DỊCH VỤ ĐÁNH GIÁ AN TOÀN THÔNG TIN BLACKBOX ỨNG DỤNG WEB

VIETTEL thực hiện nghiên cứu, bổ sung và áp dụng các kỹ thuật ethical hacking đối với ứng dụng web nhằm phát hiện các lỗ hổng an toàn thông tin với mục đích mang đến khách hàng dịch vụ ĐÁNH GIÁ AN TOÀN THÔNG TIN BLACKBOX ỨNG DỤNG WEB
DỊCH VỤ ĐÁNH GIÁ AN TOÀN THÔNG TIN BLACKBOX PENTESTING ỨNG DỤNG WEB

Trong thời đại công nghệ thông tin phát triển như ngày nay, ứng dụng web đã trở thành một phần không thể thiếu của một tổ chức. Các ứng dụng web ngày càng được sử dụng sâu rộng trong các nghiệp vụ quan trọng như: các giao dịch tiền tệ, tính toán kết quả kinh doanh, giao dịch khách hàng, hay thậm chí điều khiển cả một nhà máy. Chính vì lẽ đó, việc bảo vệ các website khỏi các cuộc tấn công là điều cấp thiết mà mỗi một tổ chức cần phải làm ngay như là một biện pháp để đảm bảo sự bền vững của tổ chức. 

Viettel thực hiện nghiên cứu, bổ sung và áp dụng các kỹ thuật ethical hacking đối với ứng dụng web nhằm phát hiện các lỗ hổng an toàn thông tin với mục đích mang đến khách hàng dịch vụ ĐÁNH GIÁ AN TOÀN THÔNG TIN BLACKBOX ỨNG DỤNG WEB. Với đội ngũ chuyên gia, hoạt động lâu năm trong lĩnh vực an toàn thông tin, chúng tôi sẽ cung cấp cho khách hàng chất lượng dịch vụ tốt nhất, nâng cao rõ rệt chất lượng an toàn thông tin trong các ứng dụng, đáp ứng theo các tiêu chuẩn của thế giới. 

PHƯƠNG PHÁP THỰC HIỆN

Chúng tôi tiếp cận hệ thống của khách hàng hoàn toàn từ ngoài Internet và không cần cung cấp bất kỳ thông tin nội bộ. Hệ thống của khách hàng sẽ được thử nghiệm thực tế với các cuộc tấn công như những hacker thực hiện. Quá trình thực hiện chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến dịch, các thông tin lấy được trong quá trình khai thác chỉ nhằm mục đích demo sẽ hủy bỏ khi kết thúc quá trình đánh giá
  
Untitled.png
Dựa trên các mô tả lỗ hổng trong danh sách Top 10 do tổ chức OWASP đưa ra, chúng tôi đã xây dựng các tiêu chí để xác định các lỗ hổng của một hệ thống web, bao gồm 7 mục chính:

+ Quản lý xác thực: xoay quanh mục đích tránh các lỗ hổng gây mất tài khoản của người dùng.
+ Quản lý phiên đăng nhập: mục đích nhằm tránh các lỗ hổng chiếm quyền đăng nhập của người dùng.
+ Phân quyền: mục đích tránh các lỗ hổng cho phép người dùng có thể thực hiện các chức năng không đúng quyền hạn.
+ Tương tác với back-end: mục đính nhằm tránh các lỗ hổng gây thất thoát và ảnh hưởng ngoài mong muốn đối với các dữ liệu của hệ thống như cơ sở dữ liệu, file…

+ Kiểm soát dữ liệu đầu vào: mục đích nhằm đảm bảo các dữ liệu đưa lên cho server xử lý không tồn tại các dữ liệu gây ảnh hưởng đến an toàn thông tin hệ thống.
+ Kiểm soát dữ liệu đầu ra: mục đích nhằm đảm bảo thông tin hiện ra cho người dùng không thể gây ảnh hưởng đến an toàn thông tin của người dùng.
+ Kiểm soát lỗ hổng 1day của các thư viện, framework: mục đích kiểm tra sự tồn tại của các lỗ hổng đã được công bố trên các thư viện, framework đang được sử dụng.


NĂNG LỰC CHUYÊN MÔN 

Với độ ngũ chuyên gia giàu kinh nghiệm, chúng tôi đã có hơn 5 năm kinh nghiệm trong việc đảm bảo an toàn thông tin cho các ứng dụng của Tập đoàn Viễn thông Quân đội trên toàn cầu với 10 thị trường và hàng trăm ứng dụng. 

Ngoài ra, chúng tôi cũng dành được những kết quả quan trọng trong việc phát hiện nhiều lỗ hổng của nhiều ứng dụng được sử dụng rộng rãi trên thế giới. 

kinh nghiem.png 
  
 

LIÊN HỆ

Họ tên (*)
Email (*)
Địa chỉ
Điện thoại
Nội dung (*)
Mã xác nhận (*)
 

CÁC DỊCH VỤ KHÁC

Các dịch vụ khác