Posted on 06/07/2020 by CyRadar
Một số Lời khuyên về Kiểm thử Ứng dụng di động
Hoạt động kiểm thử thâm nhập là bước thiết yếu và quan trọng trong việc đánh giá mức độ bảo mật của hệ thống mạng, website hoặc cơ sở dữ liệu của một tổ chức. Với sự phát triển chóng mặt của các loại điện thoại thông minh thì việc kiểm thử ứng dụng di động cũng vô cùng cần thiết. Dưới đây là một số lời khuyên hữu ích dành cho những “Pentester không chuyên”.
- Lên kế hoạch chi tiết
Với mỗi môi trường khác nhau thì việc thâm nhập, khai thác thông tin và đưa ra đánh giá cần có những cách thức khác nhau. Bạn cần chọn cho mình phương pháp phù hợp cũng như cân nhắc từng bước trong kế hoạch.
- Lựa chọn công cụ phù hợp
Bên cạnh các công cụ trả phí cũng có rất nhiều công cụ hỗ trợ kiểm thử miễn phí rất đáng thử.
- Cydia
- Apktool
- Appcrack
- Burp Proxy
- Wireshark
- OWASP ZAP
- Tcdump
- Chuẩn bị môi trường kiểm thử kỹ càng
Như bạn đã biết, mỗi hệ điều hành có những quy tắc hoạt động riêng, ví dụ như Apple không khuyến cáo người dùng jailbreak chiếc Iphone của mình nhưng nếu bạn biết chính xác những gì mình đang làm thì việc trải nghiệm một chiếc điện thoại nhiều tính năng hơn lại vô cùng hấp dẫn với những tín đồ công nghệ thực thụ.
- iOS: www.evasi0n.com
- Android: oneclickroot.com
- Sử dụng thời gian khôn ngoan
Tùy thuộc vào độ lớn của phần việc kiếm thử di động mà bạn đã lên kế hoạch, bạn sẽ cần khoảng thời gian tương ứng và đôi lúc quỹ thời gian bạn có chỉ để kiểm thử một phần chứ không phải toàn bộ ứng dụng. Vì vậy hãy bám theo khung thời gian ban đầu, chuyển sang phần tiếp theo khi cần thiết, tránh chú tâm vào những tiểu tiết.
- Giả lập tấn công server
Việc kiểm tra mức độ an toàn của môi trường server cũng như server nơi lưu trữ và tải ứng dụng là quan trọng ngang nhau. Nmap là một công cụ thường được sử dụng khi khai thác ở khía cạnh này. Ngoài ra bạn cũng nên lưu ý các điểm sau:
- Cơ chế xác thực giữa điện thoại và server
- Các file được hoặc không được phép tải lên
- Open redirect
- Chia sẻ tài nguyên nguồn gốc chéo
- Tập trung, kiên nhẫn và thật kỹ càng
Kiểm thử thâm nhập dù chỉ một hay nhiều ứng dụng điện thoại chưa bao giờ là điều dễ dàng và đôi khi rất nhàm chán. Nhưng nếu bạn bỏ lỡ một bước nào đó thì hậu quả để lại là rất khôn lường, không chỉ cho bạn mà cả tổ chức. Vì vậy hãy luôn tính đến trường hợp ứng dụng đang có lỗi chứ đừng tự tin vào điều ngược lại.
- Giả lập tấn công mạng
Khi kiểm thử kết nối mạng giữa điện thoại hay thiết bị không dây với máy chủ nơi tải ứng dụng xuống, hãy nhớ tận dụng các phần mềm thám thính. Các công cụ này được sử dụng để thu thập thông tin và dữ liệu quan trọng không chỉ liên quan đến lưu lượng mạng mà còn cả các gói dữ liệu. Từ đây, các kết quả có thể được sử dụng để xác định và hình thành loại hình kiểm thử cần được thực hiện. Hãy chú ý:
- Kiểm tra các cơ chế xác thực, ủy quyền và quản lý phiên được triển khai
- Kiểm tra các giao thức mã hóa được thực hiện
- Tận dụng mã nguồn
Quá trình này liên quan đến việc tạo ra một đoạn mã chuyên dụng và xếp nó vào mã nguồn đã được phát triển. Mục đích chính của việc này là tạo ra một cửa hậu, để điều tra các đối tượng mã nguồn ở mức chi tiết hơn nhiều. Với điều này, bạn có thể chẩn đoán bất kỳ sai sót hoặc lỗi không xác định nào trong mã nguồn để chứng minh đó là lỗ hổng bảo mật.
- Cải thiện kỹ năng kiểm thử bằng việc thường xuyên luyện tập
Các trang web sau đây sẽ giúp bạn “lên tay” đánh giá và kiểm thử ứng dụng di dộng
- The Androick Project Page
- Mobisec
- The Damn Vulnerable iOS Application (DVIA)
- Kiểm tra cả Binary và phân tích File
Khi kiểm tra giao diện lập trình ứng dụng bạn cần chú ý tới:
- Lỗi tràn bộ đệm
- Tấn công sử dụng SQL injection
Công cụ tham khảo:
- IDA
- The Hopper Disassembler
Tóm lại, trước khi thực hiện bất kỳ hoạt động kiểm thử nào cho ứng dụng di động, website hay cả hệ thống mạng, bạn cần khảo sát kỹ môi trường, lên khung thời gian, lựa chọn công cụ và cách tiếp cận phù hợp. Ngoài ra sau khi kiểm thử bạn cũng nên ghi lại những lỗi, lỗ hổng (nếu có) để tìm cách khắc phục và kiểm tra định kỳ các lỗi này ở những lần kiểm thử sau.
Các tổ chức, doanh nghiệp có nhu cầu đánh giá hệ thống, thực hiện hoạt động kiểm thử hệ thống mạng, website và ứng dụng di động vui lòng liên hệ: [email protected] để được tư vấn miễn phí!