Đang tải... (xem toàn văn)
An toàn và dễ tiếp cận là hai khía cạnh độc lập của chất lượng trang web. Tuy nhiên, nếu kiểm tra riêng từng tiêu chí này thì sẽ khó đánh giá mối tương quan giữa các khía cạnh này. Bài viết Giải pháp kiểm tra đồng thời mức độ an toàn và khả năng tiếp cận của trang web mô tả một cách tiếp cận cho phép kiểm tra tính an toàn và tính dễ tiếp cận cho các nội dung web, được hiển thị ở trình duyệt phía máy khách (client).
Journal of Science and Technology on Information security Giải pháp kiểm tra đồng thời mức độ an toàn khả tiếp cận trang web Vũ Thị Hương Giang, Phan Văn Huy, Vũ Văn Trung Tóm tắt— An tồn dễ tiếp cận hai khía cạnh độc lập chất lượng trang web Tuy nhiên, kiểm tra riêng tiêu chí khó đánh giá mối tương quan khía cạnh Bài viết mô tả cách tiếp cận cho phép kiểm tra tính an tồn tính dễ tiếp cận cho nội dung web, hiển thị trình duyệt phía máy khách (client) Chúng tơi đề xuất hai phương pháp kiểm tra Thứ nhất, vi phạm thuộc tính giá trị thuộc tính nội dung web (HTML node) kiểm tra luật Các luật định nghĩa dựa theo chuẩn ISO/IEC 40500 [9] để phát vi phạm tính dễ tiếp cận dựa theo dấu hiệu nhận biết vi phạm OWASP [12, 13, 14] để phát vi phạm tính an tồn Thứ hai, sử dụng thảo (scripts) liệu người dùng đưa vào để so khớp với mẫu công chúng tơi định nghĩa sẵn Hai phương pháp thực riêng rẽ đồng thời cài đặt thử nghiệm dạng ứng dụng web Abstract— Accessibility and security are two independent aspects of the website quality For every web content, if they are separately considered and evaluated, the joint violation could not be highlighted This paper proposes an approach for customizing the multi-aspects evaluation of web contents that are displayed at the client's browser This approach is composed of two methods In the first method, we define two rules sets to check the violation of the HTML nodes' attributes and values The ISO 40500 [13] - based rules allow detecting accessibility violations The OWASP [12] based rules allow detecting security violations In the second method, we define the attack patterns for checking the conformance of the scripts and inputs data from users These checking methods could be jointly or separately operated The approach is experimented in the form of a web application Từ khóa— nút HTML; ISO/IEC 40500; lỗ hổng web; kiểm thử mờ; OWASP top 10 Keywords— HTML node; ISO/IEC 40500; web vulnerabilities; fuzzing; OWASP Top 10 I GIỚI THIỆU Trang web trở thành kênh thông tin quan trọng, phổ biến lĩnh vực đời sống Tuy nhiên, thực trạng số lƣợng trang web tồn lỗ hổng bảo mật chiếm Số 2.CS (03) 2016 50 tỷ lệ cao Theo nghiên cứu [16] tình trạng an tồn thơng tin trang web giới, có tới 22% trang web đƣợc khảo sát tồn lỗ hổng an tồn Ngun nhân tình trạng vấn đề bảo mật nhiều trang web chƣa đƣợc quan tâm mức Bên cạnh đó, phần lớn trang web quan tâm đến khía cạnh kết xuất nội dung web (thiết kế giao diện đồ họa đẹp, thu hút ngƣời đọc cho nội dung cần hiển thị trực quan) khía cạnh điều hƣớng, hỗ trợ tƣơng tác (hỗ trợ khả tiếp cận nội dung ngƣời dùng) Một trang web đƣợc coi dễ tiếp cận khơng tạo rào cản cho ngƣời dùng bối cảnh sử dụng [17] Trang web dễ tiếp cận cần đảm bảo phục vụ không cho đối tƣợng ngƣời dùng thông thƣờng, mà kể cho ngƣời khuyết tật với lực hành vi vốn có họ Thực tế cho thấy, trang web dễ tiếp cận thƣờng khơng an tồn trang web an tồn thƣờng khó tiếp cận Ví dụ, trang web, ngƣời dùng dễ tiếp cận hình ảnh có kích thƣớc lớn, đặt đầu trang (header) hay hình hình ảnh có kích thƣớc khiêm tốn, đặt vị trí khác Các trang web có nội dung khơng lành mạnh thƣờng áp dụng nguyên tắc để thiết kế hình ảnh nhạy cảm thu hút tò mò ngƣời dùng Các nội dung dễ tiếp cận với ngƣời dùng nên thƣờng bị chèn thêm nhiều đƣờng dẫn khơng an tồn, giả mạo trang web khác hay đƣờng dẫn quảng cáo Mặt khác thƣờng thấy trang web yêu cầu ngƣời dùng nhập mã CAPTCHA bình luận, điền thông tin vào biểu mẫu để đảm bảo liệu ngƣời dùng thực đƣa vào Tuy nhiên, phần lớn mã CAPTCHA đƣợc biểu diễn dƣới dạng hình ảnh cách điệu hay che khuất (để tránh công cụ nhận dạng tự động), đƣợc phát âm ngôn ngữ thông dụng nhƣ tiếng Anh Điều dễ gây nhầm lẫn, khó khăn cho ngƣời dùng, làm ngƣời dùng phải thử nhiều lần nhập CAPTCHA, chí khơng thể hồn Nghiên cứu Khoa học Cơng nghệ lĩnh vực An tồn thông tin thành việc để truy cập vào trang web Khi khảo sát mã nguồn trang web hiển thị phía máy khách, nhiều nội dung ảnh trang web vừa chứa lỗ hổng bảo mật, vừa vi phạm quy định tính dễ tiếp cận, ví dụ Bảng dƣới BẢNG NỘI DUNG ẢNH VI PHẠM Nội dung web Vi phạm tính an tồn Node chứa lỗ hổng Cross-Site Request Forgery[4] Cụ thể, thuộc tính src node mã nguồn có giá trị khơng hợp lệ, sử dụng phƣơng thức GET để thực giao dịch tự động mà khơng có đồng ý chủ tài khoản Vi phạm tính dễ tiếp cận Node vi phạm tiêu chí SC 1.1.1 ISO/IEC 40500[10] chƣa có thuộc tính alt để mơ tả nội dung ảnh Mô tả đƣợc coi văn thay cho nội dung ảnh: lý trình duyệt khơng thể thị ảnh, ngƣời dùng nhận biết đƣợc ảnh dùng vào mục đích nhờ vào giá trị thuộc tính alt Nhiều nghiên cứu sử dụng tập luật để kiểm tra tính dễ tiếp cận trang web, ví dụ nhƣ công cụ Accessibility Developer Tools [1] AInspector Sidebar [7] Tƣơng tự, sử dụng tập luật đƣợc định nghĩa sẵn để kiểm tra tính an tồn, ví dụ nhƣ luật phát phòng chống xâm nhập trái phép vào ứng dụng web OWASP ModSecurity [11] Bên cạnh đó, kỹ thuật kiểm thử mờ (fuzzing) hứa hẹn phát đƣợc lỗ hổng bảo mật mà luật định nghĩa sẵn thƣờng bỏ sót nhƣ SQL Injection, Cross-site scripting Kỹ thuật đƣợc thực cách liên tục gửi yêu cầu chứa thảo công lên máy chủ, sau vào kết trả để xác định lỗ hổng phía máy chủ Các cơng cụ tiêu biểu Zed Attack Proxy [14], Webscarab [6], Acunetix [8] Hƣớng nghiên cứu đề cập đến hai tiêu chí an tồn dễ tiếp cận trang web cịn mới, chƣa có nhiều cơng trình đƣợc cơng bố Chúng đề xuất hai phƣơng pháp kiểm tra Với phƣơng pháp thứ nhất, vi phạm thuộc tính giá trị thuộc tính nội dung web đƣợc kiểm tra tập luật Chúng định nghĩa tập luật nhƣ sau Tập luật nhằm kiểm tra vi phạm tính dễ tiếp cận, dựa chuẩn ISO/IEC 40500 [9] Tập luật thứ hai tập luật kiểm tra vi phạm tính an toàn, đƣợc định nghĩa dựa dấu hiệu nhận biết vi phạm OWASP [12] Tập luật thứ ba bao gồm luật kết hợp, đƣợc xây dựng theo mơ hình kết nối vi phạm mơ tả Mục II.C Còn phƣơng pháp thứ hai, thảo liệu ngƣời dùng đƣa vào đƣợc so khớp với mẫu công (attack patterns) Các mẫu công đƣợc định nghĩa dƣới dạng cấu trúc XML Mục II.D Cuối cùng, đề xuất mơ hình kiểm tra, cho phép thực riêng rẽ đồng thời hai phƣơng pháp nói Mơ hình đƣợc giới thiệu Mục III Một số kết thực nghiệm đƣợc giới thiệu Mục IV Theo [13], có yếu tố liên quan đồng thời tới tính an tồn tính dễ tiếp cận trang web, bao gồm: Trƣờng hợp bổ sung nội dung (Additional text instances), hình thức thay khác CAPCHA (Alternate forms of CAPTCHA), bổ sung tập tin (Additional files), sử dụng dịch vụ bên thứ ba (Use of third-party services), thêm kịch phía máy khách (Additional client-side scripting), thời gian chờ phiên linh hoạt (Flexible session timeouts), phục hồi tái xác thực (Re-authentication recovery), tính hợp lệ mã nguồn (Code validity) Thông qua yếu tố này, định nghĩa mối quan hệ kỹ thuật đảm bảo tính dễ tiếp cận WCAG 2.0 lỗ hổng bảo mật thuộc OWASP TOP 10 2007 [19] Bên cạnh đó, [15] ] phân tích ảnh hƣởng cơng cụ đảm bảo an toàn mà ngƣời dùng nhận biết đƣợc giao diện website nhƣ CAPTCHA hay Virtual Keyboard đến tính dễ tiếp cận trang web Từ đƣa khuyến cáo sử dụng biện pháp đảm bảo an tồn mà ngƣời dùng khơng nhận biết đƣợc qua giao diện nhƣ SSL Connection, Server Authenticity Certificate hay phƣơng pháp mã hóa sử dụng khóa bí mật phát triển trang web dễ tiếp cận Trong [18], tác giả cần thiết chuẩn WCAG 1.0 trang web, đồng thời nêu điểm yếu thƣờng dẫn dụ công vào website phủ Kyrgyzstan nhƣ SQL injection, XSS Tuy nhiên, tình cụ thể này, mối quan hệ khả truy cập bảo vệ trang web chƣa đƣợc làm rõ Số 2.CS (03) 2016 51 Journal of Science and Technology on Information security Có thể thấy, nghiên cứu xét tới vài trƣờng hợp quan hệ tính an tồn tính dễ tiếp cận, chƣa đƣa đƣợc mơ hình kết nối việc kiểm tra tính an tồn tính dễ truy cập trang web Vì lý đó, chƣa có cơng cụ có khả đánh giá đồng thời hai tiêu chí Về mặt ứng dụng, việc ngƣời phát triển tự tổng hợp kết từ công cụ kiểm tra riêng khía cạnh khơng mang lại nhiều ý nghĩa, chúng khơng có tiêu chí chung để đánh giá Kết là, trang web an tồn khó tiếp cận trang web dễ tiếp cận chứa nhiều lỗ hổng Nhƣ vậy, cần công cụ cho phép kiểm tra đồng thời tính an tồn tính dễ tiếp cận nội dung web cần thiết Với ngƣời dùng cuối, công cụ giúp họ lựa chọn đƣợc website an toàn dễ tiếp cận nội dung Với ngƣời phát triển, công cụ hữu ích để xác định nguyên nhân gây vi phạm, vị trí vi phạm, có gợi ý khắc phục vi phạm hỗ trợ hiệu chỉnh mã nguồn để loại bỏ vi phạm Dƣới đóng góp giải pháp để xây dựng công cụ nhƣ II PHƢƠNG PHÁP KIỂM TRA TÍNH AN TỒN VÀ TÍNH DỄ TIẾP CẬN A Đối tượng kiểm tra Đối tƣợng đƣợc kiểm tra báo nội dung web chiều hai chiều đƣợc mô tả dƣới dạng HTML node mã nguồn phía máy khách Một HTML Node bao gồm thuộc tính nhƣ ID, name, value (nội dung web thị trình duyệt), type (tên thẻ), parent node, child node [3] Nội dung web chiều tƣơng ứng với HTML node có giá trị phía máy chủ trả về, ví dụ nhƣ , , Phƣơng pháp kiểm tra sử dụng luật xét đến nội dung chiều Còn nội dung web hai chiều tƣơng ứng với HTML node có giá trị đƣợc xác định thơng qua tƣơng tác nhập liệu ngƣời dùng, ví dụ thẻ , Phƣơng pháp kiểm tra sử dụng mẫu công xét đến nội dung web hai chiều Việc vi phạm tính dễ tiếp cận xuất hiển thị nội dung chiều trình duyệt web đƣợc xác định theo chuẩn ISO/IEC 40500 Việc vi phạm tính an toàn xuất Số 2.CS (03) 2016 52 thị nội dung chiều trình duyệt web, ngƣời dùng tƣơng tác với nội dung hai chiều – đƣợc xác định theo OWASP top 10 B Mơ hình kết nối vi phạm tính an tồn vi phạm tính dễ tiếp cận Hình Mơ hình kết nối Hình minh họa kiểu vi phạm: thiếu thuộc tính (missing attribute), thiếu thẻ (missing tag), khơng có giá trị thuộc tính (missing attribute value), sai giá trị thuộc tính (invalid attribute value) Các kiểu vi phạm xảy với HTML node loại Mơ hình kết nối vi phạm tính an tồn tính dễ tiếp cận thuộc số kiểu nói trên, có khả xảy loại HTML node Các vi phạm nhƣ có khả đƣợc kiểm tra đồng thời Bảng minh họa hai trƣờng hợp kết nối Trƣờng hợp đầu tiên, node liên quan đến vi phạm kiểu thiếu thuộc tính Trƣờng hợp thứ hai, node liên quan đến vi phạm kiểu sai giá trị thuộc tính Các vi phạm loại đƣợc kiểm tra luật riêng sử dụng luật kết hợp BẢNG KẾT NỐI VI PHẠM CHO NODE VÀ HTML Node Loại vi phạm Missing Attribute Vi phạm tính dễ tiếp cận Vi phạm tính an tồn Node thiếu thuộc tính title vi phạm tiêu chí SC2.4.1[20] Node thiếu thuộc tính sandbox Ví dụ vi phạm: Advertise ment Giải thích: thuộc tính sandbox giúp ngăn chặn script thực thi đƣợc nhúng bên iframe, thuộc tính sandbox giúp node trở nên an tồn Nghiên cứu Khoa học Cơng nghệ lĩnh vực An tồn thơng tin Invalid Attribute Value Node có thuộc tính longdesc với URI khơng tồn vi phạm tiêu chí SC 1.1.1[21] [22] Node có giá trị thuộc tính chứa lỗ hổng CSRF Ví dụ: C Mẫu công Các mẫu cơng đoạn thảo đƣợc mô tả cấu trúc XML Chúng định nghĩa loại mẫu công thảo nhƣ sau: SQL Injection, XSS, XML Injection Xpath Injection Hình minh họa mẫu cơng loại SQL Injection Hình Mơ hình kiểm tra vi phạm Các bƣớc xử lý mơ hình kiểm tra hiệu chỉnh lỗi bao gồm: Hình Mẫu cơng SQL injection sử dụng kỹ thuật fuzzing III MƠ HÌNH KIỂM TRA ĐỒNG THỜI TÍNH AN TỒN VÀ TÍNH DỄ TIẾP CẬN A Mơ hình kiểm tra Mơ hình kiểm tra đồng thời tính an tồn tính dễ tiếp cận đƣợc mở rộng từ framework [3] Framework gồm thành phần: (1) Bộ phân tích mã nguồn (Parser); (2) Bộ phát vi phạm (Rule checker); (3) Bộ ánh xạ mã nguồn máy khách với mã nguồn máy chủ (Mapper); (4) Cuối chỉnh hiệu chỉnh vi phạm (Corrector) Bộ phân tích mã nguồn phân tích mã nguồn thành danh sách node máy khách Sau đó, danh sách đƣợc sử dụng làm đầu vào cho phát vi phạm Khi ta thu đƣợc danh sách node máy khách vi phạm Từ danh sách này, ta sử dụng ánh xạ mã nguồn máy khách với mã nguồn máy chủ để tìm node máy chủ tƣơng ứng gây vi phạm Cuối cùng, ta sử dụng hiệu chỉnh vi phạm để hiệu chỉnh vi phạm từ mã nguồn máy chủ Bƣớc 1: Sử dụng Parser để phân tích trang web phía máy khách thành node máy khách phân tích trang web phía máy chủ thành node máy chủ Bƣớc 2: Phát vi phạm Nhận đầu vào node máy khách thu đƣợc bƣớc trả danh sách node máy khách chứa vi phạm Chúng sử dụng kiểm tra để phát vi phạm: Fuzz checker phát vi phạm Bộ phát vi phạm có vai trị phát vi phạm theo mơ hình kết nối vi phạm tính an tồn vi phạm tính dễ tiếp cận, đƣợc cài đặt cách sử dụng luật kiểm tra Bộ Fuzz checker đƣợc cài đặt kỹ thuật Fuzzing, có vai trị phát vi phạm tính an tồn cách so khớp mẫu công kiểm tra kết trả Thành phần kiểm tra hoạt động theo cách nhƣ sau: Sử dụng Fuzz Checker để phát vi phạm tính an tồn Sử dụng bộ phát vi phạm để phát vi phạm có node máy khách dựa theo luật đƣợc xây dựng từ mơ hình kết nối vi phạm tính an tồn vi phạm tính dễ tiếp cận Sử dụng kết hợp Fuzz Checker Bộ phát vi phạm để phát vi phạm tính an tồn tính dễ tiếp cận Số 2.CS (03) 2016 53 Journal of Science and Technology on Information security Bƣớc 3: Sử dụng Mapper để ánh xạ node máy khách vi phạm (thu đƣợc từ bƣớc 2) với node máy chủ (thu đƣợc từ bƣớc 1) gây vi phạm Bƣớc 4: Hiệu chỉnh vi phạm Từ liệu ánh xạ thu đƣợc sau bƣớc 3, ta sử dụng hiệu chỉnh vi phạm để hiệu chỉnh node máy chủ gây vi phạm phía máy khách Cụ thể: Trƣờng hợp node máy khách có kiểu vi phạm Mising Attribute node máy chủ đƣợc hiệu chỉnh cách thêm thuộc tính bị thiếu Trƣờng hợp node máy khách có kiểu vi phạm Missing Tag node máy chủ đƣợc hiệu chỉnh cách thêm thẻ bị thiếu Trƣờng hợp node máy khách có kiểu vi phạm Missing Attribute Value node máy chủ đƣợc hiệu chỉnh cách thêm giá trị cho thuộc tính chƣa đƣợc gán giá trị Kết trả chỉnh hiệu chỉnh vi phạm danh sách node máy chủ đƣợc hiệu chỉnh ViolationType: kiểu vi phạm, bao gồm: thiếu thuộc tính (Missing attribute), thiếu thẻ hỗ trợ (Missing tag), giá trị thuộc tính khơng hợp lệ (Invalid attribute value) thiếu giá trị cho thuộc tính (Missing attribute value) ACheckingForm: lớp định nghĩa cách thức kiểm tra node, có lớp kế thừa ARule APattern ARule: định nghĩa luật để phát vi phạm có node máy khách APattern: lớp định nghĩa mẫu công, sử dụng kiểm tra theo kỹ thuật fuzzing AViolatingCode: mã vi phạm, bao gồm: mã vi phạm theo chuẩn ISO/IEC 40500 (ISO ViolatingCode), vi phạm tính an tồn đƣa OWASP (OWASPViolatingCode) vi phạm tính an toàn đƣợc trả từ máy chủ (HTTPCode) C Giao diện cài đặt B Các lớp mô tả liệu xử lý Chúng định nghĩa lại bổ sung số cấu trúc liệu nhƣ Hình Cụ thể: AViolation : vi phạm Chúng tơi bổ sung thuộc tính severityLevel để biểu diễn mức độ vi phạm tính an tồn thuộc tính suggestion để lƣu giữ thông tin cách hiệu chỉnh vi phạm Hình Các giao diện cài đặt giao diện IChecker Nhƣ minh họa Hình 5, cài đặt lại giao diện IChecker Các lớp cài đặt bao gồm: JointChecker (kiểm tra đồng thời tính an tồn tính dễ tiếp cận), AccessibilityChecker (kiểm tra riêng tính dễ tiếp cận), SecurityChecker (kiểm tra riêng tính an tồn) SecurityChecker có lớp kế thừa RuleChecker (cài đặt phƣơng thức kiểm tra vi phạm luật) Fuzz Checker (cài đặt phƣơng thức so khớp mẫu cơng kỹ thuật fuzzing) Hình Các lớp mô tả liệu xử lý Số 2.CS (03) 2016 54 IV THỰC NGHIỆM Chúng sử dụng công cụ để kiểm tra số trang web thông dụng Việt Nam Kịch thử nghiệm nhằm làm rõ mục đích nghiên cứu cơng cụ kiểm tra đồng thời hai khía cạnh dễ tiếp Nghiên cứu Khoa học Cơng nghệ lĩnh vực An tồn thơng tin cận an toàn chất lƣợng trang web Cần giải mối tƣơng quan sau: trang web an tồn, tiếp cận hay không? Và trang web dễ tiếp cận, có an tồn hay khơng? Kết kiểm tra đƣợc minh họa dƣới dạng biểu đồ dạng bảng thống kê (Bảng Hình 6) Hình Biểu đồ thống kê tỷ lệ loại vi phạm BẢNG KẾT QUẢ THỰC NGHIỆM VỚI CÁC TRANG WEB THƠNG DỤNG STT Trang web Thống kê vi phạm tính dễ tiếp cận Thống kê vi phạm tính an tồn Sử dụng luật Sử dụng mẫu công vnexpress.net 255 dantri.com.vn 158 0 lazada.vn 550 moet.gov.vn 154 1 thanhnien.vn 343 raovat123.com 146 18 megacard.vn 94 enbac.vn 592 Từ kết thực nghiệm cho thấy, công cụ kiểm tra cung cấp đƣợc phát đƣợc vi phạm tính an tồn vi phạm tính dễ tiếp cận, vi phạm tính dễ tiếp cận chiếm phần lớn tỷ lệ tổng số vi phạm phát đƣợc Biểu đồ số lƣợng trang web Việt Nam hầu nhƣ trọng tính an tồn (tỷ lệ lỗi bảo mật nhỏ, ~1.7%) nhƣng chƣa trọng tới tính dễ tiếp cận ngƣời dùng (tỷ lệ lỗi 18.2%) Điều chứng tỏ trang web đƣợc xây dựng theo khuyến cáo đảm bảo an tồn thƣờng bỏ sót u cầu tính dễ tiếp cận VI KẾT LUẬN Bài báo đề cập đến giải pháp cho phép kiểm tra đồng thời riêng rẽ tính an tồn tính dễ tiếp cận trang web Chúng tơi sử dụng đối tƣợng HTML node thuộc mã nguồn phía máy khách để xác định vi phạm theo mơ hình kết nối tiêu chí an tồn – dễ tiếp cận, kết hợp với kỹ thuật Fuzzing Các đối tƣợng sau đƣợc ánh xạ sang mã nguồn phía máy chủ (nếu mở) để thực bƣớc hiệu chỉnh vi phạm Việc phát vi phạm từ mã nguồn có ƣu điểm dễ dàng xác định đƣợc nguyên nhân gây vi phạm, để từ xác định cách hiệu chỉnh vi phạm Các nguyên nhân gây vi phạm thiếu thuộc tính, thiếu thẻ, thiếu giá trị hay giá trị khơng hợp lệ Bên cạnh đó, kỹ thuật Fuzzing cho phép phát vi phạm tính an tồn dựa mẫu công định nghĩa sẵn Kết thực nghiệm cho thấy, việc áp dụng mơ hình kiểm tra cho phép phát đồng thời vi phạm tính an tồn tính dễ tiếp cận nội dung web Hơn nữa, việc sử dụng kết hợp phƣơng pháp kiểm tra đề xuất cho phép phát nội dung vi phạm tính an tồn mà phƣơng pháp phân tích mã nguồn chƣa kiểm tra đƣợc Công cụ thử nghiệm nghiên cứu kiểm tra đƣợc 39 tiêu chí tổng số 51 tiêu chí dễ tiếp cận theo chuẩn ISO/IEC 40500, có 24 tiêu chí đƣợc kiểm tra kết hợp với tính an tồn, đồng thời có 16 loại vi phạm tính an tồn đƣợc kiểm tra Chức hiệu chỉnh lỗi đƣợc thử nghiệm độc lập với mã nguồn phía máy chủ viết ngôn ngữ ASP.Net Chúng tiếp tục bổ sung luật phát việc vi phạm tính an toàn để nâng cao khả phát lỗi vi phạm công cụ kiểm tra cài đặt theo kết nghiên cứu, đề xuất ngƣỡng chấp nhận đƣợc cho tỷ lệ lỗi vi phạm/ an toàn website, đồng thời mở rộng chức hiệu chỉnh mã nguồn máy chủ áp dụng cho nhiều ngơn ngữ lập trình TÀI LIỆU THAM KHẢO [1] Google Accessibility Developer Tools Chrome Web Store.[Online] Số 2.CS (03) 2016 55 Journal of Science and Technology on Information security https://chrome.google.com/webstore/detail/accessibility -developer-t/fpkknkljclfencbdbgkenhalefipecmb?hl=en [2] Bypass Blocks.[Online], https://www.w3.org/TR/ UNDERSTANDING-WCAG20/navigation-mechanismsskip.html [3] Thi Huong Giang Vu, Dat Trinh Tuan, Van Hung Phan, “Checking and Correcting the Source Code of Web Pages for Accessibility” 2012 IEEE, Computing and Communication Technologies, Research, Innovation, and Vision for the Future (RIVF) pp 1-4, 2012 [4] Cross-Site Request Forgery (CSRF).[Online] https://www.owasp.org/index.php/Cross-Site_Request_For gery_(CSRF) [5] Document Object Model (DOM) W3C.[Online] https://www.w3.org/DOM/ [6] Fuzzing with WebScarab OWASP.[Online] https://www.owasp.org/index.php/Fuzzing_with_WebS carab [7] AInspector Sidebar Hoyt, Nicholas.[Online] https://addons.mozilla.org/enUS/firefox/addon/ainspect or-sidebar/ [8] HTTP Fuzzer Tool Acunetix.[Online] http://www.acunetix.com/blog/docs/http-fuzzer-tool/ [9] ISO/IEC 40500:2012 ISO.[Online] http://www iso.org/iso/home/store/catalogue_tc/catalogue_detail.ht m?csnumber=58625 [10] Non-text Content.[Online] https://www.w3.org /TR/UNDERSTANDING WCAG20/text-equivall.html [11] ModSecurity Core Rule Set Project OWASP [Online] https://www.owasp.org/index.php/Category: OWASP_ModSecurity_Core_Rule_Set_Project [12] 2013 OWASP Top Ten Project OWASP.[Online] http://owasptop10.googlecode.com/files/OWASP%20T op%2010%20-%202013.pdf [13] Web Application Security Accessibility Project OWASP [Online]https://www.owasp.org/index.php/ OWASP_Web_Application_Security_Accessibility_Pr oject [14] Zed Attack Proxy Project OWASP.[Online] https://www.owasp.org/index.php/OWASP_Zed_Attac k_Proxy_Project [15] Edward Rolando Núñez-Valdéz, Oscar Sanjuán Martínez, Gloria García Fernández, Luis Joyanes Aguilar, Juan Manuel Cueva Lovelle , “Security Guidelines for the Development of Accessible Web Applications through the implementation of intelligent systems” IJIMAI 1, pp 79-86, 2009 [16] Symantec 2016 Internet Security Threat Report [17] Vũ Thị Hƣơng Giang, Nguyễn Thị Thu Trang “Hƣớng dẫn thiết kế trang web cho ngƣời khiếm thị” ISBN: 978-604-938-730-2: NXB Bách Khoa, 2015 Số 2.CS (03) 2016 56 [18] Ismailova, Rita, “Web site accessibility, usability and security: a survey of government websites in Kyrgyz Republic” Universal Access in the Information Society, pp 1-8, 2015 [19] 2007 OWASP Top Ten Project OWASP.[Online] 2007 https://www.owasp.org/index.php/Top_10_2007 [20] Using the title attribute of the frame and iframe elements.W3C.[Online] https://www.w3.org/TR/WCA G20-TECHS/H64.html [21] Using longdesc W3C.[Online] https://www.w3 org/TR/WCAG20-TECHS/H45.html [22] Understanding SC 1.1.1 W3C.[Online] https://www.w3.org/TR/UNDERSTANDING-WCAG2 0/text-equiv-all.html SƠ LƢỢC VỀ TÁC GIẢ TS Vũ Thị Hương Giang Đơn vị công tác: Viện Công nghệ Thông tin Truyền thông, ĐH Bách Khoa Hà Nội Email: giangvth@soict.hust.edu.vn Nhận đại học năm 2001 nhận thạc sĩ năm 2003 chuyên ngành Công nghệ thông tin ĐH Bách Khoa Hà Nội Nhận tiến sĩ chuyên ngành Hệ thống phần mềm Đại học Bách Khoa Hà Nội năm 2008 Hƣớng nghiên cứu nay: hệ thống hƣớng dịch vụ đảm bảo an toàn thông tin,các phƣơng pháp phát triển phần mềm tiên tiến ứng dụng KS Phan Văn Huy Email: phanhuy.bkhn@gmail.com Tốt nghiệp chuyên ngành Công nghệ thông tin ĐH Bách Khoa Hà Nội năm 2016 Hƣớng nghiên cứu nay: an tồn thơng tin KS.Vũ Văn Trung Email: trungvu.inside@gmail.com Tốt nghiệp chuyên ngành Công nghệ thông tin ĐH Bách Khoa Hà Nội năm 2016 Hƣớng nghiên cứu nay: an tồn thơng tin ... thơng tin cận an tồn chất lƣợng trang web Cần giải mối tƣơng quan sau: trang web an tồn, tiếp cận hay không? Và trang web dễ tiếp cận, có an tồn hay khơng? Kết kiểm tra đƣợc minh họa dƣới dạng biểu... hợp kết từ công cụ kiểm tra riêng khía cạnh khơng mang lại nhiều ý nghĩa, chúng khơng có tiêu chí chung để đánh giá Kết là, trang web an toàn khó tiếp cận trang web dễ tiếp cận chứa nhiều lỗ hổng... Khoa học Công nghệ lĩnh vực An tồn thơng tin thành việc để truy cập vào trang web Khi khảo sát mã nguồn trang web hiển thị phía máy khách, nhiều nội dung ảnh trang web vừa chứa lỗ hổng bảo mật,