Hành Trình Tự Động Hóa Tài Liệu CTF: Khi Pentester 'Hóa Giải' Nỗi Đau Bằng Code!

Lê Lân

11/07/2025

Từ Pentester Khó Chịu Đến Developer Hiệu Quả: Hành Trình Tự Động Hóa Công Việc An Ninh Mạng Mà Tôi Ghét Nhất

Mở Đầu

Trong lĩnh vực an ninh mạng, công việc pentesting không chỉ đòi hỏi kỹ năng kỹ thuật mà còn phải kiên nhẫn với những phần việc hành chính như viết tài liệu. Đây chính là kẻ thù thầm lặng khiến nhiều pentester cảm thấy mệt mỏi và mất thời gian.

Bạn có từng trải qua cảm giác sau khi hoàn thành một buổi tấn công thử thách trên HackTheBox với hàng giờ “vượt ải” thành công, cờ trên tay, tâm trạng phấn khích tràn đầy... nhưng ngay sau đó lại rơi vào một công việc khiến bạn ngán ngẩm là viết báo cáo, tài liệu? Việc mở chồng các tab Google Docs, copy-paste lệnh ra với định dạng lỗi, gom ảnh màn hình từ ba bốn thư mục khác nhau và dành cả tiếng đồng hồ phiền phức cho phần tài liệu trong khi chỉ có vài giờ thực chiến.

Bài viết này sẽ chia sẻ hành trình từ một pentester “biết mình không thích” nhiệm vụ tài liệu ấy, đến khi tự tay xây dựng một công cụ web giúp tự động hóa và tối ưu hóa toàn bộ quy trình viết báo cáo pentest. Qua đó, bạn sẽ hiểu được những quyết định kỹ thuật, tính năng nổi bật và bài học rút ra trong quá trình phát triển.

Vấn Đề Đau Đầu Khi Viết Tài Liệu CTF

Công Việc Truyền Thống Đầy Mệt Mỏi

Mở Google Docs và tạo tài liệu mới mỗi khi kết thúc phiên tấn công

Copy-paste câu lệnh, đầu ra với formatting bị lỗi, khó đọc

Sắp xếp hàng đống screenshots từ nhiều thư mục lộn xộn

Thao tác chỉnh sửa bảng biểu và danh sách tay chân lặp đi lặp lại

Mất tới 2+ giờ cho tài liệu trong khi tin tặc thực tế chỉ tốn 6 giờ

Theo tính toán cá nhân, đến 30% thời gian chơi CTF đã "đổ" vào phần tài liệu mà không trực tiếp đào sâu kỹ thuật.

Tác Động Tiêu Cực

Giảm hiệu suất học tập và thỏa mãn trong quá trình pentest

Gây ra sự trì hoãn nộp báo cáo hoặc giảm chất lượng tài liệu

Gánh nặng cho các cuộc thi và công việc thực tế đòi hỏi documentation liên tục

Giải Pháp: CTF Write-up Builder

Giới Thiệu Công Cụ

Một ứng dụng web chuyên dụng được xây dựng tối ưu cho việc soạn thảo tài liệu pentest, nhằm thay đổi phần việc vốn gây khó chịu này thành quy trình trôi chảy, tiết kiệm thời gian, đồng thời giữ được tính chuyên nghiệp.

Công nghệ sử dụng:

Next.js 14 (App Router)

TypeScript

Tailwind CSS

Tích hợp AI (Gemini/ChatGPT API)

Lưu trữ tại chỗ (local storage) để đảm bảo quyền riêng tư

Demo trực tiếp: ctf-writeup-builder.vercel.app Mã nguồn: github.com/ilanami/ctf_writeup_builder

Tính Năng Nổi Bật

🤖 Tạo Nội Dung Tự Động Bằng AI

Bạn chỉ cần mô tả ngắn gọn như “nmap đã quét thấy SSH, HTTP, phát hiện admin panel”, AI sẽ tạo ra đoạn văn được cấu trúc sẵn, kèm theo các lệnh thường dùng và đề xuất bước tiếp theo.

📝 Mẫu Soạn Thảo Chuẩn

Bao gồm các phần:

Thăm dò ban đầu (Initial Reconnaissance)

Liệt kê dịch vụ (Service Enumeration)

Phân tích ứng dụng web (Web Application Analysis)

Khai thác lỗ hổng (Exploitation)

Tăng quyền (Privilege Escalation)

Bài học rút ra (Lessons Learned)

📸 Quản Lý Ảnh Kéo & Thả

Ảnh chụp màn hình tự động phân loại theo phần nội dung, giảm thiểu việc sắp xếp thủ công và desktop hỗn loạn.

📄 Xuất PDF Chuyên Nghiệp

Tự động tạo ra báo cáo PDF gọn gàng, đẹp mắt, phù hợp mục đích phỏng vấn tuyển dụng, bàn giao khách hàng hoặc lưu trữ cá nhân.

Công cụ hoạt động hoàn toàn trên trình duyệt, không cần đăng ký hay lưu dữ liệu lên server!

Hành Trình Phát Triển Và Những Thách Thức

Quyết Định Kiến Trúc

Tại sao chọn Next.js?

Xử lý API AI ngay trên client để bảo mật dữ liệu người dùng

Hỗ trợ quản lý tệp ảnh, tài liệu xuất ra tiện lợi

Đảm bảo responsive cho thiết bị di động

Triển khai dễ dàng với hiệu năng cao

Chiến lược bảo mật dữ liệu

Tất cả dữ liệu và hoạt động xử lý tài liệu đều diễn ra trên trình duyệt. Ngoại trừ các cuộc gọi API AI tùy chọn trực tiếp từ client đến máy chủ của nhà cung cấp AI, không có dữ liệu người dùng được gửi hoặc lưu trên bất cứ server nào do mình quản lý.

Thách Thức Đã Vượt Qua

Tích hợp AI phức tạp

Ban đầu AI đặt ở server gây mâu thuẫn với cam kết riêng tư. Giải pháp: chuyển toàn bộ cuộc gọi AI sang client, quản lý key API người dùng hiệu quả.

Quản lý tệp ảnh

Triển khai drag-and-drop file với khâu xác thực, xem trước (preview) phức tạp do giới hạn APIs của trình duyệt.

Xuất báo cáo PDF

Cân bằng giữa chất lượng ảnh và dung lượng tập tin mất nhiều lần thử nghiệm, cuối cùng dùng jsPDF với nén ảnh tối ưu.

Kiến Trúc Mã Nguồn

Thành phần	Mô tả
Editor	Soạn Markdown với xem thử trực tiếp
Templates	Mẫu cấu trúc các phần tài liệu pentest
AI Integration	Tạo nội dung thông minh theo ngữ cảnh
Export	Xuất PDF và Markdown
State Management	React state, hooks tự quản lý persistence

Ảnh Hưởng Thực Tiễn

Yếu tố	Trước khi dùng công cụ	Sau khi dùng công cụ
Thời gian tài liệu	2+ giờ	30 phút
Tính nhất quán	Thay đổi, không đồng bộ	Đồng bộ, quy chuẩn
Chất lượng nội dung	Bỏ sót nhiều bước	Được nhắc nhở bởi AI

Chỉ với 30% thời gian của trước kia, chất lượng báo cáo được nâng lên đáng kể và quy trình làm việc trở nên hứng khởi hơn.

Những Bài Học Kỹ Thuật Quý Giá

1. Phát Triển Ưu Tiên Riêng Tư

Xây dựng toàn bộ ứng dụng chạy trên client giúp tránh được rủi ro dữ liệu bị thu thập, tuy vậy cũng đòi hỏi hiểu sâu về API trình duyệt và cách quản lý lưu trữ cục bộ.

2. Thực Hành Tích Hợp AI

AI chỉ là công cụ hỗ trợ, không bắt buộc người dùng

Cần chuẩn bị fallback khi AI API không hoạt động

Cho phép người dùng dùng key API riêng để tránh lộ thông tin

Thiết kế prompt theo cách đồng nhất cho các mô hình AI khác nhau

3. Trải Nghiệm Người Dùng Trong Công Cụ Chuyên Biệt

Việc nắm rõ quy trình đặc thù của cộng đồng CTF giúp tạo ra giải pháp sát với nhu cầu, không giống như các công cụ viết tài liệu chung chung thiếu chiều sâu.

Hướng Đi Tương Lai

Mở rộng mẫu tài liệu theo từng loại CTF: Web, PWN, Crypto...

Tích hợp API trực tiếp với HackTheBox, TryHackMe

Hỗ trợ cộng tác nhóm viết báo cáo khi luyện tập red team

Góp Ý Cho Cộng Đồng Developer

Mã nguồn dự án hoàn toàn opensource, rất mong nhận được đóng góp để:

Thêm định dạng xuất báo cáo mới

Tích hợp thêm nhà cung cấp AI khác

Tối ưu hóa hiệu năng và trải nghiệm người dùng

Dùng Thử Ngay

Tham quan thử ctf-writeup-builder.vercel.app và trải nghiệm:

Không cần đăng ký, hoạt động ngay trên trình duyệt

Khai thác sức mạnh AI với API của riêng bạn

Tự do lưu trữ dữ liệu trên máy, bảo mật tối đa

Một số câu hỏi dành cho bạn đọc:

Bạn gặp phải khó khăn gì trong việc viết tài liệu pentesting hay an ninh mạng?

Bạn đã trải nghiệm thế nào về việc xây dựng các ứng dụng “local-first” kết hợp API bên ngoài?

Những tính năng gì sẽ làm công cụ này trở nên hữu ích hơn với lĩnh vực của bạn?

Việc xây dựng công cụ giải quyết chính vấn đề mà mình gặp phải mang lại sự thỏa mãn rất lớn. Vậy bạn đang xây dựng giải pháp nào để thoát khỏi khó khăn trong công việc của mình?

Tham Khảo

HackTheBox – Cybersecurity Training Platform

Smith, J. (2024). AI in Cybersecurity Documentation: Trends and Practices.

Vercel. Next.js Documentation. https://nextjs.org/docs

OpenAI. Best practices for integrating AI APIs. https://openai.com/pricing

Mozilla Developer Network. File API and Drag & Drop. https://developer.mozilla.org/en-US/docs/Web/API/File_API

June 20, 2024