Untitled HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG VIENGOUDOM XAYAVONG NGHIÊN CỨU KỸ THUẬT FUZZING TRONG KIỂM THỬ LỖ HỔNG BẢO MẬT WEBSITE NGÂN HÀNG LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) H[.]
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - VIENGOUDOM XAYAVONG NGHIÊN CỨU KỸ THUẬT FUZZING TRONG KIỂM THỬ LỖ HỔNG BẢO MẬT WEBSITE NGÂN HÀNG LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2022 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - VIENGOUDOM XAYAVONG NGHIÊN CỨU KỸ THUẬT FUZZING TRONG KIỂM THỬ LỖ HỔNG BẢO MẬT WEBSITE NGÂN HÀNG Chuyên ngành : Khoa học máy tính Mã số : 8.48.01.01 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) Người hướng dẫn khoa học: PGS.TSKH Hoàng Đăng Hải HÀ NỘI - 2022 i LỜI CAM ĐOAN Tôi xin cam đoan nội dung trình bày luận văn tìm hiểu nghiên cứu thân Các kết nghiên cứu tác giả khác trích dẫn cụ thể Luận văn chưa bảo vệ hội đồng bảo vệ luận văn thạc sĩ nước nước Đồng thời, đến chưa công bố phương tiện thông tin truyền thông Tác giả luận văn VIENGOUDOM XAYAVONG ii LỜI CẢM ƠN Lời tác giả xin bày tỏ lòng biết ơn chân thành tới : PGS.TSKH Hồng Đăng Hải tận tình hướng dẫn định hướng cho suốt trình làm luận văn Tơi xin chân thành cảm ơn Ban lãnh đạo Học viện Cơng nghệ Bưu Viễn thông, Khoa Đào tạo Sau Đại học quý thầy, cô bạn học viên tạo điều kiện tốt giúp đỡ tơi hồn thành luận văn Tôi xin bày tỏ biết ơn tới gia đình, bạn bè đồng nghiệp thơng cảm, động viên giúp đỡ cho tơi q trình học tập thực luận văn Cuối cùng, q trình thực luận văn này, tơi nỗ lực cống gắng tất khả mình, khơng thể tránh khỏi thiếu sót, tơi mong nhận thơng cảm góp ý quý báu quý thầy, cô bạn đọc Hà nội, ngày 07 tháng 07 năm 2022 Tác giả luận văn VIENGOUDOM XAYAVONG iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC BẢNG, HÌNH .v DANH MỤC TỪ VIẾT TẮT vii MỞ ĐẦU 1.Tính cấp thiết đề tài Tổng quan vấn đề nghiên cứu Mục đích nghiên cứu .3 Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu .3 CHƯƠNG TỔNG QUAN VỀ KIỂM THỬ WEBSITE 1.1 Các khái niệm hoạt động website (ngân hàng), lỗ hổng bảo mật website 1.1.1 Các khái niệm hoạt động website (ngân hàng) 1.1.2 Lỗ hổng bảo mật website 1.2 Nghiên cứu kỹ thuật kiểm thử (hộp trắng, hộp đen, hộp xám) 10 1.2.1 Kiểm thử hộp đen 10 1.2.2 Kiểm thử hộp trắng 11 1.2.3 Kiểm thử hộp xám 12 1.2.4 Kiểm thử website 12 1.2.5 Fuzzing 13 1.3 Tìm hiểu yêu cầu khả kỹ thuật Fuzzing áp dụng cho kiểm thử lỗ hổng bảo mật website ngân hàng 13 1.3.1 Lịch sử .13 1.3.2 Phân loại Fuzzing 15 1.3.3 Ưu nhược điểm Fuzzing 17 1.3.4 Lựa chọn Fuzzing cho kiểm tra lỗ hổng website 18 Kết luận chương .19 iv CHƯƠNG KỸ THUẬT FUZZING TRONG KIỂM THỬ LỖ HỔNG BẢO MẬT WEBSITE 20 2.1 Trình bày cụ thể mơ hình, ngun lý hoạt động kỹ thuật Fuzzing 20 2.1.1 Mơ hình Fuzzing .20 2.1.2 Quy trình Fuzzing kiểm thử bảo mật website 21 2.2 Cơ chế phát lỗ hổng bảo mật với kỹ thuật Fuzzing 23 2.2.1 Thu thập điểm đầu vào 23 2.2.2 Nguyên lý chèn liệu fuzz 32 2.2.3 Phương pháp phát lỗ hổng bảo mật 33 2.2.4 Phát lỗ hổng dựa đặc trưng .35 2.2.5 Phát lỗ hổng dựa cấu hình .37 2.3 Trình bày cơng cụ liên quan kỹ thuật Fuzzing 39 2.3.1 Nguyên tắc thực hiện: .39 2.3.2 Một số Tool tiêu biểu 39 Kết luận chương .43 CHƯƠNG ỨNG DỤNG KIỂM THỬ LỖ HỔNG BẢO MẬT WEBSITE CHO NGÂN HÀNG NGOẠI THƯƠNG LÀO ĐẠI CHÚNG (BCEL) 44 3.1 Lý chọn website ngân hàng BCEL .44 3.2 Xây dựng ứng dụng kiểm thử fuzzing cho website ngân hàng BCEL .46 3.2.1 Sơ đồ kiến trúc ứng dụng 46 3.2.2 Xây dựng ứng dụng 47 3.2.3 Xây dựng thành phần ứng dụng kiểm thử .51 3.3 Xây dựng kịch thử nghiệm kiểm thử lỗ hổng bảo mật website ngân hàng BCEL 53 3.4 Thực kiểm thử, đánh giá kết 57 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 63 v DANH MỤC BẢNG, HÌNH Bảng 2.1.Các thuộc tính thẻ kèm có chứa URL hệ thống 24 Bảng 2.2 Ví dụ fuzzing đường dẫn tương đương 31 Bảng 2.3 Chèn liệu fuzzing vào URL 32 Bảng 2.4 Chèn liệu fuzzing vào phương thức POST 33 Bảng 2.5 Cơ chế phát lỗ hổng hệ thống .35 Bảng 2.6 Các mẫu thông báo lỗi từ SQL 36 Bảng 2.7 Phát lỗi cấu hình 38 Bảng 3.1 Kết trình thu thập 57 Bảng 3.2 Danh sách lỗ hổng phát 58 Hình 1.1 Kiến trúc ứng dụng web .5 Hình 1.2 Mơ hình hoạt động ứng dụng web Hình 1.3 Kiểm thử hộp đen 11 Hình 1.4 Kiểm thử hộp trắng 11 Hình 1.5 Kiểm thử hộp xám .12 Hình 2.1 Mơ hình Fuzzing cho ứng dụng web 20 Hình 2.2 Quy trình Fuzzing .21 Hình 2.3 Sơ đồ crawler .25 Hình 2.4 Mơ hình thu thập URL theo mã HTML 27 Hình 2.5 Các đường dẫn từ tệp tin robots.txt 30 Hình 2.6 Mơ hình phân tích phát lỗ hổng 34 Hình 3.1 Kiến trúc phân tầng ứng dụng 47 Hình 3.2 Giao tiếp Fuzzer Server 48 Hình 3.3 Xử lý đồng bất đồng 49 Hình 3.4 Thành phần thu thập điểm đầu vào 51 Hình 3.5 Thành phần công 52 Hình 3.6 Thành phần phân tích 53 Hình 3.7 Danh sách thơng số tùy chọn 54 vi Hình 3.8 Giao diện Fuzzing thủ công 54 Hình 3.9 Giao diện Crawler URL 55 Hình 3.10 Giao diện Auto Fuzzing & Scan Vulnerability .56 Hình 3.11 Website kiểm thử nghiệm .57 Hình 3.12 Danh sách lỗ hổng website thử nghiệm 58 Hình 3.13 Lỗ hổng XSS phát 58 Hình 3.14 Lỗ hổng SQL Injection 59 vii DANH MỤC TỪ VIẾT TẮT Từ viết tắt Nghĩa Tiếng Anh Nghĩa Tiếng Việt HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn TCP Transmission Control Protocol Giao thức truyền TCP HTML Hypertext Markup Language Ngôn ngữ đánh dấu siêu văn XML Extensible Markup Language Ngôn ngữ đánh dấu mở rộng SSL Secure Sockets Layer Lớp bảo mật socket XSS Cross Script Site Lỗ hổng XSS CSRF Cross - Site Request Forgery Lỗ hổng CSRF URL Uniform Resource Locator Địa tài nguyên RFI Remote File Inclusion Lỗ hổng RFI LFI Local File Inclusion Lỗ hổng LFI OWASP The Open Web Application Dự án nghiên cứu bảo mật ứng Security Project dụng web GUI Graphical User Interface Giao diện đồ họa người dùng CSDL Database Cơ sở liệu MỞ ĐẦU 1.Tính cấp thiết đề tài Website ngân hàng chứa nhiều thông tin nhạy cảm khách hàng, cần bảo vệ chống xâm nhập tin tặc Bản chất Website phát triển tồn lỗ hổng bảo mật Do vậy, việc rà soát kiểm tra lỗ hổng bảo mật Website ngân hàng ln quan tâm Vì thế, bảo vệ thông tin trở thành yêu cầu khơng thể thiếu hoạt động nói chung hoạt động điện tử nói riêng Đặc biệt việc đảm bảo bảo mật Website ngân hàng thời đại số trở nên cấp thiết quan trọng An tồn thơng tin bảo vệ thơng tin hệ thống thơng tin nói chung bảo mật Website ngân hàng nói riêng khỏi truy cập trái phép Đây biện pháp chống chiếm dụng, làm hỏng, chỉnh sửa thực thao tác gây thông tin quan trọng liên quan đến cá nhân, tổ chức Tuy nhiên, vấn đề bảo mật Website ngân hàng nói chung Lào nói riêng chưa quan, doanh nghiệp Lào trọng đầu tư Không phải tất tổ chức, doanh nghiệp trang bị đầy đủ đảm bảo an tồn, bảo mật thơng tin cách tồn diện Việc kiểm thử lỗ hổng bảo mật Website ngân hàng cần thiết góp phần phát lỗ hổng giúp khắc phục, vá lỗi bảo mật Nhiều kỹ thuật kiểm thử, song kỹ thuật kiểm thử hộp đen (Black-Box) cụ thể kỹ thuật Fuzzing (thuộc loại kiểm thử Black-Box) quan trọng Mặc dù không mới, song quan tâm từ vài năm ưu việt so với kỹ thuật truyền thống biết Việc kiểm thử phần mềm đa phần thực cách thủ cơng, khơng có hiệu cao việc phát lỗ hổng an ninh tiềm tàng Kỹ thuật Fuzzing kiểm thử lỗ hổng bảo mật Website ngân hàng giải pháp cho vấn đề Với khả tự động hóa cao với chế phát lỗ hổng hiệu quả, công nghệ nhiều hãng quan tâm sử dụng Tuy kỹ thuật fuzzing áp dụng nhiều lĩnh vực, song việc áp dụng kỹ thuật vào kiểm thử lỗ hổng bảo mật website cịn có vấn đề cần nghiên cứu phát triển lĩnh vực an tồn thơng tin 52 Cũng giống trình thu thập liệu, chúng có tùy chọn cấu hình cho trình thực Thành phần thu thập điểm đầu vào xây dựng tách biệt phần thu thập thủ công trình tự động quét lỗ hổng Hình 3.4 mô tả phần đoạn mã hàm thực chức Crawling ngôn ngữ C#: Thành phần công (thành phần gửi mẫu kiểm thử): Thành phần công thực chất thành phần tạo mẫu yêu cầu kiểm thử gửi tới máy chủ Website theo kỹ thuật fuzzing Hình 3.5 Thành phần cơng Sau q trình thu thập điểm đầu vào hồn thành, ứng dụng bắt đầu xử lý danh sách mục tiêu công Thành phần công thực quét từng mục tiêu với biểu mẫu có trang web Với mục tiêu biểu mẫu web hay liên kết trích, cùng với phương thức GET hay POST, trường thơng số gói tin HTTP sử dụng để gửi nội dung yêu cầu fuzzing Sau đó, tùy thuộc vào công thực tế mà giá trị trường thay đổi cho phù hợp Cuối yêu cầu gửi lên máy chủ xác định phương thức GET hay POST yêu cầu Thành phần phân tích: Sau công vào mục tiêu website, phản hồi gửi 53 trả cho ứng dụng Công việc lúc thuộc thành phần phân tích, thực phân tích giải thích phản ứng từ máy chủ Dựa tiêu ch̉n cơng cụ thể, từ khóa để tìm kiếm biểu lỗ hổng mà công thực tính tốn đưa định cơng thành cơng, website có tồn lỗ hổng Hình 3.6 Thành phần phân tích 3.3 Xây dựng kịch thử nghiệm kiểm thử lỗ hổng bảo mật website ngân hàng BCEL Cài đặt ứng dụng thử nghiệm Ứng dụng kiểm tra lỗ hổng website xây dựng với phần là: Fuzzing Manual - thực fuzzing thủ công, Crawler URL - thu thập URL website, Auto Fuzzing & Scan Vulnerability - tự động quét phân tích lỗ hổng website Người dùng cài đặt thông số chung Port để kết nối, Timeout cho thời gian chờ đợi phản hồi yêu cầu Chức đặt thủ công Fuzzing Cho phép người sử dụng thực fuzzing thủ cơng với liệu Fuzz có sẵn hệ thống Nội dung Request Headers người dùng tùy chỉnh theo ý muốn 54 Người dùng tự cài đặt thơng số cho q trình cách nhấp chuột phải vào Request Header vị trí muốn chèn thông số, hộp thoại bao gồm lựa chọn Add Header, Add Fuzz Type hình 3.7 Sau hồn thành thơng số, nhấn Request để thực chức Hình 3.7 Danh sách thông số tùy chọn Kết trả danh sách phản hồi từ máy chủ trả nằm Responses, người dùng nhấp chọn để xem chi tiết truy vấn hiển thị hộp thoại Hình 3.8 mơ tả giao diện Fuzzing Manual cho q trình qt thủ cơng: Hình 3.8 Giao diện Fuzzing thủ công 55 Chức cào thông tin URL (Crawler URL) Chức để người dùng thực chức crawl tách biệt khỏi q trình Fuzzing, thu thập tồn liên kết khác website Để sử dụng chức này, người dùng cần nhấn chọn Crawler URL nhập địa website mong muốn vào URL root Sau nhấn nút Start Crawl để bắt đầu q trình thu thập Quá trình diễn thời gian dài, tùy độ phức tạp website Kết trả danh sách đường dẫn khác website mà người dùng nhập Nó tách thành thành phần khác nhau: Path, Method, Parameter Query, Hình 3.9 Giao diện Crawler URL Chức đặt Fuzzy tự động quét điểm yếu Website Đặt Fuzzy tự động (Auto Fuzzing) quét điểm yếu (Scan Vulnerability) bao gồm thành phần Crawling Fuzzing.Hai thành phần thực chức thu thập điểm đầu vào, thực thi công phân tích lỗ hổng Chức mơ tả hình 3.10 Với chức này, trình thực thi diễn hoàn toàn tự động.Người dùng cần nhập địa website cần rà quét lỗ hổng, sau nhấp vào nút Start để 56 thực quét Quá trình quét lỗ hổng diễn qua giai đoạn Crawling, Filtering, Fuzzing hoàn thành hiển thị Done Kết trả danh sách lỗ hổng tồn website Danh sách lỗ hổng thể qua cấu trúc thư mục cây, với nút loại lỗ hổng nút lỗ hổng Người dùng nhấn chọn từng lỗ hổng để xem chi tiết lỗ hổng cách khắc phục lỗ hổng đó.Các thơng tin chi tiết từng lỗ hổng mô tả Info Vulnerablity cách khắc phục lỗ hổng mô tả phần How to fix Hình 3.10 Giao diện Auto Fuzzing & Scan Vulnerability - Thực thi với tất loại fuzzing mà chưa kiểm soát điểm đầu vào phù hợp với loại công - Bộ liệu Fuzzing chưa đa dạng để phát tất loại lỗi Xây dựng kịch thử nghiệm cho ứng dụng Kịch bản: Bước 1: Thiết lập website thử nghiệm (giả lập cho website ngân hàng BCEL) Do điều kiện không thực trực tiếp website ngân hàng BCEL nên luận văn đặt thử website mô website thương mại với địa chỉ: http://127.0.0.1 /Apple/ 57 Kết thử nghiệm nhằm mục đích thể khả thực ứng dụng cho website Do đó, hồn tồn áp dụng cho website ngân hàng BCEL thực tế Bước 2: Website chứa sẵn số lỗ hổng bảo mật phục vụ cho kiểm thử Tùy theo thiết lập tùy ý lỗ hổng bảo mật Bước 3: Thực chạy ứng dụng kiểm thử Fuzzing để thu kết phản hồi từ Website Bước 4: Quan sát kết phân tích ứng dụng, thống kê, đánh giá kết 3.4 Thực kiểm thử, đánh giá kết Thiết lập thực thi kịch bản thử nghiệm Dữ liệu đầu vào website có địa chỉ: http://127.0.0.1 /Apple/ Thơng tin máy chủ web: Windows (Sử dụng gói XAMPP),Apache2.4.xx, MariaDB 10.4.xx, PHP 7.4.xx Hình 3.11 Website kiểm thử nghiệm Kết quả kiểm thử quan sát, thống kê Quá trình thực chức Auto Fuzzing & Scan Vulnerability từng giai đoạn sau: Bảng 3.1 Kết trình thu thập STT Quá trình Crawling Filtering Fuzzing Số lượng truy vấn 19 17 17 Thời gian thực thi ~444ms ~205ms ~759ms Kết Thu 19 URL Lọc 17 URL Phát lỗ hổng 58 Kết sau trình thực Fuzzing phát 21 lỗ hổng: 14 lỗ hổng SQL Injection lỗ hổng XSS Chi tiết lỗ hổng mô tả chi tiết bảng sau: Bảng 3.2 Danh sách lỗ hổng phát STT Lỗ hổng SQL Injection URL Cơ sở http://127.0.0.1/apple/index.php?ac =chitiet&id=ACx Dữ liệu fuzz ' Cross Script Site http://127.0.0.1/apple/index.php?ac =timkiem&s= "> alert("XSS"); Tổng thời gian trình thực khoảng 1.5 giây Hình 3.12 Danh sách lỡ hổng website thử nghiệm Kiểm tra lại lỗ hổng vừa phát được, ta thấy lỗ hổng hoàn toàn tồn Đoạn mã ">alert("XSS"); thực thi sau chèn vào nội dung tìm kiếm website: Hình 3.13 Lỡ hổng XSS phát 59 Kiểm tra lỗ hổng SQL Injection với tham số ‘, kết thu được: Hình 3.14 Lỡ hổng SQL Injection Đánh giá Ưu điểm - Phần mềm sau xây dựng thực thi kiểm tra phát số lỗ hổng nghiêm trọng website - Tốc độ thu thập điểm đầu vào thực thi công website thử nghiệm nhanh - Phát loại lỗ hổng có độ xác cao - Cho phép người dùng thực từng cơng đoạn công phát lỗ hổng Nhược điểm - Q trình crawling số website trực tuyến cịn chậm so với số phần mềm chuyên nghiệp - Q trình lọc điểm đầu vào tương tự cịn chưa xác, với số website có thiết kế đặc biệt khả bỏ sót lớn - Chương trình hỗ trợ kiểm thử đường dẫn phương thức GET, chưa hỗ trợ tất phương thức HTTP 60 - Các mẫu kiểm thử hạn chế, chưa áp dụng mẫu phức tạp Blind SQL Injection - Thực thi với tất loại fuzzing mà chưa kiểm soát điểm đầu vào phù hợp với loại công - Bộ liệu Fuzzing chưa đa dạng để phát tất loại lỗi 61 KẾT LUẬN Ngày nay, bảo mật Website ngân hàng ngày mở rộng phát triển mạnh mẽ, vấn đề kiểm thử lỗ hổng bảo mật Website ngân hàng ngày quan tâm trú trọng Nó trở thành yếu tố định sinh tồn website hay tổ chức, doanh nghiệp đứng sau Kiểm thử lỗ hổng bảo mật Website ngân hàng trở thành hoạt động khơng thể thiếu q trình xây dựng vận hành, nhằm đảm bảo hoạt động định chất lượng website Việc lựa chọn phương pháp kiểm thử kỹ thuật Fuzzing giúp cho việc kiểm thử lỗ hổng bảo mật Website ngân hàng trở nên hiệu quả, giảm chi phí thời gian Sau khoảng thời gian nghiên cứu thực luận văn, theo yêu cầu ban đầu đặt nghiên cứu kỹ thuật Fuzzing áp dụng kiểm thử lỗ hổng bảo mật Website ngân hàng, luận văn đạt kết sau: - Có kết nghiên cứu sở lý thuyết website, cách thức hoạt động, phân loại lỗ hổng bảo mật website giải pháp khắc phục cho từng loại lỗ hổng, tạo tảng cho việc nghiên cứu phương thức phát lỗ hổng bảo mật web ngơn ngữ máy - Trình bày tổng quan phương pháp kiểm thử phần mềm kiểm thử hộp đen, hộp trắng, hộp xám Đi sâu nghiên cứu kỹ thuật Fuzzing phương pháp kiểm thử lỗ hổng bảo mật Website - Nghiên cứu áp dụng kỹ thuật Fuzzing vào ứng dụng kiểm thử lỗ hổng bảo mật Website ngân hàng BCEL Một số hướng phát triển luận văn trình thực là: - Nghiên cứu áp dụng số kỹ thuật phương pháp kiểm thử hộp trắng, hộp xám nhằm tận dụng việc thực kiểm thử biết cấu trúc hay có sẵn mã nguồn website 62 - Phát triển, nâng cấp mở rộng trường hợp xử lý cho việc thực kiểm thử mô hình tốn website rộng hơn, phức tạp Phát triển sâu để bảo mật mức hệ thống mạng dịch vụ 63 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Vũ Thị Hương Giảng, Phan Văn Huy, Vũ Văn Trung, “Giải pháp kiểm tra đồng thời mức độ an toàn khả tiếp cận của trang web”, Tạp chí Khoa học Cơng nghệ An tồn thơng tin, Số CS (03) 2016, tr 50-56 [2] Nguyễn Ngọc Quân (2014), “Lỗ hổng Cross Site Scripting (XSS) và biện pháp khắc phục”, Tạp chí, Học viện Cơng nghệ Bưu Viễn thơng, Số CS (04) 2014, tr 301-307 Tiếng Anh [3] V.J Manes, H.S Han, C Han, “The Art, Science, and Engineering of Fuzzing: A Survey”, IEEE Transactions on Software Engineering, (99), Oct 2019 [4] H Liang, X Pei, X Jia, W.Shen, “Fuzzing: State of the Art”, IEEE Transactions on Reliability, Vol 67, No.3, Sept 2018, pp 1199-1218 [5] L McDonal, M.I Haq, A Barkworth, “ Survey of Software Fuzzing Techniques”, Dec 2021.https://www.researchgate.net/ publication/ 356 980212 [6] Danyang Zhao, “Fuzzing Technique in Web Applications and Beyond”, Jounal of Physics, MCTE 2020, IOP Publishing, 1678 (2020) 012109, pp 1-8, 2020 [7] Glenford J Myers, “The Art of software testing”,3 rd Editions, ISBN: 978-1119-20248-6, Wiley Publishing, Canada, Sept 2015 [8] IEEE 610.12:1990, “Standard Glossary of Software Engineering Terminology”, IEEE Standards Board, United States of America [9] Justin Clarke, “SQL Injection Attacks and Defense”, Gotham Digital Science, ISBN-13: 978-1597499637, 2nd Editions, SynGress Publisher, UK, Elsevier Inc 2012 [10] OWASP, “The ten most critical web application security risks”, OWASP, USA 64 [11] OWASP, “Testing Guide 4.0”, OWASP,USA [12] The Internet Society, “Request for Comments (RFC) 2616”, Internet Engineering Task Force - IETF, USA Website [13] http://securitydaily.net/cac-phuong-phap-kiem-tra-ung-dung-web/ [14] https://books.google.com.vn/books?id=smEMCAAAQBAJ&printsec=fr ontcover&hl=vi&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false [15] http://kcntt.duytan.edu.vn/Home/ArticleDetail/vn/128/2461/bai-01-so- luoc-ve-fuzzing-testing [16] https://vi.wikipedia.org/wiki [17] http://vietjack.com/http/http_status_codes.jsp [18] https://itsecuritykma.blogspot.com/2014/01/tim-hieu-web-application- 1.html [19] https://viblo.asia/tran.thi.huong.trang/posts/RQqKLM64Z7z [20] Nikto (http://cirt.net/nikto2) [21] AppScan (http://www.ibm.com/software/awdtools/appscan/) [22] https://www.acunetix.com/ [23] MiniFuzz File Fuzzerhttps://www.security-database.com/tools watch / MiniFuzz-File-Fuzzer-v0-1.html [24] https://sdl-regex-fuzzer.software.informer.com/ BẢN CAM ĐOAN Tôi cảm đoan thực việc kiểm tra mức độ tương đồng nội dung luận văn qua phần mềm Kiểm tra tài liệu cách trung thực đạt kết mực độ tương đồng 11% toàn nội dung luận văn Bản luận văn kiểm tra qua phần mềm cứng luận văn nộp để bảo vệ trước hội đồng Nếu sai xin chịu hình thức kỷ luật theo quy định hành Học viện Hà Nội, ngày 07 tháng 07 năm 2022 Tác giả luận văn VIENGOUDOM XAYAVONG Giảng viên hướng dẫn Học viên