Khi nào nên dùng quét có xác thực
Nên dùng quét có xác thực khi:- Ứng dụng chỉ hiển thị chức năng quan trọng sau đăng nhập.
- API yêu cầu bearer token, API key hoặc header định tuyến tenant.
- Trang thử nghiệm được bảo vệ bằng HTTP Basic Authentication.
- Bạn muốn kiểm tra khu vực quản trị, khu vực khách hàng hoặc khu vực nhân viên bằng tài khoản thử nghiệm.
- Kết quả quét công khai chưa phản ánh đúng mức độ phơi nhiễm của ứng dụng.
Các phương thức xác thực được hỗ trợ
| Phương thức | Dùng cho | Ví dụ |
|---|---|---|
| Cookie phiên đăng nhập | Ứng dụng web truyền thống sau khi đăng nhập trên trình duyệt. | session=...; tenant=acme |
| Header tùy chỉnh | API, bearer token, API key, header tenant, cổng môi trường thử nghiệm. | Authorization: Bearer ... |
| HTTP Basic Authentication | Trang thử nghiệm hoặc hệ thống nội bộ được bảo vệ bằng Basic Auth. | scanner:password |
Quy trình trên Web UI
- Đăng nhập ứng dụng mục tiêu bằng tài khoản kiểm thử.
- Lấy cookie hoặc token cần thiết bằng công cụ dành cho nhà phát triển của trình duyệt.
- Mở VulnScan và vào trang chi tiết tài sản.
- Chọn Bắt đầu quét.
- Dán cookie, header hoặc thông tin Basic Auth vào phần xác thực.
- Kiểm tra lại phạm vi quét và bắt đầu lượt quét.
- Sau khi quét xong, mở chi tiết lượt quét để xem các phát hiện trong khu vực sau đăng nhập.
Ví dụ dùng cookie
Cookie phù hợp với ứng dụng web dùng phiên đăng nhập:- Dùng cookie của tài khoản kiểm thử.
- Đảm bảo cookie còn hiệu lực trong suốt thời gian quét.
- Không chia sẻ cookie thật trong ticket hoặc kênh chat không được bảo vệ.
Ví dụ dùng header và token API
API thường dùng bearer token hoặc API key:Ví dụ dùng HTTP Basic Authentication
Những nhóm lỗi có thể phát hiện tốt hơn
Quét có xác thực giúp tăng khả năng phát hiện:- Lỗi phân quyền và truy cập tài nguyên không đúng vai trò.
- Lỗi API trong các điểm truy cập yêu cầu token.
- Lỗi tải tệp, xử lý biểu mẫu và luồng nghiệp vụ sau đăng nhập.
- SQL injection, XSS, SSRF, CSRF hoặc lỗi cấu hình chỉ xuất hiện ở khu vực riêng tư.
- Thư viện, plugin, trang quản trị hoặc điểm truy cập debug không hiển thị công khai.
Thực hành an toàn
- Dùng môi trường và tài khoản đã được phê duyệt.
- Cấp quyền tối thiểu cần thiết cho tài khoản quét.
- Không dùng tài khoản của người dùng thật.
- Không dùng token có quyền ghi/xóa dữ liệu nếu không cần.
- Đặt giới hạn dữ liệu thử nghiệm để tránh ảnh hưởng hệ thống sản xuất.
- Thu hồi hoặc đổi token sau khi hoàn tất nếu token có quyền nhạy cảm.
Xử lý sự cố thường gặp
| Vấn đề | Cách kiểm tra |
|---|---|
| Không thấy nội dung sau đăng nhập | Cookie hoặc token có thể hết hạn, sai tên miền hoặc thiếu header bắt buộc. |
| Ứng dụng trả về 401/403 | Kiểm tra quyền tài khoản, tenant, IP allowlist và cơ chế chống tự động hóa. |
| Lượt quét quá chậm | Giảm phạm vi quét, dùng tài khoản có ít dữ liệu thử nghiệm hơn hoặc chạy ngoài giờ cao điểm. |
| Phát hiện ít hơn kỳ vọng | Kiểm tra xem ứng dụng có yêu cầu bước đăng nhập nhiều lớp, CSRF token động hoặc header bổ sung không. |