CASE STUDY 3

Kiểm Thử Web & Mobile

Sản Phẩm Fintech - Tuân Thủ PCI DSS

Đánh giá bảo mật toàn diện ứng dụng web và mobile cho khách hàng fintech, đảm bảo giao dịch tài chính an toàn và bảo vệ dữ liệu người dùng, hỗ trợ kiểm thử tuân thủ PCI DSS hàng năm.

Lỗ hổng

Mức Cao

Mức Trung bình

100%

Đã Khắc phục

Tổng Quan Dự Án

Ngành

Fintech

Loại Kiểm Thử

Kiểm Thử Black-box Web & Mobile

Thời Gian

3 tuần

Thách Thức & Mục Tiêu

Thách Thức

Các ứng dụng xử lý dữ liệu cá nhân và tài chính nhạy cảm với logic nghiệp vụ phức tạp có thể bị khai thác nếu không được bảo mật đúng cách.

Mục Tiêu

Kiểm thử lỗ hổng Black-box cho nền tảng web và mobile
Tập trung vào OWASP Top 10 và lỗi logic nghiệp vụ
Xác thực bảo mật mobile: SSL pinning, mã hóa, lưu trữ dữ liệu

Phương Pháp

Mô Phỏng Tấn Công

Mô phỏng hành vi kẻ tấn công thực trên web và mobile

Kiểm Thử Dựa Trên Công Cụ

Burp Suite, OWASP ZAP và kiểm thử thủ công nâng cao

Phân Tích Mobile

Dịch ngược và xác thực lưu trữ an toàn

Rà Soát Logic Nghiệp Vụ

Kiểm thử bảo mật API, xác thực và ủy quyền

Phát Hiện Chính (3 lỗ hổng)

HIGH

Rò Rỉ Mã Nguồn Client (CWE-204)

Mã nguồn mobile bị lộ, tiết lộ API key và logic nghiệp vụ có thể bị kẻ tấn công khai thác.

Tác Động: Đánh cắp tài sản trí tuệ và lạm dụng API

MEDIUM

Logic Nghiệp Vụ: Người Dùng Có Thể Đổi Email (CWE-471)

Người dùng có thể đổi email mà không cần xác minh email cũ hoặc mật khẩu, tạo rủi ro chiếm đoạt tài khoản.

Tác Động: Lỗ hổng chiếm đoạt tài khoản

MEDIUM

Logic Nghiệp Vụ: Xóa Người Dùng Đã Đăng Nhập (CWE-840)

Người dùng có thể xóa tài khoản mà không cần xác nhận hoặc kiểm tra bảo mật đúng cách, dẫn đến mất dữ liệu.

Tác Động: Xóa tài khoản trái phép

Giá Trị Mang Lại

Tuân Thủ PCI DSS

Đảm bảo tuân thủ cho yêu cầu kiểm thử ứng dụng hàng năm

Bảo Vệ Dữ Liệu Người Dùng

Xác định rò rỉ mã và lỗi logic bảo vệ tài sản trí tuệ

SDLC An Toàn

Tích hợp kiểm thử logic nghiệp vụ để cải tiến liên tục

Yêu Cầu Đánh Giá Bảo Mật Fintech