1. Mục đích

Giúp phát hiện các lỗ hổng bảo mật đang tồn tại trên hệ thống bằng cách kiểm thử tấn công theo nhiều cách thức như Black-Box, White-Box, Gray-Box.

Đưa ra các phương án khắc phục, giảm thiểu rủi ro bị khai thác các lỗ hổng hoặc điểm yếu đó.

2. Phạm vi dịch vụ

Theo phạm vi yêu cầu của khách hàng. Chúng tôi tập trung chuyên sâu pentest cho các dịch vụ Web, App Mobile, hệ thống mạng, máy chủ, cơ sở dữ liệu.

3. Các thức thực hiện

Sau khi thống nhất phạm vi, hình thức và thời gian thực hiện với khách hàng chúng tôi sẽ tiến hành các bước nghiệp vụ kỹ thuật để thực hiện kiểm thử tấn công.

• Black-Box: Khách hàng chỉ cần cung cấp cho chúng tôi mục tiêu (địa chỉ trang web, ứng dụng app mobile, …), từ đó chúng tôi sẽ tiến hành các cuộc tấn công kiểm thử để phát hiện các lỗ hổng như một kẻ tấn công bên ngoài.
• Gray-Box: Khách hàng cung cấp một phần thông tin đối tượng cần đánh giá, thường là các thông tin rất cơ bản mà một người dùng bình thường có được trên hệ thống đó.
• White-Box: Khách hàng cung cấp các thông tin chuyên sâu về hệ thống (mã nguồn, kiến trúc hệ thống, cấu trúc dữ liệu, và các thông tin chi tiết khác để có thể đánh giá được toàn bộ một cách sâu rộng, chi tiết.

4. Kết quả đầu ra

Các báo cáo chi tiết về các lỗ hổng mà hệ thống đang gặp phải theo từng cấp độ (critical, high, medium, low), các bằng chứng trong quá trình thực hiện, các reference về các lỗ hổng tương tự đã được công bố.

Đưa ra các giải pháp, hướng dẫn khắc phục chi tiết lỗ hỏng (sửa code, sửa cấu hình hệ thống, cập nhập các bản vá) cũng như tư vấn các giải pháp dài hạn để có thể giảm thiểu hoặc khắc phục hoàn toàn.

Các bài viết liên quan