Tóm tắt— Bảo đảm an toàn ứng dụng Web đang là một nhu cầu thực tế cấp thiết, vì đó là nền tảng cho hầu hết các ứng dụng và giao dịch trên mạng hiện nay. Để đảm bảo an toàn cho hệ thống, cần thường xuyên rà quét lỗ hổng bảo mật, xác định nguy cơ tiềm ẩn và mức độ rủi ro để có những biện pháp hạn chế, khắc phục điểm yếu và tăng cường an toàn. Trong quá trình thực hiện đánh giá, có nhiều khó khăn, thách thức về mặt kỹ thuật được đặt ra do sự phức tạp, gia tăng của các loại lỗ hổng và tấn công. Việc xác định mô hình và phương pháp đánh giá rủi ro phù hợp có tầm quan trọng đặc biệt và là chủ đề nghiên cứu của bài báo này. Thông qua việc đánh giá lỗ hổng bảo mật, bài báo đề xuất một mô hình và phương pháp đánh giá định lượng rủi ro trên cơ sở đánh giá mức độ sự cố và tác động của sự cố đối với ứng dụng Web.
Abstract— Ensuring secure Web applications is becoming an urgent practical demand because it is the foundation for most of the applications and transactions on the network today. To meet that demand, it is necessary to regularly scan security vulnerabilities, to identify potential risks and risk levels of systems in order to provide measures to reduce risks, remedy weakness and enhance security. Many difficulties and technical challenges posed by the increased complexity of the vulnerability and attack types. Identifying appropriate models and methods for Web application's risk assessment has a special significance and is the subject of this paper. By evaluating vulnerabilities, this paper proposed a model and methods for quantitative risk assessment based on the assessment of likelihood and impact of incidents for Web applications.
|
TÀI LIỆU THAM KHẢO [1]. H. Joh, Y.K. Malaiya, “Defining and Assessing Quantitative Security Risk Measures Using Vulnerability Lifecycle and CVSS Metrics”, Int'l Conf. Security and Management | SAM'11, pp. 10-16, 2011. [2]. National Institute of Standards and Techno-logy (NIST), “Risk management guide for information technology systems”. Special Publication 800-30, 2001. [3]. L. A. Cox, “Some Limitations of Risk = Threat Vulnerability Consequence for Risk Analysis of Terrorist Attacks, Risk Analysis”, 28(6), pp. 1749-1761, 2008. [4]. H. Joh and Y. K. Malaiya, “A Framework for Software Security Risk Evaluation using the Vulnerability Lifecycle and CVSS Metrics”, Proc. International Workshop on Risk and Trust in Extended Enterprises, pp. 430-434, November 2010. [5]. P. Mell, K. Scarfone, and S. Romanosky, CVSS: “A complete Guide to the Common Vulnerability Scoring System Version 2.0”, Forum of Incident Response and Security Teams (FIRST), 2007. [6]. //en.wikipedia.org/wiki/Web_application [7].Madeyski,“Architectural design of modern Web application”, madeyski.einfomatyka.pl/download/23.pdf [8]. D.Nelson, “Next Gen Web Architecture for the Cloud Era”, //www.sei.cmu.edu/library /assets/ pre-sentations/ nelson-saturn2013.pdf. [9]. Open Web Application Security Project (OWASP) Top 10 2014 - The Ten Most Critical Web Application Security Risks, //ww w.owasp.org/index.php/ [10]. The Open Web Application Security Project (2013) OWASP_ Testing_ Guide _v4. [11]. Microsoft, Improving Web Application Security, //msdn.micro-soft.com/en-us/libra-ry/ff648657.aspx [12]. //www.owasp.org/index.php/OWASP Risk Rating Methodology |
Thông tin trích dẫn: Hoàng Đăng Hải, Hồ Kim Cường, “Phương pháp đánh giá rủi ro cho ứng dụng Web”, Nghiên cứu khoa học và công nghệ trong lĩnh vực An toàn thông tin, Tạp chí An toàn thông tin, Vol. 02, No. 01, pp. 39-47, 2016.
Hoàng Đăng Hải, Hồ Kim Cường
09:00 | 19/06/2019
09:00 | 09/02/2021
10:00 | 13/07/2020
13:00 | 29/12/2023
10:00 | 06/11/2019
15:00 | 10/06/2019
10:00 | 28/05/2019
15:00 | 03/09/2023
Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024
