MỤC LỤC
MỞ ĐẦU
Chương 1. TỔNG QUAN
1.1 Tình hình chung về an toàn thông tin hiện nay tại Việt Nam:
1.2 Các khái niệm trong lĩnh vực kiểm thử an toàn hệ thống thông tin:
1.2.1 Khái niệm hệ thống:
1.2.2 Khái niệm hệ thống thông tin:
1.2.3 Khái niệm an toàn hệ thống thông tin:
1.2.4 Khái niệm kiểm thử:
1.2.5 Khái niệm kiểm thử an toàn hệ thống thông tin:
1.2.6 Đối tượng tấn công:
1.2.7 Lỗ hổng bảo mật:
1.2.8 Chính sách bảo mật:
1.2.9 Những mối đe dọa an toàn hệ thống thường gặp:
1.2.10 Các nguyên nhân gây mất an ninh thông tin:
1.2.11 Các phương thức đảm bảo an toàn thông tin trong hệ thống:
1.3 Tóm tắt nội dung chương:
Chương 2. MỘT SỐ TIÊU CHUẨN KIỂM THỬ AN TOÀN HỆ THỐNG THÔNG TIN
2.1 Dự án nguồn mở đánh giá an toàn ứng dụng web (OWASP):
2.2 Phương pháp kiểm tra an toàn dành cho mạng và hệ thống (OSSTMM):
2.3 Chuẩn đánh giá an ninh hệ thống thông tin (ISSAF):
2.4 Tiêu chuẩn phân loại nguy cơ trong bảo mật ứng dụng web (WASC-TC):
2.5 Hướng dẫn kiểm tra và đánh giá an toàn thông tin (NIST SP 800-115):
2.5.1 Các phương pháp kỹ thuật nhận định mục tiêu:
2.5.2 Các phương pháp kỹ thuật xác định và phân tích:
2.5.3 Các phương pháp kỹ thuật xác nhận điểm yếu của mục tiêu:
2.6 Tóm tắt nội dung chương:
Chương 3.NGUY CƠ MẤT AN TOÀN HỆ THỐNG TỪ LỖI CỦA ỨNG DỤNG
3.1 Injection:
3.1.1 SQL Injection là gì:
3.1.2 Nguyên lý thực hiện:
3.1.3 Một số kiểu tấn công SQL Injection:
3.1.4 Phương pháp phòng chống:
3.2 Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập:
3.2.1 Tấn công kiểu ấn định phiên truy cập:
3.2.3 Phương pháp phòng chống:
3.3 Thực thi đoạn mã trên trình duyệt (XSS):
3.3.1 Nguyên lý thực hiện:
3.3.2 Một số kiểu tấn công XSS:
3.3.3 Phương pháp phòng chống:
3.4 Không mã hóa dữ liệu nhạy cảm:
3.4.1 Nguy cơ mất thông tin:
3.4.2 Phương pháp phòng chống:
3.5 Lỗ hổng bảo mật CSRF:
3.5.1 Sự khác nhau giữa hai kiểu tấn công khai thác lỗi XSS và CSRF:
3.5.2 Nguyên lý thực hiện:
3.5.3 Phương pháp phòng chống:
3.6 Tấn công kiểu Man in the middle (MITM):
3.6.1 Tấn công bằng cách giả mạo ARP Cache:
3.6.2 Phương pháp phòng chống tấn công kiểu MTIM:
3.7 Tóm tắt nội dung chương:
Chương 4. SỬ DỤNG KALI LINUX KIỂM THỬ AN TOÀN HỆ THỐNG
4.1 Giới thiệu về Kali Linux:
4.2 Phân nhóm các công cụ có sẵn trên Kali Linux:
4.3 Quy trình kiểm thử an toàn hệ thống:
4.3.1 Bước lập kế hoạch:
4.3.2 Tìm hiểu và thu thập thông tin mục tiêu:
4.3.3 Bước xác nhận lỗ hổng bảo mật:
4.3.4 Bước lập báo cáo:
4.4 Thực nghiệm:
4.4.1 Kiểm thử hệ thống mạng LAN:
4.4.2 Kiểm thử ứng dụng web:
4.5 Tóm tắt nội dung chương:
TÀI LIỆU THAM KHẢO
