tin
- ID Check – Xác thực Căn cước công dân gắn Chip
- Cloud WAF – Dịch vụ bảo vệ Web/App
- Audit – Kiểm thử ATTT Hạ Tầng CNTT
- Redteam – Dịch vụ giả lập tấn công mạng hệ thống
- Tổng đài 1800
- Tổng đài 1900
- VNPT Cloud Contact Center
- Dịch vụ số hóa tài liệu VNPT eDIG
- VNPT E-Office Điều hành văn phòng điện tử
- Định danh điện tử VNPT EKyc
- Hợp đồng điện tử – VNPT Econtract
- Phần mềm Chấm Công – Điểm danh VNPT VnFace
- SMCC – Lắng nghe và chăm sóc thương hiệu Online
- Ký số HSM Hóa đơn điện tử
- Ký số tập trung VNPT-CA SignServer
- VNPT BioID
- VNPT DNS Protection
- VNPT Smartbot
- VNPT Pentest – Kiểm thử xâm nhập ATTT
- Smart IR – phát hiện và ứng cứu sự cố điểm cuối
- FaceID – Chứng thực điện tử theo QĐ2345
- ID Check – Xác thực Căn cước công dân gắn Chip