Xây dựng các ca kiểm thử an toàn thông tin cho ứng dụng web
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (181.95 KB, 2 trang )
Xây dựng các ca kiểm thử an toàn thông tin cho
ứng dụng web
Nguyễn Thị Thu Hiền
Trường Đại học Công nghệ
Luận văn Thạc sĩ ngành: Kỹ thuật phần mềm; Mã số: 60 48 01 03
Người hướng dẫn: TS. Đặng Đức Hạnh
Năm bảo vệ: 2014
Keywords. Công nghệ thông tin; An toàn thông tin; Ứng dụng Web; Kỹ thuật phần
mềm; Tin học
Content
Trong thời đại bùng nổ công nghệ thông tin hiện nay, phần mềm đã đi vào mọi ngõ ngách
của cuộc sống và đã có những ảnh hưởng to lớn đến đời sống của con người. Bởi vậy mà hơn
bao giờ hết, việc kiểm thử và đảm bảo chất lượng phần mềm càng trở lên quan trọng. Giờ đây,
việc kiểm thử phần mềm cũng không chỉ đơn thuần là kiểm thử cho các chức năng hoạt động tốt,
mà còn phải đảm bảo bảo mật phần mềm. Bởi những nỗ hổng về bảo mật là những nguy cơ rất
nguy hiểm có thể dẫn đến những hậu quả nghiêm trọng.
Các loại tội phạm công nghệ cao, an ninh mạng là những vấn đề thuộc an ninh phi truyền
thống đang ngày càng phổ biến và tác động, ảnh hưởng đến an ninh quốc gia. Theo tờ USA
Today, năm 2012, tội phạm công nghệ cao gây thiệt hại cho nước Mỹ khoảng 67,2 tỷ USD, trên
toàn cầu khoảng 400 tỷ USD, chỉ đứng sau tội phạm ma túy (460 tỷ USD) [1].
Thực trạng an toàn thông tin tại Việt Nam đang tiềm ẩn nhiều nguy cơ. An ninh mạng
vẫn chưa thực sự được quan tâm tại các cơ quan, doanh nghiệp. Theo nhận định của các chuyên
gia Công ty Bkav [2], hầu hết cơ quan doanh nghiệp của Việt Nam chưa bố trí được nhân sự phụ
trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chưa tương xứng với tình hình
thực tế. Vấn đề an ninh mang đang trở lên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn
đề chính trị, kinh tế và an ninh quốc gia. Việc đảm bảo bảo mật phần mềm đã trở thành yêu cầu
cấp thiết và bắt buộc đối với bất kỳ phần mềm nào. Vì vậy, việc kiểm thử bảo mật cũng trở thành
1 yêu cầu bắt buộc trong quy trình kiểm thử phần mềm của rất nhiều công ty. Xuất phát từ nhu
cầu thực tế này, chúng tôi đã nghiên cứu và tìm hiểu về an toàn thông tin đối với các ứng dụng
web và các phương pháp kiểm thử để tìm ra các nỗ hổng về bảo mật của ứng dụng web. Sau một
quá trình nghiên cứu dưới sự hướng dẫn của TS. Đặng Đức Hạnh, tôi đã hoàn thành luận văn
“XÂY DỰNG CÁC CA KIỂM THỬ AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEB”. Luận
văn được cấu trúc thành 3 chương như sau:
- Chương 1: Khái niệm cơ bản
- Chương 2: Thiết kế các ca kiểm thử ATTT cho ứng dụng web
- Chương 3: Vận dụng và công cụ hỗ trợ
References
Tiếng Việt
[1] Mạnh Vỹ (2014), “Mối đe dọa của tội phạm mạng công nghệ cao và chiến tranh mạng”, Tạp
chí bưu chính viễn thông, tr.1.
[2] Đức Thiện (2013), “Chủ động trước nguy cơ tấn công mạng”, Báo Hà Nội mới, tr.1.
[3] Đinh Thị Thiên Anh (2011), Nghiên cứu kiểm thử bảo mật website, Luận văn Thạc sĩ,
Trường Đại học Đà Nẵng, tr.5,13.
[4] Nguyễn Thế Phục (2012), “Kĩ thuật tấn công CROSS-SITE SCRIPTING”, Thư viện khoa
học, tr.1-2.
Tiếng Anh
[5] Jane Radatz, Chairperson (1990), IEEE standard glossary of software engineering
terminology, Universidad Nacional de Colombia, USA.
[6] Ron Patton (2005), Sofware testing, Sams Publishing, the United States of America.
[7] Paco Hope, Ben Waltber (2009), Web Security Testing Cookbook, O’Reilly Media, the
United States of America.
[8] William G.J. Halfond, Jeremy Viegas, “Alessandro Orso (2010), A Classification of SQL
Injection Attacks and Countermeasures”, College of Computing Georgia Institute of Technology,
tr.2.
[9] Lieven Desmet, Thomas Heyman, Wim Maes, Wouter Joosen (2009), Browser Protection
against Cross-Site Request Forgery, ACM, New York.
[10] HKSAR (2008), Web application security, The Government of the Hong Khôngng Special
Administrative Region, Hong Khôngng.
[11] Willem Burgers, Roel Verdult, Markhông van Eekelen (2012), Prevent Session Hijacking
by Binding the Session to the Cryptographic Network Credentials, Institute for Computing and
Information Sciences Radboud University Nijmegen, The Netherlands.
[12] Bhavna C.K. Nathani Erwin Adi (2012), Website Vulnerability to Session Fixation Attacks,
School of Computer Science, Binus International, Bina Nusantara University, Indonesia.
[13] Lark Allen, Kelly Purcell (2009), “Encrypting Sensitive Data”, Mortgage Technology, tr.12.
[14] Jordan DelGrande (2007), “Web Application Username Enumeration”, Security Technology
Science Pty Ltd, tr.3-5.
[15] David Evans, Yuchen Zhou (2010), “Why Aren’t HTTP-only Cookies More Widely
Deployed?”, University of Virginia, tr.1-2.
[16] Susanna Bezold, Johanna Curiel, Jim Manico (2014), “Unvalidated Redirects and Forwards
Cheat Sheet”, OWASP, tr.1-2.
[17] Dr. E. Benoist (2012), Information Leakage and Improper Error Handling, IIG University
of Freiburg, Germany.
[18] Uwe Aickelin, Liming Wang, Xiuling Chang, Zhongjie Ren, Haichang Gao, Xiyang Liu
(2007), Against Spyware Using CAPTCHA in Graphical Password Scheme, Software
Engineering Institute Xidian University, UK.
[19] USG Office (2012), Strong Password Standard, USG Office of Information Security, UK.
