14. Phòng chống SQL Injection
• Prepared Statements (with Parameterized
Queries)***
• White List Input Validation
• Escaping tất cả những j user nhập
• Stored Procedures: tạo các procedures để
thực thi các khối query
14
15. Phòng chống XSS
• Mặc định không cho nhập những dữ liệu ko
tin tưởng, chỉ cho phép những nơi cần thiết.
• Escape mọi web page elements mà show
content ra trên trình duyệt web:
(htmlspecialchars)
– VD: < (< ), >(> ), & (& )
• Đối với cookies quan trọng ta sử dụng cờ
HTTPOnly để tránh bị trộm cookies qua js.
• Thêm header “X-XSS-Protection” vào response
15
16. Nguy cơ tiềm tàng
• 96% các ứng dụng tồn tại các lỗ hổng bảo mật
16
https://www.info-point-security.com/sites/default/files/cenzic-vulnerability-report-2014.pdf
17. Khắc phục sự cố
17
WEB APPLICATIONS SECURITY STATISTICS REPORT 2016
18. Vấn đề
• Không đưa security requirement vào
• Giải quyết ko triệt để
– Team member thiếu kiến thức về bảo mật
– Không đủ time, cost,…
18
23. OWASP Projects
• Hàng trăm projects:
– https://www.owasp.org/index.php/Category:OWA
SP_Project
• Phổ biến:
– OWASP top ten: công bố 10 loại tấn công phổ biến
nhất ( 3 năm 1 ?)
– OWASP ZAP: security scanner
– List attack types :
https://www.owasp.org/index.php/Category:Attac
k
23
25. OWASP ZAP
• ZAP: Zed Attack Proxy
• Project tích cực nhất của OWASP
• Cross-Platform
• Open-Source: https://github.com/zaproxy/zaproxy/
• Awards
– 2015 Bossie award for The best open source
networking and security software
– Top Security Tools of 2014 as voted by ToolsWatch.org
: 2nd
– Top Security Tool of 2013 as voted by ToolsWatch.org:
1st
25
27. Tools
• The Spiders: crawler ( sử dụng AJAX
Spiders để scan các AJAX request )
• Proxy: Recorder , để giúp tạo những data
hợp lệ khi attack.
• Active và Passive Scanning: quét lỗ
hổng chủ động và bị động
27
28. Tools
• Fuzzer: gửi những data không hợp lệ, không
mong muốn.
• Changing requests and Responses : allows
you to specify as complex a criteria as you
need
28
29. Tools
• ZAP REST API: tương tác vs ZAP thông qua API
• Continuous Integration: tích hợp security
scanner vào vòng phát triển liên tục.
29
36. Agenda
I – Yêu cầu phi chức năng: security
II – Giới thiệu OWASP ZAP
III – Demo
IV – Kết luận
36
37. Kết luận
• Đưa security requirement vào process.
• Đào tạo kiến thức về security cho tất cả team
member.
• Có policy về security trong quá trình phát
triển, vận hành, maintain.
• Sử dụng các tool và nên tích hợp vào CI.
37