Abstract— Accessibility and security are two independent aspects of the website quality. For every web content, if they are separately considered and evaluated, the joint violation could not be highlighted. This paper proposes an approach for customizing the multi-aspects evaluation of web contents that are displayed at the client's browser. This approach is composed of two methods. In the first method, we define two rules sets to check the violation of the HTML nodes' attributes and values. The ISO 40500 [13] - based rules allow detecting accessibility violations. The OWASP [12] based rules allow detecting security violations. In the second method, we define the attack patterns for checking the conformance of the scripts and inputs data from users. These checking methods could be jointly or separately operated. The approach is experimented in the form of a web application.
|
Tài liệu tham khảo [1]. Google Accessibility Developer Tools. Chrome Web Store.[Online] //chrome.google.com/webstore/detail/accessibility-developer-t/fpkknkljclfencbdbgkenhalefipecmb?hl=en [2]. Bypass Blocks.[Online], //www.w3.org/TR/ UNDERSTANDING-WCAG20/navigation-mechanisms-skip.html [3]. Thi Huong Giang Vu, Dat Trinh Tuan, Van Hung Phan, “Checking and Correcting the Source Code of Web Pages for Accessibility” 2012. IEEE, Computing and Communication Technologies, Research, Innovation, and Vision for the Future (RIVF). pp. 1-4, 2012. [4]. Cross-Site Request Forgery (CSRF).[Online] //www.owasp.org/index.php/Cross-Site_Request_For gery_(CSRF) [5]. Document Object Model (DOM). W3C.[Online] //www.w3.org/DOM/ [6]. Fuzzing with WebScarab. OWASP.[Online] //www.owasp.org/index.php/Fuzzing_with_WebScarab [7]. AInspector Sidebar. Hoyt, Nicholas.[Online] //addons.mozilla.org/enUS/firefox/addon/ainspector-sidebar/ [8]. HTTP Fuzzer Tool. Acunetix.[Online] //www.acunetix.com/blog/docs/http-fuzzer-tool/ [9]. ISO/IEC 40500:2012. ISO.[Online] //www .iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=58625 [10]. Non-text Content.[Online] //www.w3.org /TR/UNDERSTANDING WCAG20/text-equiv-all.html [11].ModSecurity Core Rule Set Project. OWASP. [Online] //www.owasp.org/index.php/Category: OWASP_ModSecurity_Core_Rule_Set_Project [12]. 2013 OWASP Top Ten Project. OWASP.[Online] //owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013.pdf [13]. Web Application Security Accessibility Project. OWASP. [Online]//www.owasp.org/index.php/ WASP_Web_Application_Security_Accessibility_Project [14]. Zed Attack Proxy Project. OWASP.[Online] //www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project [15]. Edward Rolando Núñez-Valdéz, Oscar Sanjuán Martínez, Gloria García Fernández, Luis Joyanes Aguilar, Juan Manuel Cueva Lovelle , “Security Guidelines for the Development of Accessible Web Applications through the implementation of intelligent systems”. IJIMAI 1, pp. 79-86, 2009. [16]. Symantec. 2016 Internet Security Threat Report. [17]. Vũ Thị Hương Giang, Nguyễn Thị Thu Trang. “Hướng dẫn thiết kế trang web cho người khiếm thị”. ISBN: 978-604-938-730-2: NXB Bách Khoa, 2015. [18]. Ismailova, Rita, “Web site accessibility, usability and security: a survey of government websites in Kyrgyz Republic”. Universal Access in the Information Society, pp. 1-8, 2015. [19]. 2007 OWASP Top Ten Project. OWASP.[Online] 2007. //www.owasp.org/index.php/Top_10_2007 [20]. Using the title attribute of the frame and iframe elements.W3C.[Online]. //www.w3.org/TR/WCA G20-TECHS/H64.html [21]. Using longdesc W3C.[Online]. //www.w3 .org/TR/WCAG20-TECHS/H45.html [22]. Understanding SC 1.1.1 W3C.[Online] //www.w3.org/TR/UNDERSTANDING-WCAG2 0/text-equiv-all.html |
Vũ Thị Hương Giang, Phan Văn Huy, Vũ Văn Trung
09:00 | 08/01/2018
14:00 | 03/01/2018
13:00 | 03/01/2018
15:00 | 30/08/2016
15:00 | 06/09/2016
13:00 | 03/11/2020
10:00 | 15/09/2016
13:00 | 30/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
10:00 | 25/10/2024
