MITAS Hà Nội

Dẫn đầu công nghệ

Hotline: 0243 8585 111

Công ty Cổ phần Công nghệ MITAS Hà Nội

Công nghệ và giải pháp

Trang chủ » Công nghệ và giải pháp

Giải pháp quản lý điểm yếu cho ứng dụng Web (WEBINSPECT)

Trong thế giới số hiện nay, các ứng dụng/ phần mềm là đối tượng cần được bảo vệ bởi lẽ chúng thường dễ dàng bị khai thác, tấn công và bị lờ đi trong một thời gian dài. Các cuộc tấn công thẳng vào ứng dụng/ phần mềm sẽ cho phép hacker truy cập được các dữ liệu cá nhân của người dùng – đây là các thông tin vô cùng nhạy cảm. Trên thực tế, các giải pháp bảo đảm an ninh bảo vệ ở mức mạng và mức nền tảng hệ thống IT đã không còn hiệu quả đối với các đe dọa an ninh mạng ngày nay. Do đó, việc cấp thiết hiện nay là phải có những giải pháp thực hiện việc kiểm soát và bảo vệ các ứng dụng/ phần mềm, giúp nâng cao bảo mật và ngăn chặn các rủi ro có thể xảy ra.

Các loại giải pháp an ninh cho hệ thống công nghệ thông tin bao gồm: hệ thống quản ký truy cập & định dang (Indentity & Access Management), các giải pháp bảo vệ an ninh tại lớp mạng (Network Security), giải pháp bảo vệ tại các máy tính (Host Security), giải pháp theo dõi và giám sát an ninh tập trung (Security information and Event Management (SIEM)), giải pháp an ninh cho ứng dụng (Application Security).

Trước đây các tổ chức đầu tư để bảo vệ cho các hệ thống như: mạng (network) và máy chủ (server) bởi vì đây là những thực thể mà tổ chức có thể nhìn thấy được, làm việc và có thể kiểm soát được. Đối với các nhân viên trong đội ngũ an ninh (Security Team), phần mềm thực sự là một vấn đề, chính xác họ không biết bên trong nó (code level) như thế nào, đơn giản chỉ là vận hành ứng dụng đó. Như vậy làm sao để có thể bảo vệ được các ứng dụng? Các tổ chức tin rằng việc thực hiện bảo vệ ở các lớp mạng (network) và máy chủ (server) là có thể bảo vệ được các ứng dụng. Tuy nhiên các lớp bảo vệ này không thể thực hiện được. Ngày nay các ứng dụng/phần mềm là một đối tượng mới cần được bảo vệ.

Vì sao? Vì ứng dụng dễ dàng bị khai thác/ tấn công và bị lờ đi trong thời gian dài. Ngoài ra các tấn công thẳng vào ứng dụng sẽ cho phép Hacker thực hiện các truy cập đến dữ liệu cá nhân/các thông tin của người dùng, đây là các thông tin vô cùng nhạy cảm. Các giải pháp bảo đảm an ninh bảo vệ ở mức mạng và ở mức nền tảng hệ thống IT không còn hiệu quả đối với các đe dọa ngày nay. Do vậy cần thiết phải thực hiện việc kiểm soát và bảo vệ các ứng dụng/phần mềm.

Giải pháp an ninh toàn diện cho ứng dụng Web cho phép thực hiện đánh giá, kiểm soát và bảo vệ các ứng dụng, phần mềm theo dạng Blackbox. Bằng cách thực hiện việc dò quét, nhận diện các điểm yếu tồn tại trong ứng dụng, đồng thời cung cấp các hướng dẫn chi tiết để khắc phục điểm yếu…

1. Đặc tính kỹ thuật cơ bản

  • Cho phép đánh giá điểm yếu của ứng dụng Web, Web services.
  • Cho phép thực hiện nhiều dò quét đồng thời.
  • Cho phép thay đổi, tùy chỉnh chính sách dò quét để phù hợp với yêu cầu của tổ chức.
  • Cho phép thực hiện so sánh báo cáo giữa 2 lần dò quét để so sánh sự khác nhau giữa 2 lần đánh giá.
  • Cung cấp tính năng duy trì danh sách điểm yếu False Positive

  • Cho phép cung cấp chi tiết các điểm yếu trong khi dò quét vào Web Application Firewall hoặc IPS để ngăn chặn các tấn công khai thác
  • Cho phép tạo báo cáo theo các chuẩn như: Payment Card Industry Data Security Standard (PCI DSS), OWASP Top 10, ISO 17799, ISO 27001, Health Insurance Portability and Accountability Act (HIPAA).
  • Cung cấp bộ các công cụ chuẩn đoán và kiểm thử như:
    • Audit Inputs Editor
    • Compliance Manager
    • Encoders/Decoders
    • HTTP Editor
    • License Wizard
    • Log Viewer
    • Policy Manager
    • Regular Expression Editor
    • Server Analyzer
    • SQL Injector
    • Support Tool
    • SWFScan
    • Traffic Tool
    • Web Discovery
    • Web Form Editor
    • Web Macro Recorder (Unified)
    • Web Proxy
    • Web Services Test Designer
  • Cho phép thực hiện kiểm tra các điểm yếu như:
    • Reflected cross-site scripting (XSS)
    • Persistent XSS
    • DOM-based XSS
    • Cross-site request forgery
    • SQL injection
    • Blind SQL injection
    • Buffer overflows
    • Integer overflows
    • Remote File Include (RFI) injection
    • Server Side Include (SSI) injection
    • Operating system command injection
    • Local File Include (LFI)
    • Parameter Redirection
    • Auditing of Redirect Chains
    • Session strength
    • Authentication attacks
    • Insufficient authentication
    • Session fixation
    • HTML5 analysis
    • Ajax auditing
    • Flash analysis
    • HTTP header auditing
    • Detection of Client-side technologies
    • Secure Sockets Layer (SSL) certificate issues
    • SSL protocols supported
    • SSL ciphers supported
    • Server misconfiguration
    • Directory indexing and enumeration
    • Denial of service
    • HTTP response splitting
    • Windows® 8.3 file name
    • DOS device handle DoS
    • Canonicalization attacks
    • URL redirection attacks
    • Password auto complete
    • Cookie security
    • Custom fuzzing
    • Path manipulation—traversal
    • Path truncation
    • WebDAV auditing
    • Web services auditing
    • File enumeration
    • REST full services auditing
    • Information disclosure
    • Directory and path traversal
    • Spam gateway detection
    • Brute force authentication attacks
    • Known application and platform vulnerabilities

2. Mô hình triển khai

Việc triển khai phần mềm quản lý điểm yếu ứng dụng Web đơn giản. Chỉ cần sử dụng một máy chủ có sẵn hoặc một máy trạm của người quản trị để cài đặt phần mềm. Thông thường hệ thống này được bố trí tại vùng mạng quản trị.

3. Lợi ích của giải pháp

  • Cho phép phát hiện và có phương án xử lý đối với các điểm yếu đang tồn tại trong ứng dụng Web, bao gồm các ứng dụng Web đang hoạt động hay đang trong quá trình phát triển.
  • Hạn chế và chủ động ngăn chặn được các rủi ro xuất phát từ các điểm yếu trên ứng dụng Web.
  • Nâng cao khả năng bảo mật cho hệ thống thông qua việc tích hợp giải pháp này với các giải pháp như: IPS, SIEM, WAF.
  • Tích hợp giữa SCA (Static Testing) và Webinspect (Dynamic Testing)

* Giới thiệu sơ lược về hãng Micro Focus

Micro Focus là một công ty hàng đầu thế giới chuyên cung cấp các giải pháp phân tích bảo mật cho các sản phẩm công nghệ thông tin và phần mềm. Công ty được thành lập năm 1976 và có trụ sở tại Newbury, Berkshire, Anh. Hiện nay, Micro Focus là một phần của OpenText – một công ty công nghệ đến từ Canada sau thương vụ mua lại vào tháng 1 năm 2023.

Giải pháp Microfocus Fortify – Software Security Testing của công ty đã 10 năm liên tiếp trong nhóm Top Leader Gartner và được hầu hết các tổ chức lớn trên thế giới (Fortune 500) ở nhiều lĩnh vực lựa chọn sử dụng.

Công ty chúng tôi luôn luôn mong muốn được trở thành đối tác tin cậy và là nhà cung cấp thiết bị, giải pháp hàng đầu cho sự thành thành công của Quý Khách hàng. Mọi thông tin chi tiết Quý Khách vui lòng liên hệ:

Công ty Cổ phần Công nghệ MITAS Hà Nội

Địa chỉ: Tầng 5, tòa nhà C’Land, Số 81 Lê Đức Thọ, Nam Từ Liêm, Hà Nội          

Web: https://mitas.vn  | ĐT: (+84) 243 8585 111 | Email: sales@mitas.vn

Sự ủng hộ tin yêu của Quý Khách hàng là động lực và tài sản vô giá đối với tập thể công ty chúng tôi. Chúng tôi xin trân trọng cảm ơn./.

Ý kiến của bạn

X

Vui lòng điền thông tin chính xác, để nhận được câu trả lời 1 cách nhanh nhất!

Giới thiệu

MITAS là một trong những công ty hàng đầu về công nghệ, chuyên cung cấp các giải pháp công nghệ và thiết bị khoa học kỹ thuật trong lĩnh vực An ninh – Công nghiệp – Nghiên cứu Khoa học và Đào tạo tại Việt Nam.

Công nghệ – Giải pháp
Ứng dụng
Liên hệ