Những lưu ý trong đánh giá an ninh cho Ứng dụng Web

Đánh giá an ninh cho ứng dụng web là việc làm cần thiết nhằm đảm bảo ứng dụng Web được bảo mật trước khi công bố chính thức trên internet, đồng thời giúp người quản trị hiểu rõ hơn về cơ chế xác thực, phân quyền, các lỗ hổng, cũng như chính sách bảo mật cho ứng dụng web. Dưới đây là những lưu ý trong việc đánh giá bảo mật cho ứng dụng web.

Xác định và xác thực

1.Các quy trình và người dùng được chứng thực như thế nào?

2.Quá trình xác thực có thực hiện có đúng theo quy trình  và chính sách an ninh của tổ chức không?

3.Nếu là xác thực dựa trên mật khẩu, mật khẩu người dùng được lưu trữ và xử lý như thế nào? Liệu rằng cơ chế xử lý mật khẩu đó có phù hợp với chính sách an ninh tổ chức của bạn? Liệu rằng có bất kỳ mật khẩu nào được mã hóa hoặc nhúng trong chương trình nguồn của phần mềm?

4.Ứng dụng có cần chứng thực trong mỗi phiên không?

Bảo vệ dữ liệu

1.Cơ chế bảo vệ dữ liệu hiện tại có phù hợp với chính sách an ninh của tổ chức?

2.Tổ chức có bảo vệ dữ liệu đầy đủ khi chuyển tiếp không?

3.Nếu đơn vị của bạn có sử dụng mã hóa thì những dữ liệu sẽ được mã hóa như thế nào, chọn hệ nào? Nếu không xử lý mã hóa tuân thủ đúng chính sách an ninh chung của tổ chức thì sao?

Xem thêm: Các bước kiểm thử WebApp

Đăng nhập

1.Đảm bảo bảo mật cơ chế đăng nhập cho người dùng

2.Liệu rằng việc ghi chép toàn bộ ứng dụng có bị tổn thương trong trường hợp ai đó xóa, sửa đổi hoặc tiết lộ trái phép?

Xử lý lỗi

Các thông báo lỗi sẽ được xử lý như thế nào?

Liệu có cơ hội rò rỉ thông tin nào không? Liệu thông tin bị rò rỉ có được hacker sử dụng thực hiện cho hành vi tấn công không?

Hoạt động & vận hành

1.Việc tách biệt các nghĩa vụ và các nguyên tắc đặc quyền ít nhất có được thi hành thường xuyên?

2.Đảm bảo tất cả ID của người dùng được cài đặt, ID có mật khẩu mặc định đã được loại bỏ khỏi hệ điều hành, các máy chủ web và ứng dụng chính của nó trước khi ra mắt chính thức?

3.Các thủ tục quản trị hệ thống, quy trình quản lý thay đổi,

thủ tục khôi phục thảm họa, và các thủ tục sao lưu đã được xác định đầy đủ và rõ ràng?

Lưu ý, danh sách kiểm tra ứng dụng web này chưa đầy đủ. Tùy thuộc vào sự yêu cầu về bảo mật và tính chất cụ thể của ứng dụng web mục tiêu, các trường hợp kiểm tra bổ sung hoặc các tiêu chí kiểm tra khác nhau.

Ngoài ra, khi bất kỳ hệ thống thông tin nào được thuê ngoài từ bên thứ ba, các quy trình quản lý bảo mật phải được thực hiện để bảo vệ dữ liệu cũng như giảm thiểu các nguy cơ về an ninh liên quan đến các dự án / dịch vụ CNTT được thuê ngoài. Và quan trọng nhất người quản trị phải nắm được 5 nguyên tắc bảo mật cho ứng dụng web.