Report

Pentest

Định nghĩa

Penetration Testing là một quy trình có chủ đích giả lập các kỹ thuật tấn công của tin tặc nhằm tìm kiếm, khai thác và đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật trong hệ thống (mạng, ứng dụng, thiết bị, quy trình). Sau đó đưa ra khuyến nghị khắc phục, giúp tổ chức tuân thủ tiêu chuẩn bảo mật (PCI-DSS, ISO 27001…) và giảm thiểu rủi ro an ninh.

Mục đích

  • Phát hiện lỗ hổng chưa được vá.

  • Xác minh đường tấn công (attack path) có thể dẫn tới chiếm quyền, rò rỉ dữ liệu hoặc gián đoạn dịch vụ.

  • Đánh giá độ chín của quy trình ứng phó sự cố.

  • Cung cấp bằng chứng định lượng cho ban lãnh đạo về mức độ rủi ro và ưu tiên đầu tư an ninh.

  • Đáp ứng yêu cầu tuân thủ và chứng nhận của khách hàng, cơ quan quản lý.

Phân biệt

Tiêu chí
Black-box
Grey-box
White-box

Mức độ thông tin cung cấp cho pentester

Không có hoặc rất ít (chỉ tên miền/IP công khai)

Một phần: sơ đồ mạng, tài khoản có quyền hạn hạn chế, tài liệu thiết kế

Đầy đủ: mã nguồn, cấu hình, quyền truy cập admin

Mục tiêu mô phỏng

Góc nhìn kẻ tấn công bên ngoài.

Kịch bản kẻ tấn công nửa trong, nửa ngoài (ví dụ nhân viên bị lộ creds)

Đánh giá chuyên sâu như nhóm phát triển hoặc đội bảo mật nội bộ

Phạm vi kiểm thử

Phát hiện lỗ hổng hở ra Internet, lỗi cấu hình

Xác thực lỗ hổng logic, quyền truy cập tầng ứng dụng, API

Phân tích toàn diện: code review, kiểm tra backdoor, sai sót logic sâu

Thời gian & chi phí

Thường ngắn nhất, chi phí thấp; kết quả phụ thuộc khả năng dò quét

Trung bình; kết hợp tự động + thủ công có trọng điểm

Dài và tốn kém nhất do khối lượng phân tích lớn

Lợi ích nổi bật

Phù hợp kiểm tra bề mặt tấn công, đánh giá “nguy cơ thực tế” từ ngoài

Cân bằng giữa tính thực tế và chiều sâu; tiết kiệm thời gian so với white-box

Tìm ra nhiều lỗ hổng ẩn sâu, hỗ trợ khắc phục sớm trong Software Development Life Cycle

Hạn chế

Khó bao quát lỗ hổng logic nội bộ; dễ bỏ sót vấn đề ẩn sâu

Vẫn có lỗ hổng bị bỏ sót do thiếu toàn bộ mã nguồn

Không phản ánh hoàn toàn cách kẻ tấn công thật sự khai thác “từ ngoài vào”

Quy trình Pentest

Penetration Testing Execution Standard (link)
Giai đoạn
Mục tiêu chính
Hoạt động tiêu biểu
Sản phẩm/đầu ra

Pre-engagement / Preparation

Thống nhất phạm vi, mục tiêu, ràng buộc pháp lý

- Xác định phạm vi IP/URL, loại kiểm thử (black/grey/white box)

- Ký thỏa thuận NDA, LoA

- Thiết lập kênh liên lạc khẩn

- Rules of Engagement (RoE)

- Kế hoạch & lịch trình

Intelligence Gathering

Thu thập càng nhiều thông tin về mục tiêu càng tốt

- OSINT, WHOIS, Shodan, Google dork

- Quét cổng (Nmap/Masscan)

- Fingerprinting services, technologies.

- Danh sách tài sản & bề mặt tấn công

Threat Modeling

Xác định kịch bản, tài sản giá trị, tác nhân đe dọa

- Lập sơ đồ luồng dữ liệu (DFD)

- Xếp hạng tài sản theo CIA

- Chọn chiến lược tấn công ưu tiên

- Ma trận rủi ro

- Danh sách kịch bản tấn công khả thi

Vulnerability Analysis

Phát hiện lỗ hổng kỹ thuật & logic

- Quét lỗ hổng (Nessus, OpenVAS, Burp)

- Kiểm tra cấu hình sai

- Phân tích mã nguồn (nếu white-box)

- Danh sách lỗ hổng tiềm năng với mức độ ưu tiên

Exploitation

Xác thực khả năng khai thác và mức độ ảnh hưởng

- Khai thác có kiểm soát (Metasploit, manual exploit)

- Bypass xác thực, RCE, SQLi…

- Ghi nhận bằng chứng

- Shell phiên, dữ liệu chiếm được, log thao tác

Post-Exploitation

Đánh giá hậu quả sau khi chiếm quyền

- Leo thang đặc quyền

- Pivot sang mạng nội bộ

- Trích xuất & bảo vệ bằng chứng

- Đánh giá khả năng duy trì chỗ đứng

- Ma trận MITRE ATT&CK mapping

- Đánh giá tác động kinh doanh

Reporting & Remediation Support

Truyền đạt phát hiện và hỗ trợ khắc phục

- Báo cáo kỹ thuật chi tiết + tóm tắt điều hành C-level

- Demo POC/video

- Buổi trình bày kết quả, Q&A

- Re-test sau khi vá

- Báo cáo cuối cùng đã xác thực

- Biên bản re-test (nếu có)

Quy trình của VSEC

Giai đoạn
Mục tiêu chính
Output

Khảo sát mục tiêu và thu thập thông tin

Thu thập thông tin về hệ thống mục tiêu

Xác định phạm vi kiểm tra

Mapping hạ tầng mạng và ứng dụng

Danh sách tài sản (asset inventory)

Sơ đồ mạng và kiến trúc hệ thống

Thông tin về công nghệ sử dụng

Dò quét điểm yếu

Phát hiện lỗ hổng bảo mật

Quét các cổng và dịch vụ

Kiểm tra cấu hình an toàn

Báo cáo quét lỗ hổng

Danh sách các dịch vụ đang chạy

Đánh giá mức độ nghiêm trọng sơ bộ

Xác minh lỗ hổng và tấn công kiểm thử

Xác thực tính khả thi của lỗ hổng

Thực hiện khai thác có kiểm soát

Đánh giá khả năng xâm nhập

Proof of Concept (PoC)

Bằng chứng khai thác thành công

Đánh giá tác động thực tế

Đánh giá mức độ nguy hiểm

Phân tích rủi ro nghiệp vụ

Tính toán tác động và khả năng xảy ra

Prioritize các lỗ hổng

Ma trận rủi ro

Phân loại mức độ ưu tiên

Đánh giá tác động tài chính

Báo cáo và khuyến nghị

Tổng hợp kết quả kiểm tra

Đưa ra khuyến nghị khắc phục

Trình bày cho ban lãnh đạo

Báo cáo executive summary

Báo cáo kỹ thuật chi tiết

Roadmap khắc phục

Tái đánh giá

Kiểm tra hiệu quả khắc phục

Xác nhận đóng lỗ hổng

Đánh giá cải thiện bảo mật

Báo cáo tái kiểm tra

Xác nhận trạng thái khắc phục

Khuyến nghị duy trì

Ta có thể đánh giá mức độ nguy hiểm của CVE thông qua: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

Reconnaisance

Định nghĩa

Recon là giai đoạn thăm dò – thu thập thông tin ban đầu trong một cuộc tấn công hay kiểm thử xâm nhập. Pentester/hacker tìm kiếm càng nhiều dữ liệu về mục tiêu càng tốt (IP, tên miền, công nghệ, nhân sự, quy trình) để xây dựng bức tranh hệ thống và xác định điểm vào tiềm năng

Vai trò

  • Định hướng chiến lược khai thác: Dữ liệu recon giúp ưu tiên mục tiêu “mềm” nhất, tránh lãng phí thời gian.

  • Xác định bề mặt tấn công (attack surface): Liệt kê services, open ports, subdomain, API, tài khoản công khai — cơ sở cho các bước quét lỗ hổng và khai thác sau này.

  • Giảm rủi ro gián đoạn: Thu thập đầy đủ thông tin ngay từ đầu hạn chế việc đấm bừa bãi vào hệ thống sản xuất.

  • Hỗ trợ tuân thủ & báo cáo: Bản đồ tài sản thu được là minh chứng rõ ràng khi đánh giá PCI-DSS, ISO 27001.

  • Tiết kiệm chi phí: Phát hiện sớm sai sót cấu hình (ví dụ thông tin nhạy cảm lộ qua Git) có thể khắc phục nhanh, tránh giai đoạn khai thác phức tạp.

Active và Passive

Hình thức
Đặc điểm
Ví dụ công cụ/hoạt động

Reconnaissance thụ động (Passive)

Không tương tác trực tiếp với hệ thống, hạn chế gây log hay cảnh báo.

Google Dorking, truy vấn WHOIS, đọc tài liệu công khai, OSINT trên mạng xã hội.

Reconnaissance chủ động (Active)

Gửi lưu lượng tới mục tiêu để lấy thông tin; dễ bị phát hiện.

Nmap quét cổng, banner grabbing (retrieve info từ banner network), phân tích lưu lượng với Wireshark, thử brute-force DNS.

Tools

Nhóm công cụ
Công cụ đại diện
Mục đích chính

OSINT & tìm kiếm công khai

- Google Dorking - Shodan - Censys

Tra cứu services, thiết bị lộ diện; tìm file nhạy cảm công khai

Thu thập & phân tích dữ liệu tên miền

- WHOIS / RDAP - Sublist3r, Amass

Tra cứu thông tin đăng ký, liệt kê subdomain

Quét cổng & fingerprint services

- Nmap - Masscan

Xác định cổng mở, phiên bản services, host discovery

Quét lỗ hổng bề mặt Web

- Wappalyzer

Nhận diện công nghệ trang web, CMS, framework

Enum thư mục & file ẩn

- Dirsearch - Gobuster

Brute-force đường dẫn URL, liệt kê file cấu hình, backup

Phân tích giao thức & traffic

- Wireshark

Bắt gói, tái dựng lưu lượng để suy ra cấu trúc mạng

Framework recon tích hợp

- Recon-ng - reconFTW

Khung module hóa, gom nhiều nguồn OSINT + API

Thu thập tín hiệu con người

- Maltego CE - Sherlock

Đồ họa quan hệ cá nhân, tài khoản MXH

Ví dụ

Nhóm công cụ thứ 1

Google Dorking
Shodan
Censys

Nhóm công cụ thứ 2

Whois
Sublist3r

Nhóm công cụ thứ 3

Masscan web interface

Nhóm công cụ thứ 4

Wappalyzer

Nhóm công cụ thứ 5

Nhóm công cụ thứ 7

Nhóm công cụ thứ 8

sherlock

Quy trình recon

PreviousWeek 3NextNmap Detail

Last updated

Was this helpful?