Tối 13/5 vừa qua, sự kiện Webinar Inside Whitehat Hacker's Box đã diễn ra trực tuyến, với sự đồng hành của 4 diễn giả đến từ Cyber Security Team, Sun Asterisk Việt Nam:
⭐ Anh Nguyễn Anh Tiến - Leader
⭐ Anh Ngô Văn Thiện - Sub-Leader
⭐ Anh Nguyễn Xuân Hòa - Sub-Leader
⭐ Anh Ngụy Minh Tuấn - Core Member
Trong không khí hào hứng và thảo luận sôi động, các diễn giả đã giới thiệu và chia sẻ nhiều thông tin, kiến thức cơ bản cũng như cô đọng nhất về Whitehat hacker - những hacker mũ trắng có nhiệm vụ tìm ra lỗ hổng bảo mật giúp tăng cường an ninh, an toàn thông tin trên không gian mạng.
📌 Cùng điểm qua những nội dung chính của buổi Webinar vừa qua:
Video: Một ngày của Whitehat Hacker (tại Sun*)
Anh Ngụy Minh Tuấn - Core Member tại Cyber Security Team, Sun Asterisk Việt Nam mở đầu chương trình với một video giới thiệu về Một ngày của Whitehat Hacker tại Sun*. Video giúp các bạn hình dung được những công việc chính trong ngày của Whitehat Hacker, cũng như tiếp xúc với một môi trường làm việc điển hình của các Whitehat hacker.
Giới thiệu công việc của Whitehat Hacker
Anh Nguyễn Anh Tiến - Team Leader của Cyber Security Team tiếp tục chia sẻ về những hoạt động của Whitehat hacker, cũng như những công cụ cơ bản để thực hiện các nội dung công việc của Whitehat hacker. Ngoài những công việc chuyên môn chính, các thành viên của Cyber Security Team cũng rất tích cực trong việc tham gia các chương trình đào tạo, chia sẻ, đóng góp cho cộng đồng, vì một môi trường Internet an toàn hơn. Nếu muốn hình dung rõ hơn về nội dung công việc, cũng như mong muốn trở thành một Whitehat hacker trong tương lai, các bạn đừng nên bỏ qua nội dung này nhé.
Tổng quan về kiểm thử xâm nhập
Tiếp tục tới phần giới thiệu Tổng quan về kiểm thử xâm nhập từ anh Nguyễn Xuân Hòa - Sub-Leader của team. Theo dõi nội dung này, chúng ta có thể hiểu Lỗ hổng bảo mật là gì, cũng như tìm hiểu về VA, Pentest. Anh Hòa cũng giới thiệu chi tiết những công cụ sử dụng trong quá trình kiểm thử xâm nhập như: Nmap, Metasploit, Burp Suite,...
Một số lỗ hổng bảo mật phổ biến
Anh Ngô Văn Thiện nối tiếp chương trình Webinar với một nội dung rất hấp dẫn người theo dõi: Giới thiệu một số lỗ hổng phổ biến và demo một số phương thức giúp cảnh báo những lỗ hổng thường gặp, đặc biệt trong đời sống hàng ngày. Anh Thiện cũng đã minh hoạ một số lỗ hổng tại các camera dân dụng, nơi ghi lại quá trình sinh hoạt của chúng ta, giúp mỗi chúng ta đề phòng, cảnh giác hơn để nâng cao bảo mật với những thiết bị quan trọng như vậy.
Thực hành, đố vui và Minigame
Thời gian thực hành, tổng kết một số kiến thức cho người xem đã đến! Không chỉ tham gia trả lời những câu hỏi vui được anh Tiến giới thiệu, người tham dự Webinar cũng đã cùng tranh tài trong một Minigame hết sức thú vị và gay cấn để tìm ra Top 3 người có số điểm cao nhất, mỗi bạn sẽ nhận được 1 phần quà được Viblo gửi tới tận nơi trong thời gian tới!
Q&A
Cuối chương trình, các diễn giả đã giải đáp một số câu hỏi tiêu biểu người tham dự đã đặt ra trong suốt sự kiện. Bạn có thể đọc câu hỏi và câu trả lời chi tiết bên dưới:
Câu 1: Cho em hỏi phần cookie mà bị hacker khai thác thì hacker có thể làm được gì với chúng, duyệt web bằng trình ẩn danh có tránh được?
Nếu cookie không có các cờ bảo vệ (cờ HTTPOnly và cờ Secure) thì hacker có thể chiếm phiên làm việc của người dùng khi thực hiện khai thác thành công lỗ hổng XSS.. Dùng trình duyệt ẩn danh không bảo vệ người dùng tránh được XSS. Do trình duyệt ẩn danh chỉ không lưu lịch sử người dùng thôi.*
Câu 2: Các anh có thể đưa ra 1 roadmap gợi ý cho pentester/researcher không ạ! Em xin cảm ơn!
(Câu trả lời chỉ mang tính tham khảo) Một lộ trình cơ bản bao gồm:
- Học kiến thức cơ bản về CNTT và ATTT (Học lập trình, hệ điều hành Linux/Windows, mạng máy tính,...)
- Học kiến thức bảo mật web (OWASP TOP 10, Portswigger)
- Học cách sử dụng công cụ bảo mật
- Thi chứng chỉ
- Học và cập nhật kiến thức bảo mật
- Tìm kiếm địa điểm thực tập, làm việc liên quan bảo mật
Câu 3: Hiện nay làm sao mình có thể bảo mật thông tin cho các ứng dụng trên smartphone ạ?
Bạn có thể thực hiện các hướng dẫn lập trình an toàn cho ứng dụng mobile Bạn tham khảo tại đây: https://owasp.org/www-pdf-archive/OWASP_SCP_Quick_Reference_Guide_v2.pdf Ngoài ra, để bảo mật thông tin cho ứng dụng di động, các bạn có thể thực hiện 2 biện pháp đơn giản nhất:
- Cách 1: chọn nơi lưu trữ dữ liệu cẩn thận trong số các nơi sau:
- Local storage: shared preferences, sqlite,...
- Cloud storage: firebase, aws,...
- External storage: sdcard,...
- Cách 2: không hard code dữ liệu nhạy cảm và dữ liệu quan trọng, vì các dữ liệu hard code sẽ được nén trong tệp tin apk Về vấn đề bảo mật cho các ứng dụng di động thì các bạn có thể theo dõi các bài viết của team Cyber Security Research trên Viblo blog (https://viblo.asia/o/sun-cyber-security-team) Sắp tới các nội dung về bảo mật cho ứng dụng mobile sẽ được bổ sung thêm ạ.
Câu 4: Chào anh, chị. Em muốn tìm hiểu thêm về các lỗ hổng bảo mật phổ biến trong phát triển ứng dụng di động cũng như là cách phòng chống ạ?
Em tham khảo tại đây nhé: https://owasp.org/www-project-mobile-top-10/
Câu 5: Những lỗi thường gặp khi xây dựng hệ thống? Và khi lập trình viên tham gia vào việc bảo mật thì nên học những gì?
Mình chưa rõ cụ thể hệ thống bạn nhắc tới là gì, theo mình hiểu là Web Application thì bạn có thể tham khảo OWASP top 10 Lập trình viên thì bạn có thể tham khảo tài nguyên https://portswigger.net/web-security
hoặc
- Top 10 điểm yếu bảo mật phổ biến: https://owasp.org/Top10/
- Lập trình viên nên học:
Kiến thức lập trình an toàn: https://owasp.org/www-pdf-archive/OWASP_SCP_Quick_Reference_Guide_v2.pdf
Kiến thức nhận biết lỗ hổng (Xem trong OWASP TOP 10)
Kiến thức vá lỗ hổng bảo mật (Xem trong OWASP TOP 10)
Câu 6: Xin tools test ddos ạ?
Hiện nay mình thấy có nhiều web cung cấp DDOS stresser, tuy nhiên nếu dùng giải pháp này cho website không thuộc quyền quản lý là vi phạm Pháp luật ạ. Mình không khuyến khích việc sử dụng những công cụ tấn công DDoS, do DoS hay DDoS thì đều là hành vi phá hoại. Thay vào đó mình nghĩ nên sử dụng các công cụ kiểm tra khả năng chịu tải của website khi có lượng truy cập lớn như trong các bài viết sau: https://viblo.asia/p/kiem-tra-chiu-tai-cua-server-voi-artillery-1Je5Em415nL Đây là các tool để kiểm tra tải của WEBSITE, chứ không thực hiện DDOS được nhé.
Các bạn có thể theo dõi lại Video full chương trình Webinar tại đây, cũng như tìm đọc lại nội dung trình bày của Presentation tại đây.
📩 Hy vọng Webinar Inside Whitehat Hacker's Box đã chia sẻ tới các bạn những thông tin hữu ích và thú vị. Trong quá trình tìm hiểu, nếu có câu hỏi hay cần giúp đỡ thêm, các bạn có thể gửi về hòm thư contact@viblo.asia, hoặc nhắn tin tới Fanpage Viblo. Các câu hỏi sẽ được Viblo Team chuyển tới diễn giả để hỗ trợ bạn.
Hẹn gặp lại các bạn trong những sự kiện tiếp theo của Viblo, và đừng quên tham gia May Fest 2022 để chia sẻ kiến thức cũng như rinh nhiều phần quà hấp dẫn nhé!
Chúc bạn học tập hăng say và vui vẻ! 🤲🤲🤲
Các bạn lưu ý: Những nội dung chia sẻ trong Webinar có sử dụng một số mã khai thác, công cụ khai thác, tấn công các hệ thống thử nghiệm với mục đích demo và giáo dục. Mọi hành vi sử dụng những kĩ thuật, mã khai thác trong nội dung chia sẻ với mục đích xấu, tấn công vào các hệ thống thật đều không được phép. Người đọc và người tiếp nhận nội dung trên tự chịu hoàn toàn trách nhiệm về việc sử dụng thông tin được chia sẻ trong Slide này và trong khuôn khổ chương trình Webinar.
