I. Tính cấp thiết của đề tài
Website ngân hàng chứa nhiều thông tin nhạy cảm của khách hàng, cần được bảo vệ chống các xâm nhập của tin tặc. Bản chất các Website khi phát triển luôn tồn tại các lỗ hổng bảo mật. Do vậy, việc rà soát và kiểm tra các lỗ hổng bảo mật trên các website ngân hàng luôn được quan tâm. Việc đảm bảo bảo mật thông tin trở thành một yêu cầu không thể thiếu trong mọi hoạt động nói chung và hoạt động điện tử nói riêng. Đặc biệt, việc đảm bảo bảo mật website ngân hàng trong thời đại số hiện nay càng trở nên cấp thiết và quan trọng. An ninh mạng là bảo vệ thông tin và hệ thống thông tin nói chung, bảo mật website ngân hàng nói riêng khỏi các truy cập trái phép. Tuy nhiên, vấn đề bảo mật website ngân hàng vẫn chưa được các cơ quan, doanh nghiệp ở Lào chú trọng đầu tư. Việc kiểm thử lỗ hổng bảo mật website ngân hàng rất cần thiết vì sẽ góp phần phát hiện các lỗ hổng và giúp khắc phục, vá các lỗi bảo mật này. Kỹ thuật Fuzzing trong kiểm thử lỗ hổng bảo mật website ngân hàng chính là một giải pháp cho vấn đề trên.
II. Tổng quan về kỹ thuật Fuzzing
Trong lĩnh vực an ninh ứng dụng, Fuzzing hay kiểm thử mờ (fuzz testing) là một kỹ thuật thuộc kiểm thử hộp đen (black box), phát hiện lỗi của phần mềm bằng cách tự động hoặc bán tự động cung cấp dữ liệu đầu vào không hợp lệ, không mong đợi hay ngẫu nhiên vào phần mềm. Phần mềm sẽ được giám sát và ghi lại các trường hợp ngoại lệ như lỗi mà không được thực thi, tài nguyên thất thoát, nhằm xác định các hành vi bất thường, phát hiện các lỗ hổng bảo mật tiềm ẩn của phần mềm. Fuzzing có khả năng tìm thấy lỗi một cách nhanh chóng và tránh được việc phải xem mã nguồn. Kỹ thuật này được sử dụng để phát hiện ra một loạt các vấn đề của web như: Cross Site Scripting, tràn bộ đệm, chèn câu truy vấn (SQL Injection). Tuy nhiên, việc ứng dụng kỹ thuật Fuzzing trong kiểm thử bảo mật tự động các website nói chung và website ngân hàng nói riêng chưa được quan tâm nhiều.
III. Phân loại và ưu nhược điểm của Fuzzing
Kỹ thuật Fuzzing có thể được phân loại thành nhiều loại khác nhau, bao gồm Fuzzing dựa trên tính năng, Fuzzing dựa trên cấu hình, và Fuzzing dựa trên tình huống. Mỗi loại có những ưu điểm và nhược điểm riêng. Fuzzing dựa trên tính năng có thể phát hiện các lỗi liên quan đến bảo mật thông tin nhưng có thể bỏ sót các lỗi khác. Ngược lại, Fuzzing dựa trên cấu hình có thể phát hiện các lỗi cấu hình nhưng không thể phát hiện các lỗi logic. Việc lựa chọn phương pháp Fuzzing phù hợp cho kiểm thử lỗ hổng website là rất quan trọng để đảm bảo hiệu quả trong việc phát hiện các lỗ hổng bảo mật.
IV. Ứng dụng kiểm thử lỗ hổng bảo mật website cho ngân hàng
Việc ứng dụng kiểm thử lỗ hổng bảo mật cho website ngân hàng là rất cần thiết. Một trong những ví dụ điển hình là website ngân hàng BCEL. Việc xây dựng ứng dụng kiểm thử Fuzzing cho website ngân hàng BCEL bao gồm việc xây dựng sơ đồ kiến trúc ứng dụng, các thành phần chính của ứng dụng kiểm thử, và kịch bản thử nghiệm. Thực hiện kiểm thử, đánh giá kết quả là bước quan trọng để phát hiện và khắc phục các lỗ hổng bảo mật. Kết quả từ việc kiểm thử không chỉ giúp nâng cao bảo mật thông tin mà còn tạo niềm tin cho khách hàng khi sử dụng dịch vụ ngân hàng trực tuyến.
