WEB PENTEST 2025

Bắt đầu với lộ trình Web202, học viên sẽ tiếp xúc với các lỗi bảo mật nâng cao. Symlink attack là cách thức tấn công liên quan đến một loại tập tin đặc biệt nằm trong các hệ điều hành. Lợi dung cơ chế đường tắt (shortcut/redirect) để khiến cho hệ điều hành tương tác (đọc,ghi,xóa) nhầm lẫn một tập tin khác, từ đó gây ra những rủi ro không thể xác định được. 1. Symlink Attack ▪️ Shortcut vs. Symlink ▪️ Các hành vi đặc biệt của Symlink ▪️ Các viễn cảnh khi khai thác lỗi Symlink

Server-Side Request Forgery (SSRF) cũng thuộc những chủng lỗi gây ra hậu quả không thể xác định. Nó còn tùy thuộc vào vị trí mạng của máy chủ bị lỗi, bởi vì loại lỗi này có thể thao túng khiến cho máy chủ bắn đi một gói tin (request) đến bất kì nơi nào trong mạng nội bộ nhạy cảm (private network). SSRF còn thường được dùng để kết hợp với bộ số lỗi bảo mật khác để tạo ra sức công phá lớn hơn, một trong đó là Remote Code Execution (RCE). ▪️ SSRF khác gì với CSRF? ▪️ Các viễn cảnh tấn công khác nhau của SSRF ▪️ URL Redriect và sự phức tạp của URL sẽ phá vỡ các lớp bảo vệ SSRF

Web browser trở thành một phần không thể thiếu trong cuộc sống hằng ngày, hầu như ai cũng sẽ lướt web trên một thiết bị nào đó. Như một cánh cổng mở đến Internet, nó lưu trữ rất nhiều dữ liệu, phiên đăng nhập của nạn nhân, chính vì thế trình duyệt web là một trong những mục tiêu mà hacker nhắm tới. Biết thêm về cơ chế hoạt động của một trình duyệt sẽ giúp học viên có cái nhìn rõ ràng và logic hơn về những rủi ro có thể xảy đến dù chỉ là một cái click chuột. 1. Mọi thứ bắt đầu từ một URL ▪️ Same-Origin Policy: Cơ chế bảo mật rất quan trọng trong lõi của trình duyệt ▪️ Một số cải tiến khác trên trình duyệt hiện đại 3. JavaScript làm được gì và những nơi kích hoạt chúng 4. Cookie vs. Session

Cross-Site Scripting (XSS) đã quá nổi tiếng, xuất hiện cách đây hơn 20 năm. Tuy nhiên nó vẫn là một trong những loại lỗi được tìm thấy nhiều nhất, và các tập đoàn lớn vẫn mắc phải khi xử lý những mã HTML và JavaScript. Nhiều bạn vẫn đang hiểu sai về nguyên lý và hậu quả của nó, đấy là một trong những lí do khiến người kiểm thử không thể tự mình học được những kỹ thuật khó hơn. 1. Các biến thể của XSS ▪️ Reflected XSS ▪️ Stored XSS ▪️ DOM-based XSS 2. Real-world case studies ▪️ Lỗi XSS có thể làm được gì ở năm 2022? ▪️ Case-study: Nguy cơ XSS với các game streamer

Các lỗi liên quan đến: ▪️ Server Misconfiguration ▪️ Information Leakage ▪️ Weak Credentials ▪️ Brute force Attack ▪️ PII (personal information identity) leak

1. Insecure Direct Object Reference (IDOR) ▪️ Các loại định danh ID (identifier) khi kiểm tra lỗi IDOR ▪️ Các phương pháp tìm lỗi IDOR hiệu quả hơn 2. Vertical and Horizontal Privilege Escalation ▪️ Access Control: Common Mistakes & Fixes 3. Real-world Case Studies ▪️ Earn XXXX$ Bounty For IDOR Bug On Dropbox By Avoiding Hotspot

1. Tìm hiểu bản chất ▪️ Quá trình Serialize & Deserialize ▪️ Serialized Data Format ▪️ Kiến thức căn bản Object Oriented Programming ▪️ Xây dựng mã khai thác - Kỹ thuật POP Chain 2. Real-world case studies: ▪️ Pre-Auth RCE in Moodle

▪️ Các magic methods trên Java ▪️ Phân tích nguyên lý hoạt động của công cụ Ysoserial

1. Lên ý tưởng ▪️ Những sai lầm mắc phải khiến cho người kiểm thử không thể tìm được Exploit Chain ▪️ Tối đa hóa sức ảnh hưởng của các lỗi bảo mật ▪️ Chuỗi khai thác từ SQL Injection đến Remote Code Execution Workshop: Exploit Chain 2. Real-world case studies ▪️ Finding new attack surfaces and chaining bunch of bugs on Microsoft Exchange

💰 Mô phỏng giống hệt trải nghiệm khi tự tay săn lỗi bảo mật trên các nền tảng bug bounty. Học viên sẽ được nhập vai bug hunter để tìm và báo cáo các lỗi bảo mật một cách đầy đủ chi tiết. Số tiền nhận thưởng theo team sẽ được đánh giá dựa vào: ▪️ Tổng số lỗi bảo mật tìm thấy ▪️ Mức độ gây ảnh hưởng của từng lỗi và cả exploit chain ▪️ Chất lượng của bản báo cáo (vulnerability report)

▪️ Quy trình Pentest một dự án, ứng dụng ▪️ Như thế nào là một report tốt ▪️ Tối ưu hóa quy trình và thời gian Pentest ▪️ Những kỹ năng mềm khác mà một Pentester nên có

Thực hiện một quy trình kiểm thử và viết report cho một dự án

▪️ Nghiên cứu chuyên sâu về công nghệ Java và các lỗ hổng thường gặp trong ứng dụng Java (Misconfig, SSRF, XXE, Injection, Deserialization...). ▪️ Cập nhật xu hướng bảo mật giai đoạn 2020–2025, với nhiều CVE “hot” và best practices về DevSecOps. ▪️ Hack để hiểu: Có lab demo, PoC, case study thực tế, hướng dẫn debug – đảm bảo học viên vừa học là áp dụng “được việc” liền. Các điểm nổi bật: ▪️ Công nghệ phổ biến: JSP 3.0+, Servlet 4.0+, Application Server (Tomcat, Jetty, JBoss/WildFly, WebLogic, GlassFish). ▪️ Các framework Java: Spring Boot, Spring MVC, JSF, Struts, v.v. ▪️ Loại lỗ hổng: Misconfiguration, SSRF (JNDI/RMI), XXE, Injection (SSTI/JDBC), Deserialization, Business Logic… Fun fact: ⚡️ 90% doanh nghiệp thuộc Fortune 500 dùng Java cho hệ thống back-end, nên vụ hack Java thường có tác động “khủng khiếp” nếu dính lỗi. ⚡️ Theo một nghiên cứu, 42% ứng dụng Java từng được quét có ít nhất 1 lỗ hổng nghiêm trọng (dẫn đến RCE, leo thang quyền…); thậm chí 18% có hơn 5 lỗ hổng nghiêm trọng.

▪️ Lý thuyết: Mô tả kiến trúc, đặc trưng bảo mật của Java, cách thức “bên trong” vận hành. ▪️ Phân tích lỗ hổng: Nói rõ cách khai thác, bypass filter, trick chain bug. ▪️ Case study: Dựa trên CVE Database, báo cáo security từ các hãng ▪️ Thực hành: Xây lab Docker hoặc VM, screen-record quá trình tấn công & debug chi tiết.

Theo báo cáo của Contrast Labs (từ 2019-2020, cập nhật giai đoạn 2021): ▪️ 16% - 20% ứng dụng .NET bị phát hiện ít nhất một lỗ hổng nghiêm trọng (critical). ▪️ Với Java, tỉ lệ này có thể cao hơn (40% - 42%) – nhưng không vì thế mà .NET an toàn hơn tuyệt đối.

▪️ Java SE vs EE vs Microservices: Điểm khác biệt cốt lõi, xu hướng dev hiện đại. ▪️ JSP 3.0+/Servlet 4.0+: Hỗ trợ HTTP/2, Expression Language “nhạy cảm” với EL injection, nguy cơ DoS. ▪️ Application Servers: Tomcat, Jetty, WildFly/JBoss, WebLogic, GlassFish – bề mặt tấn công thường gặp (port, console, deploy manager). ▪️ Overview Attack Surface: Top 20 CWE in Java (Maven), cập nhật lỗ hổng tiêu biểu (CWE-79, CWE-502…).

▪️ Các lỗi cấu hình phổ biến: Password/API key plaintext, default creds (Tomcat/WebLogic), lộ Actuator Spring Boot (/env, /metrics). ▪️ Bypass Nginx + Tomcat: Kỹ thuật lợi dụng path normalization hoặc proxy misconfig để “lách” firewall. ▪️ Hardening Server: Sử dụng công cụ quét misconfiguration (Trivy, OpenSCAP, Lynis), đặt giới hạn cổng, bảo vệ Manager GUI. ▪️ Setup: Thực hiện trên Docker/VM, kết hợp CI/CD pipeline. ▪️ Debug & Monitoring: Dùng JDWP remote debug (Tomcat/WildFly) Fun fact: ⚡️ Password mặc định (Tomcat/WebLogic Manager), lộ API key, hay bật JDWP debug công khai… là những sai lầm chí mạng đến khó tin

▪️ XXE: Giải thích cách parser DOM/SAX “phản chủ” khi bật ENTITY_EXPANSION. ▪️ Chain sang SSRF: jar://, rmi://, netdoc:// – kết hợp tấn công JNDI, RMI. ▪️ Log4Shell (CVE-2021-44228) và kỹ thuật chặn/bypass JNDI. ▪️ Lab: Triển khai chain XXE → SSRF, ví dụ đọc file nội bộ, “đi sâu” mạng internal rồi remote class load. Fun fact: ⚡️ Sự cố Log4Shell (CVE-2021-44228) năm 2021 được xem như “lỗ hổng nghiêm trọng nhất lịch sử” (điểm CVSS 10.0), ảnh hưởng gần như toàn bộ các app Java xài Log4j 2.

▪️ Phạm vi: Khai thác SSTI trên các template engine như JSP/EL injection, Thymeleaf. ▪️ Tricks: Biến tấu payload, sandbox bypass, <% out.print(...) %> không escape → RCE. ▪️ Case Study: Struts2 (CVE-2017-5638), Spring Boot templates lộ lỗ hổng.

▪️ Gadget Chains: Dùng CommonsCollections, BeanShell, Groovy… (build payload với ysoserial). ▪️ Tự Xây Dựng Gadget: Reflection, override methods, bypass filter. ▪️ Phòng Chống: Java 9+ ObjectInputFilter, tắt auto-typing Jackson/Gson. ▪️ Design Pattern & Real-World Arch: Hiểu codebase Java để xâu chuỗi gadget chuẩn, chèn Runtime.exec(). Fun fact: ⚡️ Các lỗ hổng Java Deserialization luôn nằm trong top “siêu nguy hiểm” vì dẫn tới RCE. Năm 2016-2017 đã có vụ “chấn động” liên quan đến CommonsCollections.

▪️ Khái niệm: Lỗi do assumptions sai của dev về hành vi user, dễ bỏ sót kiểm tra. ▪️ Case Study: HackerOne – unlimited discount redemption, bypass luồng logic. ▪️ Other: JDBC driver SQL Injection, minh họa Java vẫn “dính” SQLi nếu dev chủ quan.

▪️ SAST: SonarQube, Checkmarx, Fortify – quét code Java, phát hiện injection logic. ▪️ DAST: Burp Suite, ZAP – mô phỏng tấn công runtime, test SSRF, XSS, file upload, etc. ▪️ Kết hợp: Đưa vào CI/CD pipeline, xem báo cáo, fix lỗ hổng “liền tay”.

▪️ Thiết lập môi trường: Docker/VM sẵn “mồi” misconfig, XXE, SSRF, SSTI, Deserialization, Business Logic. ▪️ Bài tập đa dạng: Học viên pentest, lấy flag, ghi report. ▪️ Game: Tạo CTF nho nhỏ, ai chain được nhiều lỗi → MVP of the day!

▪️ Nghiên cứu chuyên sâu .NET: Nắm vững nền tảng .NET Framework, .NET Core, IIS và các lỗ hổng nổi bật (Deserialization, SSRF, Misconfig…). ▪️ Cập nhật xu hướng bảo mật: Tập trung vào các CVE mới như ProxyLogon, ViewState RCE, SSRF Cloud, v.v. ▪️ Phát triển kỹ năng Pentest & Debug: Thành thạo debug, breakpoint, trace.axd, SAST/DAST (SonarQube, Burp, ZAP) ▪️ Sử dụng lab, PoC, case study thực tế; khai thác lỗi qua công cụ debug, reverse IL code (dnSpy, ILSpy). Fun fact: ⚡️ Hơn 80% doanh nghiệp trong Fortune 500 đang triển khai hoặc duy trì ít nhất một ứng dụng .NET ⚡️ .NET cắm rễ rất sâu ở các tổ chức chính phủ, giáo dục, ngân hàng – nhất là nơi hạ tầng Windows chiếm ưu thế. Do đó, lỗ hổng trên .NET thường tác động diện rộng, quy mô lớn. ⚡️ Từ cuối 2020 trở đi, .NET Core (và bây giờ là .NET 5/6+) làm “dân .NET” càng có thêm động lực để xài cross-platform, mở rộng sang cloud, container. Nghĩa là bề mặt tấn công cũng xịn sò, phức tạp hơn.

♦ Nghiên cứu chuyên sâu: Phân tích ASP.NET, ASP.NET Core, IIS và các lỗ hổng đặc trưng (2020-2025) ♦ Tiếp cận từ cơ bản đến nâng cao: Lộ trình học tăng dần từ kiến thức nền tảng đến kỹ thuật khai thác phức tạp ♦ Thực chiến: Hands-on với các case study thực tế, CVE mới nhất và kỹ thuật bypass protection Fun fact: ⚡️ ProxyLogon (2021) – Cuộc tấn công vào Microsoft Exchange (một sản phẩm .NET) từng khiến hàng chục ngàn tổ chức dính chưởng chỉ trong vài ngày. Khai thác SSRF + Auth bypass để thực thi mã từ xa (RCE), gây chấn động toàn cầu. ⚡️ Telerik UI RCE (CVE-2019-18935)** – “Chuyện cũ” nhưng dai dẳng đến 2023, nhiều cơ quan chính phủ vẫn dính lỗ hổng này do chưa update, bị tội phạm mạng cài web shell, rò rỉ dữ liệu.

▪️ Giới thiệu tổng quan về lịch sử .NET: từ .NET Framework “classic”, .NET Core, .NET 5/6+ đến .NET Standard. ▪️ Phân biệt các phiên bản ▪️ Tổng quan bảo mật trong ASP.NET, ASP.NET Core: nêu Top 20 CWE trong .NET (NuGet). ▪️ Cách phòng tránh chung cho ứng dụng web .NET (cấu hình, patch, best practices).

▪️ Thực hành lab trên ứng dụng .NET web cơ bản (vd. ASP.NET). ▪️ Cấu trúc ứng dụng .NET: Assembly, IL code, C#. ▪️ Công cụ dịch ngược (ILSpy, dnSpy) – phân tích IL, chuyển đổi sang C#. ▪️ Debugger (Visual Studio Debugger, dnSpy) – đặt breakpoint, theo dõi luồng thực thi. ▪️ Áp dụng debug trên ứng dụng .NET mẫu, xử lý lỗi phổ biến...

▪️ Web.config misconfig: Tải lên web.config tùy chỉnh → can thiệp cấu hình, thậm chí chèn ASP code. ▪️ Trace.axd: Rò rỉ thông tin (cookie, IP, stack trace) nếu để mở. ▪️ ShortName (IIS Tilde): Liệt kê thư mục/tệp bằng tên ngắn (8.3). ▪️ Bypass Auth / Broken Access Control: Dùng URL trick vượt qua xác thực, truy cập file nội bộ. ▪️ Phòng ngừa: Hardening IIS, ẩn trace.axd, chặn upload file nguy hiểm, v.v.

▪️ SQLi → RCE: Tận dụng inject vào câu lệnh SQL, thao túng DB, tiềm năng leo thang đến RCE ▪️ XXE: Parser XML không an toàn → đọc file, SSRF. ▪️ Path Traversal: Luôn nằm trong top lỗ hổng của .NET ▪️ Cách fix: Validation input, xài parameterized query, tắt external entity XML…

▪️ SSRF .NET Core: Sử dụng HttpClient, WebRequest sai cách → attacker quét nội bộ, call dịch vụ nội bộ. ▪️ SSRF trên Cloud (Azure, AWS): Lấy metadata (169.254.169.254), đánh cắp token. ▪️ Case ProxyLogon: Khai thác SSRF trong Exchange Server (CVE-2021-26855) để bypass auth → RCE. ▪️ Lab: Thực hành truy cập metadata, demo tấn công Azure,...

▪️ Các bộ deserializer (BinaryFormatter, XmlSerializer, Json.NET, DataContractSerializer, SoapFormatter, Protobuf, MsgPack, Bson). ▪️ Gadget chain: Tìm class nguy hiểm (ObjectDataProvider…), build chuỗi gọi Runtime.exec(). ▪️ Phòng ngừa: Whitelist class, tắt TypeNameHandling, ưu tiên format an toàn (Protobuf, DataContract). ▪️ Case study: CVE-2021-26857 (Exchange) – Deserialization RCE. Fun fact: ⚡️ ViewState RCE hay lỗ hổng Deserialization .NET: Chỉ cần app bật ViewState MAC sai cách hay xài BinaryFormatter bất cẩn là hacker có thể build payload “gadget chain” thi triển RCE. ⚡️ IIS Misconfig: Ứng dụng .NET triển khai trên IIS nếu không hardening, dễ lộ trace.axd, web.config, hay dính ShortName (tilde ~). Tấn công kiểu này rất “thực tế” vì nhiều sysadmin chưa kỹ.

▪️ .NET Remoting vs. WCF – cách serial/deserialize. ▪️ Demo: CVE-2017-0213, MS17-010 .NET Remoting exploit. ▪️ Sử dụng Burp Suite / Wireshark để bắt request SOAP, TCP binary. ▪️ Chuỗi tấn công: Tạo payload với ysoserial.net, chèn vào gói SOAP / Remoting → RCE. ▪️ Phòng chống: Tắt Remoting, dùng WCF an toàn (DataContract…), chặn traffic suspect.

▪️ Bypass Binder: “Lách” whitelist/blacklist class, signature check, custom binder. ▪️ Tận dụng gadget: .NET class an toàn “bề ngoài” nhưng vẫn gây side-effect. ▪️ Case Study: ViewState RCE, Json.NET TypeNameHandling bypass. ▪️ Cách phòng ngừa: Triển khai filter chặt, cài đặt Machine Key an toàn, disable nguy cơ.

▪️ Một khi dính RCE trong môi trường Windows Server + Active Directory, hacker chộp luôn domain – thiệt hại về sau sẽ gấp bội.. ▪️ Nhiều app .NET cũ chạy .NET Framework, “treo” bao nhiêu code legacy, library cũ (như Telerik, Enterprise Library) – “mỏ vàng” cho attacker.