Có thể kể đến Acunetix WVS (Web Vulnerability Scanner) dùng cho việc kiểm tra các ứng dụng web hoặc dịch vụ web để phát hiện các lỗ hổng bảo mật. Sau khi quét xong, Acunetix sẽ liệt kê cấu trúc hiện tại của website, phiên bản web server hiện đang sử dụng, các lỗi bảo mật phát hiện... Mức độ bảo mật của website sẽ được công cụ này đánh giá từ thấp, trung bình… đến cao.
Đồng thời, Acunetix cũng sẽ cung cấp toàn bộ thông tin về quá trình quét lỗi bảo mật để tạo ra các bản báo cáo dành cho người quản lý website (webmaster). Nhờ phát hiện lỗi sớm, nhân viên quản trị mạng hoặc webmaster kịp thời sửa lỗi, sự phòng thủ trước các đợt tấn công của hacker được tăng lên. Acunetix cũng có thể giả lập một đợt tấn công để thăm dò sức đề kháng của website; qua đó phát hiện các lỗ hổng bảo mật phát sinh khi bị tấn công.
Điểm yếu: tầng ứng dụng
Có thể nói, hiện nay, thay vì tập trung toàn lực đánh vào hệ thống máy chủ, các hacker chủ yếu tấn công vào tầng ứng dụng, nơi đang bộc lộ nhiều lỗi bảo mật. Theo nhận định của Công ty Nghiên cứu Thị trường Gartner, có đến 90% lỗ hổng bảo mật xuất phát từ đây. Đã có hơn 2/3 số lượng website bị tấn công vào ứng dụng web trong năm 2010.
Thông qua việc khai thác các lỗi lập trình ứng dụng web, hacker sẽ bỏ qua các bước đăng nhập hệ thống như thông lệ, và chiếm lấy phiên làm việc của người dùng. Điều này khiến các tường lửa truyền thống của hệ thống mạng/máy chủ web (web server) không thể ngăn chặn các đợt tấn công này.
Để phòng ngừa, các DN sở hữu website cần thuê ngoài dịch vụ đánh giá bảo mật hoặc thường xuyên tự đánh giá mức độ bảo mật ứng dụng web. DN xem trình độ quản lý của nhân viên quản trị mạng mà chọn các PM đánh giá bảo mật thương mại hoá hoặc miễn phí.
Hiện nay, trên Internet cũng có một số công cụ rà quét mã nguồn ứng dụng miễn phí, giúp phát hiện các lỗi bảo mật trên website. Các PM này có thể rà quét những hệ thống sử dụng phiên bản mã nguồn mở cũng như mã nguồn đóng (PM thương mại). Sau khi rà quét, chúng sẽ phát hiện các lỗ hổng bảo mật trên tầng ứng dụng (nếu có) và đề nghị giải pháp sửa lỗi.
Các chuyên gia về bảo mật cũng khẳng định, với tường lửa thông thường, các website thương mại sẽ khó lòng chống đỡ trước những đợt tấn công. Khi hacker khai thác các lỗ hổng của tầng ứng dụng (Application Layer) thì hàng rào phòng thủ website dễ dàng bị xuyên thủng. Cần có cơ chế đánh giá bảo mật và gia tăng bảo vệ bằng các thiết bị, công cụ bảo mật riêng cho ứng dụng web.
Bà Cấn Thị Thanh Hải, Phụ trách Kinh doanh dòng sản phẩm Rational thuộc Nhóm PM - IBM Việt Nam cho biết: “Các nhân viên quản trị mạng cần chú ý thường xuyên nâng cấp và tải bản vá lỗi cần thiết cho các PM/ứng dụng đang sử dụng trên website. Các nhà sản xuất PM vẫn thường xuyên cập nhật bản vá lỗi trên trang chủ của mình”.
Đồng thời, nên sử dụng các công cụ đánh giá bảo mật tự động (như AppScan của IBM) để phát hiện sớm lỗ hổng bảo mật; kịp thời sửa lỗi. Khả năng rà quét lỗi bảo mật tự động sẽ giúp cho đội ngũ quản trị mạng nhanh chóng phát hiện ra các điểm yếu trên tầng ứng dụng web. Công cụ đánh giá bảo mật AppScan Standard thích hợp với những người phụ trách an ninh mạng (IT Security); đánh giá bảo mật (Penetration) hoặc chuyên gia kiểm định (Auditor)…