Posted inSecurity

Hướng dẫn sử dụng OWASP ZAP: Quét lỗ hổng Web Application từ cơ bản đến tự động hóa CI/CD

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Bối cảnh & Tại sao cần quét lỗ hổng ứng dụng web?

Trong thế giới số ngày nay, ứng dụng web là trái tim của mọi doanh nghiệp. Từ các trang bán hàng, hệ thống quản lý nội bộ đến nền tảng dịch vụ, chúng ta đều phụ thuộc vào chúng. Tuy nhiên, đi kèm với tiện ích là những rủi ro bảo mật đáng lo ngại. Tôi từng trải qua một đêm mất ngủ vì máy chủ bị tấn công brute-force SSH liên tục. Phải thức dậy lúc nửa đêm để xử lý cấp tốc, tôi nhận ra: bảo mật không phải là chuyện chờ đợi. Nó cần được thiết lập và kiểm tra liên tục, ngay từ đầu dự án.

Tôi hiểu rằng, khi một ứng dụng web đã ‘lên sóng’ (production), việc tìm và khắc phục lỗ hổng bảo mật chẳng khác nào ‘mò kim đáy bể’. Tuy nhiên, nếu bỏ qua, hậu quả có thể rất nặng nề: từ rò rỉ dữ liệu khách hàng, tổn hại uy tín thương hiệu, cho đến nguy cơ sập hệ thống hoàn toàn.

Đó là lý do tôi bắt đầu tìm kiếm các công cụ quét lỗ hổng tự động. Sau hơn 6 tháng sử dụng OWASP ZAP trên nhiều dự án thực tế, tôi nhận thấy đây là một giải pháp cực kỳ mạnh mẽ, linh hoạt và quan trọng nhất là miễn phí và mã nguồn mở.

OWASP ZAP (Zed Attack Proxy) không đơn thuần là một công cụ quét lỗ hổng. Nó còn đóng vai trò như một proxy trung gian, chặn mọi giao tiếp giữa trình duyệt và ứng dụng web của bạn. Điều này giúp tôi không chỉ tự động phát hiện mà còn chủ động phân tích và kiểm tra sâu các lỗ hổng. ZAP được phát triển và duy trì bởi cộng đồng OWASP (Open Web Application Security Project) – một tổ chức phi lợi nhuận uy tín hàng đầu trong lĩnh vực bảo mật ứng dụng web.

Cài đặt OWASP ZAP

OWASP ZAP tương thích với nhiều nền tảng và có đa dạng cách cài đặt. Để phát triển cá nhân, bạn có thể tải về bản cài đặt trực tiếp. Tuy nhiên, cá nhân tôi ưu tiên Docker, vì nó giúp việc tích hợp vào CI/CD và quản lý các phụ thuộc trở nên thuận tiện hơn rất nhiều.

Cài đặt với Docker (Khuyên dùng)

Nếu bạn đã cài Docker, việc khởi động ZAP chỉ với một lệnh duy nhất:


docker pull owasp/zap2docker-stable
docker run -p 8080:8080 -p 8090:8090 -i owasp/zap2docker-stable zap.sh -daemon -port 8080 -host 0.0.0.0 -config api.disablekey=true
  • -p 8080:8080 -p 8090:8090: Map cổng API (8080) và cổng UI (8090) của ZAP ra ngoài host.
  • -daemon: Chạy ZAP ở chế độ daemon (không có giao diện đồ họa), lý tưởng cho CI/CD.
  • -config api.disablekey=true: Tắt yêu cầu API key, tiện lợi cho môi trường local test. Trong production, bạn nên cấu hình API key để tăng cường bảo mật.

Sau khi chạy lệnh, bạn có thể truy cập giao diện ZAP qua trình duyệt tại http://localhost:8090 nếu muốn sử dụng phiên bản có giao diện đồ họa. Trong môi trường CI/CD, chúng ta sẽ tương tác với ZAP thông qua API hoặc CLI.

Cài đặt trên hệ điều hành

Bạn cũng có thể tải trực tiếp bản cài đặt từ trang chủ OWASP ZAP cho Windows, macOS hoặc Linux. Cách này đơn giản và phù hợp nếu bạn muốn sử dụng ZAP với giao diện người dùng đầy đủ.

Đối với Ubuntu/Debian:


sudo apt update
sudo apt install snapd
sudo snap install zaproxy --classic

Sau khi cài đặt, bạn có thể khởi động ZAP từ menu ứng dụng.

Cấu hình chi tiết để quét hiệu quả

Để ZAP hoạt động hiệu quả, việc cấu hình đúng cách là rất quan trọng. Đây chính là yếu tố then chốt giúp ZAP không chỉ ‘quét cho có’ mà thực sự phát hiện ra các vấn đề.

1. Thiết lập ZAP làm Proxy

ZAP đóng vai trò như một Man-in-the-Middle Proxy. Tất cả lưu lượng HTTP/S giữa trình duyệt và ứng dụng web của bạn sẽ được chuyển hướng qua ZAP, cho phép nó ghi lại và phân tích mọi request/response.

Trong ZAP, bạn vào Tools > Options > Local Proxies để kiểm tra cổng proxy (mặc định là 8080). Sau đó, cấu hình trình duyệt của bạn (Firefox, Chrome) để sử dụng proxy này. Tôi thường dùng Firefox với extension FoxyProxy để dễ dàng chuyển đổi proxy.

Với Firefox:

  1. Vào Settings > Network Settings > Manual proxy configuration.
  2. Đặt HTTP ProxylocalhostPort8080.
  3. Đánh dấu chọn Also use this proxy for HTTPS.

Nếu gặp lỗi chứng chỉ SSL, bạn cần import chứng chỉ Root CA của ZAP vào trình duyệt. Trong ZAP, vào Tools > Options > Dynamic SSL Certificates, click Save để lưu chứng chỉ, sau đó import vào trình duyệt của bạn.

2. Khởi tạo Context và Xác thực (Authentication)

Đây là bước rất cần thiết cho các ứng dụng có đăng nhập. Để ZAP quét sâu vào các tính năng yêu cầu xác thực, nó phải biết cách đăng nhập.

  • Tạo Context: Trong ZAP UI, chuột phải vào Site bạn muốn quét (ví dụ: http://your-webapp.com) trong tab Sites, chọn Include in Context > New Context. Đặt tên cho Context (ví dụ: MyWebApp).

  • Cấu hình Authentication: Trong phần Contexts (cửa sổ bên trái), chọn Context vừa tạo, sau đó chọn tab Authentication.

    • Form-based Authentication: Loại phổ biến nhất. Bạn cần cung cấp URL của trang đăng nhập, các tham số username/password (ví dụ: usernameField=user&passwordField=pass), và một chuỗi text để ZAP nhận biết đăng nhập thành công/thất bại (ví dụ: Log out cho thành công, Invalid credentials cho thất bại).
    • HTTP/NTLM Authentication: Đơn giản hơn nếu ứng dụng của bạn sử dụng loại này.

  • Tạo User: Trong tab Users của Context đó, click Add để tạo một user với thông tin đăng nhập đã cấu hình (username/password). ZAP sẽ sử dụng user này để thực hiện các phiên quét có xác thực.

Việc này giúp ZAP quét hiệu quả các trang chỉ truy cập được sau khi đăng nhập, tìm kiếm các lỗ hổng như Broken Access Control, SQL Injection trong các chức năng backend.

3. Spidering (Khám phá cấu trúc ứng dụng)

Trước khi thực hiện quét chủ động, ZAP cần nắm được cấu trúc của ứng dụng. Có hai loại Spider chính:

  • Traditional Spider: Khám phá các liên kết (links) trong HTML, JavaScript. Để chạy, chuột phải vào Context hoặc Site, chọn Attack > Spider....

  • AJAX Spider: Rất quan trọng cho các ứng dụng web hiện đại sử dụng nhiều JavaScript để tải nội dung động. AJAX Spider sẽ mở một trình duyệt không đầu (headless browser) và mô phỏng tương tác của người dùng để tìm kiếm các liên kết và API endpoints được tạo động. Để chạy, chuột phải vào Context hoặc Site, chọn Attack > AJAX Spider....

Tôi thường kết hợp cả hai loại spider để đảm bảo ZAP khám phá được tối đa các đường dẫn và chức năng.

4. Cấu hình Active Scan Policies

Active Scan là quá trình ZAP gửi các request được thiết kế đặc biệt (thường là ‘độc hại’) đến ứng dụng để tìm lỗ hổng. Bạn có thể tùy chỉnh các policy để quá trình quét hiệu quả hơn:

Vào Tools > Options > Active Scan Policy. Tại đây, bạn có thể tạo Policy mới, bật/tắt các rule cụ thể, điều chỉnh ngưỡng cảnh báo (Alert Threshold) và cường độ tấn công (Attack Strength). Ví dụ, nếu bạn muốn tránh gây tải quá lớn cho server, hãy giảm Attack Strength xuống Low hoặc Medium. Ngược lại, nếu muốn quét sâu hơn, hãy chọn High hoặc Insane.

Việc loại bỏ các rule không liên quan hoặc có thể gây hại trong môi trường production (ví dụ: các rule về denial-of-service) khi quét các hệ thống nhạy cảm là đặc biệt quan trọng.

Kiểm tra & Giám sát: Từ thủ công đến tự động hóa CI/CD

Sau khi đã cài đặt và cấu hình, đây là lúc ZAP phát huy sức mạnh tối đa.

1. Quét thủ công (Thăm dò ban đầu)

Đối với lần quét đầu tiên hoặc khi tôi muốn khám phá một tính năng mới, tôi thường thực hiện thủ công:

  1. Mở ZAP UI.
  2. Cấu hình trình duyệt sử dụng ZAP proxy.
  3. Thủ công duyệt qua tất cả các chức năng của ứng dụng: đăng nhập, thêm/sửa/xóa dữ liệu, gửi form, tương tác với các API qua giao diện người dùng. Lúc này, ZAP sẽ tự động ghi lại toàn bộ request/response vào tab History và thực hiện Passive Scan (phân tích mà không gửi request mới) để tìm các vấn đề cơ bản.
  4. Sau khi duyệt xong, chạy AJAX SpiderTraditional Spider trên Context đã tạo.
  5. Cuối cùng, chạy Active Scan trên toàn bộ Context hoặc các nhánh cụ thể của Site mà bạn muốn kiểm tra sâu hơn.

Kết quả sẽ hiển thị trong tab Alerts với các mức độ High, Medium, Low, Informational. Từ đó, bạn có thể đi sâu vào từng cảnh báo để xem chi tiết request/response và tìm cách khắc phục.

2. Tự động hóa với CI/CD

Đây là lúc ZAP trở thành một yếu tố then chốt trong quy trình phát triển của tôi. Tích hợp ZAP vào CI/CD giúp tự động phát hiện lỗ hổng ngay từ sớm, tiết kiệm đáng kể thời gian và chi phí. Theo một nghiên cứu của IBM, việc phát hiện và sửa lỗi bảo mật ở giai đoạn phát triển sớm có thể giảm chi phí tới 100 lần so với việc sửa lỗi trên môi trường production.

ZAP cung cấp một Automation Framework mạnh mẽ, cho phép định nghĩa các bước quét trong một file YAML. Hoặc đơn giản hơn, dùng ZAP Baseline Scan hoặc Full Scan qua Docker.

ZAP Baseline Scan (Nhanh, phù hợp CI/CD hàng ngày)

Baseline Scan chỉ thực hiện Passive Scan trên các URL đã biết trong một khoảng thời gian nhất định (ví dụ: 1 phút). Nó rất nhanh và phù hợp để chạy trong mọi commit/pull request để phát hiện các vấn đề cơ bản, dễ nhận diện.


docker run --rm -v $(pwd):/zap/wrk/:rw owasp/zap2docker-stable zap-baseline.py -t http://your-webapp.com -g gen_report.html -r zap_baseline_report.xml
  • --rm: Xóa container sau khi chạy.
  • -v $(pwd):/zap/wrk/:rw: Mount thư mục hiện tại vào trong container để lưu report.
  • -t http://your-webapp.com: Target URL của ứng dụng web.
  • -g gen_report.html: Tạo report định dạng HTML.
  • -r zap_baseline_report.xml: Tạo report định dạng XML (dễ parse bởi các công cụ CI/CD).

ZAP Full Scan (Kỹ lưỡng hơn, phù hợp nightly build/release)

Full Scan sẽ thực hiện Passive Scan, Traditional Spider, AJAX Spider và Active Scan. Quá trình này tốn nhiều thời gian hơn nhưng tìm kiếm được nhiều lỗ hổng hơn.


docker run --rm -v $(pwd):/zap/wrk/:rw owasp/zap2docker-stable zap-full-scan.py -t http://your-webapp.com -g gen_report.html -r zap_full_report.xml -D 10
  • -D 10: Chờ 10 phút để AJAX Spider hoàn thành việc khám phá.

Xử lý kết quả và Fail Build

Tôi luôn cấu hình CI/CD job để fail nếu ZAP tìm thấy các lỗ hổng ở mức độ High hoặc Medium. Điều này đảm bảo không có mã chứa lỗi bảo mật nghiêm trọng nào lọt vào production. Một ví dụ thực tế, nhiều công ty yêu cầu Zero High/Medium vulnerability trước khi deploy lên môi trường Staging/Production.

Trong file report XML hoặc JSON của ZAP, bạn có thể parse để kiểm tra số lượng và mức độ nghiêm trọng của các cảnh báo. Ví dụ, với Python:


import json

def check_zap_alerts(report_path):
    with open(report_path, 'r') as f:
        report = json.load(f) # Giả sử bạn tạo report JSON

    high_alerts = 0
    medium_alerts = 0

    for site in report.get('site', []):
        for alert in site.get('alerts', []):
            if alert['riskdesc'] == 'High':
                high_alerts += 1
            elif alert['riskdesc'] == 'Medium':
                medium_alerts += 1
    
    if high_alerts > 0:
        print(f"[ERROR] Found {high_alerts} High risk alerts.")
        return False
    if medium_alerts > 0:
        print(f"[WARNING] Found {medium_alerts} Medium risk alerts.")
        # Tùy theo chính sách, bạn có thể fail build ở đây
        return False # Fail build nếu có lỗi Medium
    
    print("No High or Medium risk alerts found. Good job!")
    return True

# Cách dùng:
# if not check_zap_alerts('zap_report.json'):
#    exit(1) # Fail CI/CD build

Đây chỉ là một ví dụ đơn giản. Trong thực tế, bạn có thể dùng các thư viện chuyên dụng hoặc công cụ tích hợp sẵn của CI/CD để parse và xử lý report từ ZAP.

Monitoring liên tục

Ngoài CI/CD, tôi còn thiết lập các scheduled scan (quét theo lịch) định kỳ hàng tuần hoặc hàng tháng cho các ứng dụng production quan trọng. Các report từ những lần quét này sẽ được gửi về email hoặc tích hợp vào một hệ thống quản lý lỗ hổng tập trung. Điều này giúp tôi theo dõi “sức khỏe” bảo mật của ứng dụng một cách liên tục và kịp thời phát hiện các vấn đề mới phát sinh.

Tóm lại, OWASP ZAP là một công cụ quan trọng đối với bất kỳ kỹ sư IT nào quan tâm đến bảo mật ứng dụng web. Từ việc dò tìm thủ công các lỗ hổng đến việc tích hợp tự động vào CI/CD, ZAP mang lại sự linh hoạt và sức mạnh đáng kinh ngạc. Hãy bắt đầu sử dụng nó ngay hôm nay để bảo vệ ứng dụng của bạn tốt hơn!

Share:
Tags: