<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<p>Dear anh Khoa,</p>
<p>Ở đầu mỗi report đều có thông kê về các loại của violations (mục
<b>All tasks by Category</b>), anh có thể tham khảo ở đó đề có cái
nhìn tổng quát hơn. Nhưng theo em thấy thì số violation còn khá là
nhiều sau khi kiểm tra.<br>
</p>
<p>Về XSS hoặc SQL Injection như anh đề cập, đó là các kỹ thuật tấn
công. Mỗi loại XSS hoặc SQL Injection đều bao gồm rất nhiều kỹ
thuật khai thác nhỏ ở bên trong, nhưng tổng quan lại thì cách thức
khai thác sẽ tập trung vào việc khai thác điểm yếu ở <b>dữ liệu
đầu vào</b> (có thể thông qua các form input, sql query...).
Trong đánh giá source code đã có enable những rule để test các
data input theo các chuẩn bảo mật, và report xuất đề cập đến các
vấn đề dựa vào các chức năng của các rule đó. Và nếu xem trong
phần mở rộng explaination của các violation thì có thể cho ta biết
nó có khả năng dẫn đến loại tấn công gì (ví dụ các lỗi về
validation data input nếu không được kiểm tra có thể dẫn đến XSS
hoặc SQL Injection attack...). Nhưng mà các explaination của các
violation không thể trích xuất ra trong report được do quá dài nên
anh không thấy đề cập về XSS hoặc tương tự trong report. Nếu anh
muốn tập trung ngăn chặn các kiểu attack đó đó, anh có thể tập
trung vào các violations trong report liên quan đến các kiểm tra
về dữ liệu vào, parameter input, các hàm verify các data input...<br>
</p>
Best Regards,<br>
Định<br>
<div class="moz-cite-prefix">On 6/22/2016 1:57 PM, Vu Dang Khoa
wrote:<br>
</div>
<blockquote cite="mid:f96ee643-8e2b-6503-1ccf-367cbb4a047a@fds.vn"
type="cite">On 06/22/2016 11:59 AM, Tao Ngoc Dinh wrote:
<br>
<br>
<blockquote type="cite">Dear anh Khoa và mọi người,
<br>
<br>
Em gửi report đánh giá security mã nguồn của dự án OpenCPS nhé.
Đánh giá dựa trên một số coding rule & standard về security
như SANS, OWASP... và dưới sự hỗ trợ của công cụ review source
code của Parasoft. Kết quả đánh giá sẽ chỉ ra các cảnh báo chi
tiết tại từng class và từng line code, mọi người có thể tham
khảo trong report đính kèm.
<br>
</blockquote>
<br>
Cảm ơn Định (Cty TNHH VELATEK), đội develop đã nhận được report về
việc kiểm tra các lỗ hổng an ninh của OpenCPS, phía develop sẽ
phân tích và khắc phục các lỗ hổng được đưa ra. Sau khi fix các
lỗi, yêu cầu Định tiến hành đánh giá lại, quy trình này hai bên sẽ
phối hợp tiến hành fix và đánh giá lại đến khi sản phẩm đạt chất
lượng tốt nhất.
<br>
<br>
Định có thể cho một bản đánh giá tổng quan sau khi có số liệu từ
hệ thống máy quét để có một cách nhìn toàn diện hơn về mức độ an
ninh của sản phẩm?
<br>
<br>
Trước đây khi đánh giá về lỗ hổng bảo mật web site mình thấy có
những report về các lỗ hổng XSS, SQL injection,... mình đọc nhưng
chưa thấy ở phần nào, Định chỉ giúp mình nhé!
<br>
<br>
Trân trọng,
<br>
<br>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Best regards,
----------------------------------
Dinh, Tao Ngoc(Mr.) - Project Specialist.
M: (+84) 974 978 260
A: 10, Pham Van Hai St, Ward 2, Dist. Tan Binh, HCMC, Vietnam
E: <a class="moz-txt-link-abbreviated" href="mailto:dinh.tao@velatek.vn">dinh.tao@velatek.vn</a>
W: <a class="moz-txt-link-abbreviated" href="http://www.velatek.vn">www.velatek.vn</a>
Skype: jimmy.tao90
--------------------------------
</pre>
</body>
</html>