Tóm tắt— Bảo đảm an toàn ứng dụng Web đang là một nhu cầu thực tế cấp thiết, vì đó là nền tảng cho hầu hết các ứng dụng và giao dịch trên mạng hiện nay. Để đảm bảo an toàn cho hệ thống, cần thường xuyên rà quét lỗ hổng bảo mật, xác định nguy cơ tiềm ẩn và mức độ rủi ro để có những biện pháp hạn chế, khắc phục điểm yếu và tăng cường an toàn. Trong quá trình thực hiện đánh giá, có nhiều khó khăn, thách thức về mặt kỹ thuật được đặt ra do sự phức tạp, gia tăng của các loại lỗ hổng và tấn công. Việc xác định mô hình và phương pháp đánh giá rủi ro phù hợp có tầm quan trọng đặc biệt và là chủ đề nghiên cứu của bài báo này. Thông qua việc đánh giá lỗ hổng bảo mật, bài báo đề xuất một mô hình và phương pháp đánh giá định lượng rủi ro trên cơ sở đánh giá mức độ sự cố và tác động của sự cố đối với ứng dụng Web.
Abstract— Ensuring secure Web applications is becoming an urgent practical demand because it is the foundation for most of the applications and transactions on the network today. To meet that demand, it is necessary to regularly scan security vulnerabilities, to identify potential risks and risk levels of systems in order to provide measures to reduce risks, remedy weakness and enhance security. Many difficulties and technical challenges posed by the increased complexity of the vulnerability and attack types. Identifying appropriate models and methods for Web application's risk assessment has a special significance and is the subject of this paper. By evaluating vulnerabilities, this paper proposed a model and methods for quantitative risk assessment based on the assessment of likelihood and impact of incidents for Web applications.
|
TÀI LIỆU THAM KHẢO [1]. H. Joh, Y.K. Malaiya, “Defining and Assessing Quantitative Security Risk Measures Using Vulnerability Lifecycle and CVSS Metrics”, Int'l Conf. Security and Management | SAM'11, pp. 10-16, 2011. [2]. National Institute of Standards and Techno-logy (NIST), “Risk management guide for information technology systems”. Special Publication 800-30, 2001. [3]. L. A. Cox, “Some Limitations of Risk = Threat Vulnerability Consequence for Risk Analysis of Terrorist Attacks, Risk Analysis”, 28(6), pp. 1749-1761, 2008. [4]. H. Joh and Y. K. Malaiya, “A Framework for Software Security Risk Evaluation using the Vulnerability Lifecycle and CVSS Metrics”, Proc. International Workshop on Risk and Trust in Extended Enterprises, pp. 430-434, November 2010. [5]. P. Mell, K. Scarfone, and S. Romanosky, CVSS: “A complete Guide to the Common Vulnerability Scoring System Version 2.0”, Forum of Incident Response and Security Teams (FIRST), 2007. [6]. //en.wikipedia.org/wiki/Web_application [7].Madeyski,“Architectural design of modern Web application”, madeyski.einfomatyka.pl/download/23.pdf [8]. D.Nelson, “Next Gen Web Architecture for the Cloud Era”, //www.sei.cmu.edu/library /assets/ pre-sentations/ nelson-saturn2013.pdf. [9]. Open Web Application Security Project (OWASP) Top 10 2014 - The Ten Most Critical Web Application Security Risks, //ww w.owasp.org/index.php/ [10]. The Open Web Application Security Project (2013) OWASP_ Testing_ Guide _v4. [11]. Microsoft, Improving Web Application Security, //msdn.micro-soft.com/en-us/libra-ry/ff648657.aspx [12]. //www.owasp.org/index.php/OWASP Risk Rating Methodology |
Thông tin trích dẫn: Hoàng Đăng Hải, Hồ Kim Cường, “Phương pháp đánh giá rủi ro cho ứng dụng Web”, Nghiên cứu khoa học và công nghệ trong lĩnh vực An toàn thông tin, Tạp chí An toàn thông tin, Vol. 02, No. 01, pp. 39-47, 2016.
Hoàng Đăng Hải, Hồ Kim Cường
09:00 | 19/06/2019
09:00 | 09/02/2021
10:00 | 13/07/2020
13:00 | 29/12/2023
10:00 | 06/11/2019
15:00 | 10/06/2019
10:00 | 28/05/2019
08:00 | 22/05/2024
Phần II của bài báo tiếp tục tập trung đánh giá một số công nghệ Blockchain phổ biến hiện nay, từ đó, xem xét tính ứng dụng của các công nghệ này đối với Việt Nam.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
15:00 | 19/02/2024
SoftEther là phần mềm xây dựng mạng riêng ảo (Virtual Private Network - VPN ) cho phép hoạt động ở lớp 2 trong mô hình OSI (lớp liên kết dữ liệu). SoftEther tích hợp nhiều giao thức VPN mà có thể hoạt động ở các lớp khác nhau, trong đó có giao thức SE-VPN hoạt động ở lớp 2. Bài viết này giới thiệu về giải pháp máy chủ VPN tích hợp SoftEther, cũng như trình bày về cách xử lý, đóng gói gói tin của giao thức SE-VPN được sử dụng trong máy chủ SoftEther.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
10:00 | 25/10/2024
