Điều hướng
Mũi tên trái/phải, Space, Home và End.
Ghi chép có thể tái hiện, báo cáo có thể hành động và khuyến nghị phù hợp với bối cảnh khách hàng
Mũi tên trái/phải, Space, Home và End.
Nhảy nhanh đến từng mục của Chương 5.
Phù hợp khi quay video hoặc trình chiếu.
Mỗi slide được tách thành một trang 16:9.
Sao chép các mẫu ghi chú và đoạn báo cáo.
Tải lại trang vẫn trở về slide đang học.
Tester không thể biết chính xác trước loại máy, mạng hoặc ứng dụng sẽ gặp.
Kết quả thực tế thường khác với hình dung ban đầu về testing environment.
Hoạt động dự kiến có thể không xảy ra; phát hiện mới có thể làm thay đổi hướng kiểm thử.
Giúp tester và khách hàng có cùng kỳ vọng.
Phản ánh giới hạn thời gian và ngân sách.
Giảm tranh cãi về những gì đã hoặc chưa được kiểm thử.
| Nội dung | Ví dụ trong tài liệu |
|---|---|
| Kỹ thuật bị cấm | Denial of Service hoặc social engineering có thể không được phép. |
| Giám sát tuân thủ | Red team có thể có một “referee” theo dõi việc tuân thủ RoE. |
| Phương pháp bắt buộc | Engagement có thể phải theo một methodology cụ thể do yêu cầu tuân thủ. |
| Làm rõ từ đầu | Tất cả giới hạn và điều kiện phải được thống nhất trước khi kiểm thử. |
Lặp lại quy trình để chứng minh vấn đề là có thật.
Xác nhận lỗ hổng đã được khắc phục.
Nếu hệ thống gặp lỗi trong thời gian pentest, có thể xác định kiểm thử có phải nguyên nhân hay không.
| Trường | Nội dung cần ghi |
|---|---|
| Application Name | Tên ứng dụng; hữu ích khi kiểm thử nhiều ứng dụng và tổ chức thư mục. |
| URL | URL chính xác dẫn đến vị trí có lỗ hổng. |
| Request Type | GET, POST, OPTIONS… và mọi thay đổi thủ công đã thực hiện. |
| Issue Detail | Tổng quan lỗ hổng, CVE nếu có, tác động quan sát được. |
| Proof of Concept Payload | Chuỗi hoặc code kích hoạt lỗ hổng, kèm điều kiện tiên quyết và lệnh cần thiết. |
Testing for Cross-Site Scripting
Testing Target: 192.168.1.52
Application: XSSBlog
Date Started: 31 March 2022
1. Navigated to the application
http://192.168.1.52/XSSBlog.html
Result: Blog page displayed as expected
2. Entered our standard XSS test data:
You will rejoice to hear that no disaster has accompanied the
commencement of an enterprise which you have regarded with such
evil forebodings.<script>alert("Your computer is infected!");</script>
I arrived here yesterday, and my first task is to assure my dear
sister of my welfare and increasing confidence in the success of
my undertaking.3. Clicked Submit to post the blog entry.
Result: Blog entry appeared to save correctly.
4. Navigated to read the blog post
http://192.168.1.52/XSSRead.php
Result: The blog started to display and then the expected alert popped up.
5. Test indicated the site is vulnerable to XSS.
PoC payload: <script>alert(‘Your computer is infected!')</script>Hỗ trợ chèn ảnh trực tiếp nếu engagement cần nhiều bằng chứng hình ảnh.
Định dạng code rõ ràng để đọc và sao chép nhanh.
Chạy đa hệ điều hành hoặc dễ chuyển sang máy khác.
Tổ chức domain, application, host và finding theo cây thư mục.
Text editor quen thuộc, nhẹ và có syntax highlighting linh hoạt.
Engagement tập trung vào một loại code hoặc cần ghi chú dạng text nhanh.
kali@kali:~$ wget https://github.com/obsidianmd/obsidian-releases/releases/download/v0.14.2/Obsidian-0.14.2.AppImage
....
2022-03-31 15:38:53 (1.28 MB/s) - 'Obsidian-0.14.2.AppImage' saved [113102744/113102744]
kali@kali:~$ chmod +x Obsidian-0.14.2.AppImage
kali@kali:~$ ./Obsidian-0.14.2.AppImage| Công cụ | Code | Screenshot | Cấu trúc | Portability |
|---|---|---|---|---|
| Sublime Text | Tốt, syntax highlighting | Không chèn inline theo mô tả trong tài liệu | Tự tổ chức bằng file/folder | Dễ chuyển file |
| CherryTree | Có định dạng | Chèn trong node | Tree node/subnode | Xuất nhiều định dạng |
| Obsidian | Markdown code blocks | Chèn inline | Vault + folder + linked notes | Chuyển nguyên Vault |
Một hình tốt có thể giải thích finding nhanh hơn nhiều đoạn mô tả.
Giúp người đọc thấy trực tiếp kết quả như XSS alert hoặc dữ liệu nhạy cảm.
Kết hợp với các bước ghi chú để tester khác theo lại quy trình.
Hiển thị URL để xác định chính xác webpage.
Branding hoặc giao diện cho thấy ảnh thuộc hệ thống khách hàng.
Pop-up hoặc kết quả chứng minh JavaScript đã chạy.
Nội dung phải đọc được ngay mà không cần phóng to.
| Phím / công cụ | Hành vi |
|---|---|
| PrintScreen | Sao chép toàn bộ màn hình để dán vào Paint, Word hoặc PowerPoint. |
| Alt + PrintScreen | Chụp cửa sổ đang active. |
| Windows + Shift + S | Mở Snipping Tool để chọn vùng cần chụp. |
| Crop / chỉnh sửa | Loại bỏ nội dung không cần thiết trước khi đưa vào ghi chú hoặc báo cáo. |
| Nền tảng | Cách chụp trong tài liệu |
|---|---|
| macOS | Shift + Command + 3 để chụp toàn màn hình; Shift + Command + 4 hoặc 5 để chọn vùng / mở công cụ chụp. |
| Linux | PrintScreen để chụp toàn màn hình; công cụ Screenshot của Kali có chọn cửa sổ, vùng và delay. |
| Flameshot | Công cụ mã nguồn mở, đa nền tảng; có CLI/GUI và chức năng highlight, pixelate, thêm text. |
Tìm được nhiều lỗ hổng chưa tự động tạo ra tác động kinh doanh.
Khách hàng cần biết phải làm gì tiếp theo.
Báo cáo biến kết quả kiểm thử thành kế hoạch khắc phục.
“Ethical hacker” tấn công hợp pháp để tìm và khai thác điểm yếu.
Cung cấp một con đường phía trước: finding, cách khắc phục ngay và mục tiêu chiến lược ngăn lỗi tái diễn.
Khách hàng là chuyên gia trong ngành của họ và kỳ vọng tester hiểu các mối quan tâm chính.
Finding cần được liên hệ với mục tiêu, dữ liệu và hoạt động quan trọng.
Ví dụ trong tài liệu: HIPAA cho dữ liệu y tế tại Mỹ và PCI cho xử lý thanh toán.
| Tình huống | Cách nhìn theo tài liệu |
|---|---|
| HTTP login clear text trên Internet | Cực kỳ không an toàn vì dễ tiếp cận từ bên ngoài. |
| HTTP login clear text trong internal network | Vẫn không an toàn, nhưng attacker cần thêm bước để tiếp cận. |
| TLS 1.0 trên cổng đăng nhập bệnh viện | Có thể không phải mối quan tâm cao nhất trong bối cảnh cụ thể. |
| TLS 1.0 trên eCommerce | Đáng lo hơn vì có thể liên quan vi phạm PCI. |
Senior management hiểu chính xác những gì đã được kiểm thử.
Hiểu các rủi ro và worst-case scenario quan trọng.
Có đủ bối cảnh để ưu tiên và cấp nguồn lực remediation.
| Nhóm | Nội dung |
|---|---|
| Scope | Chính xác hệ thống, URL hoặc tài sản đã kiểm thử; phần nào bị loại bỏ. |
| Timeframe | Số ngày, ngày bắt đầu/kết thúc và có thể gồm giờ kiểm thử. |
| Rules / Methodology | RoE, referee report, DoS/social engineering và methodology đã sử dụng. |
| Infrastructure / Accounts | Testing IP, tài khoản do khách hàng cấp và tài khoản tester đã tạo. |
Executive Summary:
- Scope: https://kali.org/login.php
- Timeframe: Jan 3 - 5, 2022
- OWASP/PCI Testing methodology was used
- Social engineering and DoS testing were not in scope
- No testing accounts were given; testing was black box from an external IP address
- All tests were run from 192.168.1.2Stored XSS + reflected XSS + SQL injection + file upload flaws cho thấy user input không được xử lý đúng trên diện rộng.
"The Client hired OffSec to conduct a penetration test of
their kali.org web application in October of 2025. The test was conducted
from a remote IP between the hours of 9 AM and 5 PM, with no users
provided by the Client.""The application had many forms of hardening in place. First, OffSec was unable to upload malicious files due to the strong filtering
in place. OffSec was also unable to brute force user accounts
because of the robust lockout policy in place. Finally, the strong
password policy made trivial password attacks unlikely to succeed.
This points to a commendable culture of user account protections."“It was impossible to upload malicious files.”
“OffSec was unable to upload malicious files due to the strong filtering in place.”
"However, there were still areas of concern within the application.
OffSec was able to inject arbitrary JavaScript into the browser of
an unwitting victim that would then be run in the context of that
victim. In conjunction with the username enumeration on the login
field, there seems to be a trend of unsanitized user input compounded
by verbose error messages being returned to the user. This can lead
to some impactful issues, such as password or session stealing. It is
recommended that all input and error messages that are returned to the
user be sanitized and made generic to prevent this class of issue from
cropping up.""These vulnerabilities and their remediations are described in more
detail below. Should any questions arise, OffSec is happy
to provide further advice and remediation help."| Trạng thái | Cách trình bày |
|---|---|
| Positive Outcome | Không có hạn chế; thời gian được phân bổ đủ để kiểm thử kỹ môi trường. |
| Neutral Outcome | Có vấn đề nhưng không ảnh hưởng tổng thể; vẫn nên nêu đề xuất cải thiện quy trình. |
| Negative Outcome | Thời gian hoặc điều kiện không đủ, làm giảm độ bao phủ của engagement. |
"There were no limitations or extenuating circumstances in the engagement. The time allocated was sufficient to thoroughly test the environment."
"There were no credentials allocated to the tester in the first two days of the test. However, the attack surface was much smaller than anticipated. Therefore, this did not have an impact on the overall test. OffSec recommends that communication of credentials occurs immediately before the engagement begins for future contracts, so that we can provide as much testing as possible within the allotted time."
"There was not enough time allocated to this engagement to conduct a thorough review of the application, and the scope became much larger than expected. It is recommended that more time is allocated to future engagements to provide more comprehensive coverage."
Tài khoản, mật khẩu, đặc quyền.
Kiến trúc và phân vùng hệ thống.
Quyền truy cập và kiểm soát chức năng.
Phiên bản, cập nhật và lỗ hổng đã biết.
Tính toàn vẹn và xác thực nội dung.
Audit, log management và giám sát.
Mã hóa traffic và dữ liệu.
Cấu hình không an toàn.
4. Patch Management
Windows and Ubuntu operating systems that are not up to date were
identified. These are shown to be vulnerable to publicly-available
exploits and could result in malicious execution of code, theft
of sensitive information, or cause denial of services which may
impact the infrastructure. Using outdated applications increases the
possibility of an intruder gaining unauthorized access by exploiting
known vulnerabilities. Patch management ought to be improved and
updates should be applied in conjunction with change management.Mô tả đầy đủ vulnerability và vị trí bị ảnh hưởng.
Chứng minh vấn đề có thể khai thác bằng dữ liệu và screenshot.
Hướng dẫn tái hiện từng bước.
Các bước xử lý rõ ràng và phù hợp.
Narrative dài có thể đưa vào Appendix và được tham chiếu từ findings table.
| Cột | Nội dung |
|---|---|
| Ref | Mã tham chiếu finding. |
| Risk | Mức độ như H, M hoặc mức severity đã thống nhất. |
| Issue Description and Implications | Vulnerability là gì, bằng chứng, tác động và khu vực bị ảnh hưởng. |
| Recommendations | Các bước khắc phục cụ thể. |
Thông tin được enumeration qua anonymous SMB session và sau đó dùng để đạt unauthorized user access; chi tiết được tham chiếu đến Appendix E.9.
JavaScript độc hại có thể chạy trong browser của người dùng. Tác động có thể gồm unauthorized access và credential theft, dẫn đến tổn thất uy tín hoặc tài chính.
Dựa trên đặc tính vulnerability và có thể điều chỉnh theo likelihood.
Cần hiểu tác động riêng đối với hoạt động, dữ liệu và môi trường của khách hàng.
Dùng khi bằng chứng ngắn, đơn giản và không làm gián đoạn luồng đọc.
Dùng khi PoC, narrative, danh sách hoặc screenshot sequence dài.
Đưa ra giải pháp rộng thay vì xử lý đúng application và business.
Khuyến nghị không có cách triển khai cụ thể.
Xếp nhiều hành động khác nhau vào một solution duy nhất.
Compromised users hoặc nhiều affected areas.
Code block lớn làm gián đoạn nội dung chính.
Chuỗi khai thác hoặc methodology mở rộng.
Chi tiết cần thiết nhưng quá dài để đặt inline.
Không lưu chính xác thao tác, điều kiện và kết quả.
Screenshot khó đọc hoặc không gắn với khách hàng.
Đồng nhất technical severity với business risk.
Không có bước thực hiện cụ thể.
Executive bị quá tải, technical staff lại thiếu chi tiết.
Nhồi code hoặc narrative dài vào phần finding chính.
Ghi đủ chi tiết để tái hiện và chuyển giao.
Screenshot và PoC phải rõ, đúng trọng tâm.
Trình bày scope, outcome, trend và business impact.
Giải thích finding, evidence, replication và remediation.
Giữ nội dung chính dễ đọc bằng cách tách chi tiết dài.
Khuyến nghị phải phù hợp với hệ thống và khách hàng.
Tổng hợp nội dung tiếng Việt phục vụ học, thực hành và hệ thống hóa phương pháp làm việc.
security365.vn/pwk-oscp/Chỉ thực hành trên hệ thống được cấp phép và môi trường đào tạo.