Tóm tắt— Bảo đảm an toàn ứng dụng Web đang là một nhu cầu thực tế cấp thiết, vì đó là nền tảng cho hầu hết các ứng dụng và giao dịch trên mạng hiện nay. Để đảm bảo an toàn cho hệ thống, cần thường xuyên rà quét lỗ hổng bảo mật, xác định nguy cơ tiềm ẩn và mức độ rủi ro để có những biện pháp hạn chế, khắc phục điểm yếu và tăng cường an toàn. Trong quá trình thực hiện đánh giá, có nhiều khó khăn, thách thức về mặt kỹ thuật được đặt ra do sự phức tạp, gia tăng của các loại lỗ hổng và tấn công. Việc xác định mô hình và phương pháp đánh giá rủi ro phù hợp có tầm quan trọng đặc biệt và là chủ đề nghiên cứu của bài báo này. Thông qua việc đánh giá lỗ hổng bảo mật, bài báo đề xuất một mô hình và phương pháp đánh giá định lượng rủi ro trên cơ sở đánh giá mức độ sự cố và tác động của sự cố đối với ứng dụng Web.
Abstract— Ensuring secure Web applications is becoming an urgent practical demand because it is the foundation for most of the applications and transactions on the network today. To meet that demand, it is necessary to regularly scan security vulnerabilities, to identify potential risks and risk levels of systems in order to provide measures to reduce risks, remedy weakness and enhance security. Many difficulties and technical challenges posed by the increased complexity of the vulnerability and attack types. Identifying appropriate models and methods for Web application's risk assessment has a special significance and is the subject of this paper. By evaluating vulnerabilities, this paper proposed a model and methods for quantitative risk assessment based on the assessment of likelihood and impact of incidents for Web applications.
|
TÀI LIỆU THAM KHẢO [1]. H. Joh, Y.K. Malaiya, “Defining and Assessing Quantitative Security Risk Measures Using Vulnerability Lifecycle and CVSS Metrics”, Int'l Conf. Security and Management | SAM'11, pp. 10-16, 2011. [2]. National Institute of Standards and Techno-logy (NIST), “Risk management guide for information technology systems”. Special Publication 800-30, 2001. [3]. L. A. Cox, “Some Limitations of Risk = Threat Vulnerability Consequence for Risk Analysis of Terrorist Attacks, Risk Analysis”, 28(6), pp. 1749-1761, 2008. [4]. H. Joh and Y. K. Malaiya, “A Framework for Software Security Risk Evaluation using the Vulnerability Lifecycle and CVSS Metrics”, Proc. International Workshop on Risk and Trust in Extended Enterprises, pp. 430-434, November 2010. [5]. P. Mell, K. Scarfone, and S. Romanosky, CVSS: “A complete Guide to the Common Vulnerability Scoring System Version 2.0”, Forum of Incident Response and Security Teams (FIRST), 2007. [6]. http://en.wikipedia.org/wiki/Web_application [7].Madeyski,“Architectural design of modern Web application”, madeyski.einfomatyka.pl/download/23.pdf [8]. D.Nelson, “Next Gen Web Architecture for the Cloud Era”, http://www.sei.cmu.edu/library /assets/ pre-sentations/ nelson-saturn2013.pdf. [9]. Open Web Application Security Project (OWASP) Top 10 2014 - The Ten Most Critical Web Application Security Risks, http://ww w.owasp.org/index.php/ [10]. The Open Web Application Security Project (2013) OWASP_ Testing_ Guide _v4. [11]. Microsoft, Improving Web Application Security, http://msdn.micro-soft.com/en-us/libra-ry/ff648657.aspx [12]. https://www.owasp.org/index.php/OWASP Risk Rating Methodology |
Thông tin trích dẫn: Hoàng Đăng Hải, Hồ Kim Cường, “Phương pháp đánh giá rủi ro cho ứng dụng Web”, Nghiên cứu khoa học và công nghệ trong lĩnh vực An toàn thông tin, Tạp chí An toàn thông tin, Vol. 02, No. 01, pp. 39-47, 2016.
Hoàng Đăng Hải, Hồ Kim Cường
09:00 | 19/06/2019
09:00 | 09/02/2021
10:00 | 13/07/2020
13:00 | 29/12/2023
10:00 | 06/11/2019
15:00 | 10/06/2019
10:00 | 28/05/2019
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
09:00 | 25/11/2022
Kiểm thử xâm nhập là một giải pháp ngăn chặn các cuộc tấn công mạng hữu hiệu nhất. Nhưng không giống như các phương thức hay giải pháp bảo mật khác, kiểm thử xâm nhập chống lại mối đe dọa bằng cách tự suy nghĩ và hành động như một mối đe dọa để xâm nhập thử vào hệ thống hay ứng dụng của tổ chức. Kết quả kiểm tra sau đó được sử dụng để khắc phục các lỗi đang tồn tại trong hệ thống hoặc ứng dụng mà chưa được biết đến, bằng cách tinh chỉnh và tăng cường bảo mật.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024
