ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ THỊ HUỆ NGHIÊN CƢ́U MỘT SỐ CÔNG CỤ ĐỂ ĐÁNH GIÁ SẢN PHẨM AN TOÀ N BẢO MẬT THÔNG TIN LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN Hà Nội – 2014 TIEU LUAN MOI download : skknchat@gmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ THỊ HUỆ NGHIÊN CƢ́U MỘT SỐ CÔNG CỤ ĐỂ ĐÁNH GIÁ SẢN PHẨM AN TOÀ N BẢO MẬT THƠNG TIN Ngành: Cơng nghệ thơng tin Chun ngành: Hệ thống thông tin Mã số:60480104 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC 1: TS HỒ VĂN HƢƠNG NGƢỜI HƢỚNG DẪN KHOA HỌC 2: TS NGUYỄN VIẾT THẾ Hà Nội – 2014 TIEU LUAN MOI download : skknchat@gmail.com TIEU LUAN MOI download : skknchat@gmail.com LỜI CAM ĐOAN Tôi xin cam đoan kế t quả đa ̣t đƣơ ̣c của luâ ̣n văn là sản phẩ m của cá nhân , không chép nguyên văn của ngƣời khác Trong toàn bô ̣ nô ̣i dung của luâ ̣n văn , nhƣ̃ng phầ n đƣơ ̣c trin ̀ h bày hoă ̣c là của cá nhân hoă ̣c là đƣơ ̣c tổ hơ ̣p tƣ̀ nhi ều nguồn tài liệu khác Tấ t cả các tài liê ̣u tham khảo đề u có xuấ t xƣ́ rõ ràng và đƣơ ̣c trić h dẫn đúng quy đinh ̣ Tôi xin hoàn toàn chiụ trách nhiê ̣m với lời cam đoan của ̀ h Hà Nội, năm 2014 Đỗ Thị Huệ TIEU LUAN MOI download : skknchat@gmail.com MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT DANH MỤC HÌNH VẼ DANH MỤC BẢNG 11 MỞ ĐẦU 12 CHƢƠNG I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN 14 1.1 Thực trạng an tồn thơng tin 14 1.1.1 An ninh an tồn thơng tin Việt Nam giới 14 1.1.2 Nguy an tồn thơng tin cổng thông tin điện tử 15 1.2 Tiêu chí và công cu ̣ đánh giá an tồn thơng tin 17 1.2.1 Giới thiệu các tiêu chuẩn đánh giá hệ thống an tồn thơng tin 17 1.2.2 Cơng cụ phân tích, dị qt lỗ hổng bảo mật cổng thông tin điện tử 24 CHƢƠNG II: NGHIÊN CỨU CÁC KỸ THUẬT PHÂN TÍCH, DỊ QT VÀ LỰA CHỌN CÔNG CỤ ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TỬ 30 2.1 Nghiên cứu số lỗ hổng cổng thông tin điện tử 30 2.1.1 SQL injection 30 2.1.2 XSS …………………………………………………………………… 31 2.1.3 CSRF 31 2.1.4 Tràn đệm 33 2.2 Nghiên cứu kỹ thuật phân tích lỗ hổng cổng thơng tin điện tử 33 2.2.1 Kỹ thuật phân tích tĩnh 33 2.2.2 Kỹ thuật phân tích động 33 2.3 Thuật tốn phát lỗ hổng cổng thơng tin điện tử 37 2.3.1 Học máy 37 2.3.2 Cây phân tích cú pháp truy vấn 37 2.3.3 Biểu đồ luồng điều khiển 43 TIEU LUAN MOI download : skknchat@gmail.com 2.3.4 Fuzzing 45 2.4 Cơng cụ dị qt lỗ hổng cổng thơng tin điện tử 49 2.4.1 Bkav Web Scan 49 2.4.2 Acunetix Web Vulnerability Scanner 51 2.4.3 IBM Rational AppScan 56 2.5 Đánh giá công cụ dò quét lỗ hổng website 58 2.5.1 Đánh giá kỹ thuật thuật toán sử dụng 58 2.5.2 Khả ứng dụng thực tiễn 58 CHƢƠNG III: ĐỀ XUẤT LƢ̣A CHỌN CƠNG CỤ, XÂY DƢ̣NG QUY TRÌNH ĐÁNH GIÁ CỔNG THÔNG TIN ĐIỆN TƢ̉ VÀ TRIỂN KHAI ÁP DỤNG TRONG THỰC TIỄN 63 3.1 Đề đánh giá cổng thông tin điện tử 63 3.2 Đề xuất quy trình triển khai, đánh giá cổng thơng tin điện tử 63 3.2.1 Mục đích 63 3.2.2 Phạm vi áp dụng 63 3.2.3 Lƣu đồ 64 3.2.4 Mô tả quy trình thực 65 3.2.5 Đánh giá quy trình 67 3.3 Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Công ty NEO sử dụng công cụ Acunetix 68 3.3.1 Xây dựng kịch đánh giá 68 3.3.2 Thực đánh giá 69 3.3.3 Kết đánh giá 75 3.4 Áp dụng quy trình triển khai đánh giá cổng thơng tin điện tử Đại học công nghệ - Đại học Quốc gia Hà nội sử dụng công cụ Acunetix 83 3.4.1 Xây dựng kịch đánh giá cổng thông tin điện tử 83 3.4.2 Thực đánh giá 84 3.4.3 Kết đánh giá 85 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 3.5 Kết thực tiễn áp dụng 87 3.5.1 Thống kê số lƣợng lỗ hổng phát theo loại 87 3.5.2 Thống kê số lƣợng lỗ hổng phát theo mức độ nghiêm trọng 88 3.5.3 Thống kê các lỗi phổ biến 89 KẾT LUẬN 90 TÀI LIỆU THAM KHẢO 92 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT LAN Local Area Network DOS Denial of Service DDOS Distributed Denial of Service CC Common Criteria XSS Cross-Site Scripting HTML HyperText Markup Language CSRF Cross-site request forgery CSDL Cở Sở Dữ liệu CNTT Công Nghệ Thông Tin VSW Vulns Scanner website VSA Vulns Scanner Application CSP Critical Security Parameter CMVP Cryptographic Module Validation Program HTTP Hypertext Transfer Protocol TCP Transmission Control Protoco UDP User Datagram Protocol ARP Address Resolution Protocol DHCP Dynamic Host Configuration Protocol URL Uniform Resource Locator (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 DANH MỤC HÌNH VẼ Hình 2.1:Một thơng báo lỗi đƣợc trả liên quan tới hệ quản trị CSDL 35 Hình 2.2: Một thông báo trả liên quan tới cấu trúc CSDL .35 Hình 2.3: Kiến trúc V1p3R 36 Hình 2.4 Kiến trúc mơ hình 38 Hình 2.5: Cây phân tích cú pháp cho câu truy vấn SELECT 40 Hình 2.6 Cây phân tích cú pháp câu truy vấn SELECT cụ thể .41 Hình 2.7: Cây phân tích cú pháp truy vấn hợp lệ 42 Hình 2.8: Cây phân tích cú pháp câu truy vấn khơng hợp lệ 43 Hình 2.9: Quá trình sinh liệu kiểm thử CFG 44 Hình 2.10:Vector cơng hệ thống đa mức 46 Hình 2.11: Các kiểu bất thƣờng vào mơ hình báo cáo lỗi khác 47 Hình 2.12: Cấu trúc logic fuzzer .47 Hình 2.13: Ví dụ kịch fuzz kết trả từ SUT 48 Hình 2.14: Quá trình fuzzing bao gồm các kịch fuzz hệ thống giám sát 49 Hình 3.1: Giao diện thu thập liệu .69 Hình 3.2: Cấu trúc website 70 Hình 3.3: Giao diện Acunetix .71 Hình 3.4: Nhập địa tuỳ chọn quét .71 Hình 3.5: Chọn Scaning Profile 72 Hình 3.6: Thông tin server 73 Hình 3.7: Chọn Login sequence 73 Hình 3.8: Kết thúc quá trình tuỳ chọn 74 Hình 3.9: Giao diện thực quét .74 Hình 3.10: Màn hình sau thực quét xong 75 Hình 3.11: Giao diện chi tiết lỗi 75 Hình 3.12: Mức độ cảnh báo 76 Hình 3.13: Giao diện xuất báo cáo 78 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Hình 3.14 : Báo cáo .79 Hình 3.15: Tuỳ chọn xuất báo cáo .80 Hình 3.16: Chọn lần quét để xuất báo cáo 80 Hình 3.17: Giao diện xuất báo cáo các định dạng .81 Hình 3.18: Chi tiết file ng̀n phát sinh lỗi 81 Hình 3.19: Khuyến cáo để thực vá lỗi 82 Hình 3.20: Kết đánh giá 85 Hình 3.21: Danh sách số lƣợng các lỗi 85 Hình 3.22: Chi tiết lỗi HTML form without CSRF protection .86 Hình 3.23: Thống kê lỗ hổng phát theo loại 88 Hình 3.24: Thống kê lỗ hổng theo mức độ nghiêm trọng .88 Hình 3.25: Thống kê các lỗi thƣờng gặp .89 10 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 STT Trƣờng hợp test Kết mong muốn Đánh giá đạt 19 Arbitrary File deletion Khơng xóa đƣợc file mà Đạt khơng sử dụng các chức hệ thống cung cấp 20 Cookie Manipulation Mã hóa liệu đƣợc lƣu Đạt Cookie 21 Full Path Disclosure Không hiển thị đƣờng dẫn Đạt tuyệt đối file b) Xuất báo cáo đánh giá Để mở hình báo cáo, nhấn nút Report toolbar Hình 3.13: Giao diện xuất báo cáo Hệ thống hiển thị hình báo cáo nhƣ sau: 78 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Hình 3.14 : Báo cáo Danh sách loại báo cáo - Affected Items: Báo cáo đƣợc tổ chức theo Item bị lỗi web site với chi tiết lỗi đƣợc tìm thấy - Developer Report: Đƣợc dùng cho các dev để dễ dàng cho việc fix các bug đƣợc tìm thấy - Executive Summary: Dùng cho các quản lý nhóm để xem xét đƣợc tình hình bảo mật website - Quick Report: Báo cáo nhanh danh sách các lỗ hổng các file các tham số bị lỗi - Compliance: Báo cáo theo số chuẩn nhƣ PCI DSS, OWASP WASC - Scan Comparison: Cho phép so sánh với các lần quét trƣớc để dễ dàng xác định các lỗi đƣợc fix các lỗi chƣa đƣợc fix - Monthly Vulnerabilities: Thống kê các lỗi đƣợc tìm thấy theo tháng Cách tạo report Chọn loại báo cáo nhấn “Report Wizard” để tùy chọn liệu đƣợc báo cáo 79 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Hình 3.15: Tuỳ chọn xuất báo cáo - Nếu chọn Display all scan: Hệ thống hiển thị danh sách tất các lần quét để bạn chọn báo cáo cho lần quét - Nếu chọn Filter displayed scans: Hệ thống cho phép bạn lọc các lần quét để báo cáo - Nhấn Next Chọn lần quét, các lỗi đƣợc báo cáo lần Hình 3.16: Chọn lần quét để xuất báo cáo - Tích chọn vào lần quét báo cáo - Nhấn để mở các lỗi đƣợc tìm thấy, chọn lỗi báo cáo - Nhấn Next 80 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Tạo báo cáo - Nhấn nút Generate để tạo báo cáo Xuất báo cáo - Sau tạo báo cáo, hệ thống hiển thị hình chứa báo cáo cho phép ngƣời dùng lƣu lại xuất báo cáo với nhiều định dạng khác Hình 3.17: Giao diện xuất báo cáo định dạng - Nhấn nút xuất báo cáo phía - Chọn định dạng xuất báo cáo: PDF, HTML, text, Word, BMP - Chọn các thông tin: các trang, cách hiển thị… Cho báo cáo xuất Nhấn OK để hoàn thành thao tác xuất báo cáo c) Đưa khuyến cáo giải pháp để khắc phục lỗ hổng, hoàn thiện hệ thống website Tuỳ thuộc vào loại báo cáo, hệ thống rõ file ng̀n phát sinh lỗi, chẳng hạn nhƣ hình sau: Hình 3.18: Chi tiết file nguồn phát sinh lỗi Từ dễ dàng để fix các lỗ hổng 81 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Ngồi ra, mơ tả lỗi hình thực test hệ thống đƣa các khuyến các để thực vá các lỗ hổng Hình 3.19: Khuyến cáo để thực vá lỗi  Với lỗi trên, đăng nhập vào hệ thống, ngƣời dùng đƣợc gọi tới địa sau đăng nhập thành công: https://cloud.neo.vn/neo/main?IzL1Dx9w5BxmCEtw5A9c6Bnb=CEt1CzAwJyLZ4dK l6B1a53W.&IyLlCc5f5w5fCES.=DEAuDy9k4BnfUcSl5Etv6EHl43HaJybk5EA0&C BAkT3Hb5dHbDyW.=1 Nhận định đƣợc cấu trúc URL trên, Acunetix tạo liệu để tác động gán giá trị biến IyLlCc5f5w5fCES thành onmouseover=prompt(907189) bad= Khi đƣờng dẫn URL trở thành https://cloud.neo.vn/dp/main?IyLlCc5f5w5fCES.=%27%20onmouseover%3dprompt %28907189%29%20bad%3d%27 Câu lệnh thực thi lệnh onmouseove bắn thông báo theo lệch Prompt Nhƣ hacker hồn tồn tạo các đoạn mà script để chƣơng trình gọi tới đạt đƣợc mục đích phá hoại theo ý muốn Hay nói cách khác hệ thống bị lỗi XSS Giải pháp để fix các lỗi có nhiều cách, nhiên hiệu các cách sau: 82 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 - Thực lọc các ký tự đặc biệt nhƣ:,‟,/… ngƣời dùng nhập vào - Thực mã hoá các ký tự đặc biệt cho phép ngƣời dùng nhập Để làm theo hai cách trên, ngƣời lập trình sử dụng câu lệnh code, sử dụng các class có sẵn mạng chèn vào code Ngồi cịn có thƣ viện Hdiv [10] hỗ trợ việc lọc các ký tự đầu vào để hạn chế các lỗi XSS cho các lập trình viên lựa chọn  SSL 2.0 deprecated protocol: Lỗi đƣợc phát giao thức mã hoá liệu đƣờng truyền sử dụng giao thức cũ khơng an tồn Để khắc phục đƣợc lỗi này, Acunetix đƣa giải pháp nên ẩn giao thức cũ sử dụng giao thức an toàn SSL 3.0 TLS 1.0 Các lỗi có mức độ trung bình lỗi thuộc webserver, chẳng hạn:  Apache httpOnly Cookie Disclosure: Đây lỗi Web Server làm lộ thơng tin Cookie Và để khắc phục đƣợc lỗi cần nấp cấp lên Apache tối thiểu 2.2.22 tối thiểu đƣợc vá lỗ hổng  Application error message: Một chƣơng trình đƣa các thơng báo lỗi cảnh báo thơng báo để lộ số thông tin nhạy cảm, các thông tin bị sử dụng để cơng website Trong trƣờng hợp message lỗi để lộ thông tin webserver đƣợc sử dụng “Apache tomcat/7.0.14 – Error Report” Để khắc đƣợc lỗi này, các lập trình viên phải xem xét thật kỹ đoạn script để loại bỏ thơng báo kiểu 3.4 Áp dụng quy trình triển khai đánh giá cổng thông tin điện tử Đại học công nghệ - Đại học Quốc gia Hà nội sử dụng công cụ Acunetix 3.4.1 Xây dựng kịch đánh giá cổng thông tin điện tử Bảng 3-4 Kịch đánh giá STT Trƣờng hợp test Kết mong muốn Cross-Site Scripting (XSS) – over Không bị lỗi XSS 40 different XSS variations are tested SQL Injection Không bị lỗi SQL Injection Blind SQL/XPath injection Không bị lỗi Buffer overflows Khơng bị lỗi tràn nhớ Input Validation Có validate liệu truyền vào Đánh giá 83 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 STT Trƣờng hợp test Kết mong muốn SSL Không bị lỗi SSL Security and configuration checks Không bị lỗi bảo mật cấu for badly configured proxy servers hình Proxy Server Port scans the web server and Không truy cập đƣợc hệ obtains a list of open ports with thống các port hệ thống banners cung cấp (443, 80, 8080) Apache Disclosure 10 Application error message 11 Session Cookie without Secure Không bị lỗi flag set 12 Broken links Không bị lỗi 13 Weak Passwords Không chứa các password dễ nhận biết nhƣ 123456, abcde 14 Error page Web Server version Không bị lỗi disclosure 15 URL redirection Không tự động redirect sang các trang web khác 16 CSRF Không bị lỗi CSRF 17 Arbitrary File creation Không tạo đƣợc file Server mà không sử dụng các chức hệ thống 18 GHDB Không bị lỗi google hacking 19 Arbitrary File deletion Khơng xóa đƣợc file mà không sử dụng các chức hệ thống cung cấp 20 Cookie Manipulation Mã hóa liệu đƣợc lƣu Cookie 21 Full Path Disclosure Không hiển thị đƣờng dẫn tuyệt đối file httpOnly Đánh giá Cookie Không bị lỗi Không bị lỗi 3.4.2 Thực đánh giá Tƣơng tự nhƣ quá trình thao tác để tạo phiên dò quét nhƣ web http://cloud.neo.vn Ta tạo phiên đánh giá, dị quét tƣơng tự với cổng thông tin Đại học Công nghệ 84 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 3.4.3 Kết đánh giá Hình 3.20: Kết đánh giá Sau dị qt tồn website phát đƣợc tồn 155 lỗi, có 27 có mức độ nghiệp trọng cao lỗi XSS lỗi HTTP parameter pollution Các lỗi chủ yếu nằm đƣờng dẫn /uet Hình 3.21: Danh sách số lƣợng lỗi Lỗi có mức độ trung bình chủ yếu các lỗi phiên web Server bị lỗi thời có nhiều lỗ hổng Đặc biệt hệ thống có tới 120 lỗi HTML form without CSRF protection nằm đƣờng dẫn file /uet 85 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Hình 3.22: Chi tiết lỗi from HTML khơng có bảo vệ CSRF Bảng 3-5 Kết đánh giá theo kịch STT Trƣờng hợp test Kết mong muốn Đánh giá Cross-Site Scripting (XSS) – over Không bị lỗi XSS 40 different XSS variations are tested Không đạt SQL Injection Không bị lỗi SQL Injection Đạt Blind SQL/XPath injection Không bị lỗi đạt Buffer overflows Không bị lỗi tràn nhớ Đạt Input Validation SSL Có validate liệu truyền Đạt vào Đạt Không bị lỗi SSL Security and configuration checks Không bị lỗi bảo mật cấu Khơng for badly configured proxy servers hình Proxy Server đạt Port scans the web server and Không truy cập đƣợc hệ Đạt obtains a list of open ports with thống các port hệ thống banners cung cấp (443, 80, 8080) Apache Disclosure httpOnly Cookie Không bị lỗi Không đạt 86 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 STT Trƣờng hợp test Kết mong muốn Đánh giá Đạt 10 Application error message Không bị lỗi 11 Session Cookie without Secure Không bị lỗi flag set Đạt 12 Broken links Không bị lỗi Đạt 13 Weak Passwords Không chứa các password dễ Đạt nhận biết nhƣ 123456, abcde 14 Error page Web Server version Không bị lỗi disclosure 15 URL redirection Không tự động redirect sang Đạt các trang web khác 16 CSRF Không bị lỗi CSRF 17 Arbitrary File creation Không tạo đƣợc file Đạt Server mà không sử dụng các chức hệ thống 18 GHDB Không bị lỗi google hacking 19 Arbitrary File deletion Khơng xóa đƣợc file mà Đạt không sử dụng các chức hệ thống cung cấp 20 Cookie Manipulation Mã hóa liệu đƣợc lƣu Đạt Cookie 21 Full Path Disclosure Không đạt Không đạt Đạt Không hiển thị đƣờng dẫn Đạt tuyệt đối file Để xuất các báo cáo khắc phục các cố cổng thông tin điện tử Đại học Công nghệ ta khắc phục tƣơng tự nhƣ các lỗ hổng cổng thông tin điện tử công ty NEO Về cách khắc phục sử dụng các thƣ viện class có sẵn nhƣ Hdiv Đồng thời nâng cấp Webserver lên phiên 3.5 Kết thực tiễn áp dụng 3.5.1 Thống kê số lƣợng lỗ hổng phát theo loại 87 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 Hình 3.23: Thống kê lỗ hổng phát theo loại 3.5.2 Thống kê số lƣợng lỗ hổng phát theo mức độ nghiêm trọng Hình 3.24: Thống kê lỗ hổng theo mức độ nghiêm trọng 88 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 3.5.3 Thống kê các lỗi phổ biến Hình 3.25: Thống kê lỗi thƣờng gặp Kết chƣơng: Nhƣ vậy, chƣơng này, tác giả đề xuất đƣợc công cụ xây dựng đƣợc quy trình để đánh giá cổng thơng tin điện tử Trên sở đó, đánh giá đƣợc quy trình đề xuất mặt ƣu nhƣợc điểm Từ triển khai áp dụng đƣợc thực tiễn, thống kê, báo cáo đƣợc kết áp dụng 89 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 KẾT LUẬN Nghiên cƣ́u Trong quá trin ̀ h tim ̀ hiể u, em đã nghiên cƣ́u đƣơ ̣c lý t huyết an toàn bảo mật thông tin Trong luận văn, em nghiên cứu, đánh giá đƣợc thƣ̣c tra ̣ng vấ n đề an ninh an toàn việt nam nhƣ giới Do thấy đƣợc tính thiết việc thẩm định, đánh giá sản phẩm an tồn bảo mật thơng tin, cụ thể cổng thơng tin điện tử vấn đề nóng cần đƣợc quan tâm Qua đó, tìm hiểu các văn pháp lý, các tiêu chuẩn đánh giá sản phẩm an tồn thơng tin nhƣ hệ thống các cơng cụ đánh giá an ninh an tồn cổng thơng tin điện tử Ngồi ra, luận văn tìm hiểu đƣợc các lỗ hổng các wesbite, cụ thể nguyên nhân, cách nhận biết cách phòng tránh các lỗ hổng Đặc biệt, em nghiên cứu các kỹ thuật, cơng cụ phân tích, dị qt để phát lỗ hổng cổng thông tin điện tử Đóng góp Dựa các cơng cụ tiêu chuẩn nghiên cứu, luận văn có đóng góp các nội dung sau  Đã so sánh đƣợc các công cụ đánh giá cổng thông tin điện tử Trên sở đề xuất sử dụng cơng cụ Acunetix để đánh giá an ninh an tồn cổng thơng tin điện tử  Xây dựng, đề xuất Quy trình triển khai, thẩm định, đánh giá cổng thông tin điện tử Đờng thời rõ đƣợc mục đích, quy trình thực nhƣ đánh giá đƣợc ƣu điểm quy trình đề xuất  Áp dụng thực tiễn - Dựa cơng cụ quy trình đề xuất em áp dụng vào thực tiễn để đánh giá cổng thông tin điện tử Đại học công nghệ, cổng thông tin điện tử công ty làm việc - Đặc biệt, quy trình cơng cụ đƣợc áp dụng để test bảo mật các website dự án công ty em trƣớc triển khai - Hỗ trợ giúp ích nhiều cho cơng việc tác giả với vai trò nhân viên tester công ty chuyên cung cấp phần mềm nên web lĩnh vực test bảo mật lĩnh vực đƣợc nhiều ngƣời quan tâm Hƣớng phát triển tƣơng lai Do nghiên cứu thời gian chƣa lâu, nên em nghiên cứu tìm hiểu đƣợc các cơng cụ mà chƣa xây dựng đƣợc công cụ Trong thời gian tới, em cố gắng xây dựng cơng cụ để dị qt cổng thơng tin điện tử áp dụng đƣợc thực tiễn cơng việc Ngồi ra, cơng cụ quy trình đề xuất chƣa đƣợc áp dụng rộng rãi nhƣ quy trình chuẩn Trong tƣơng lai, em mong muốn quy trình mà đề xuất đƣợc sử 90 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 dụng nhƣ quy trình chung quá trình triển khai, đánh giá test bảo mật cổng thông tin điển tử 91 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04 (LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04(LUAN.VAN.THAC.SI).Nghien.cuu.mot.so.cong.cu.de.danh.gia.san.pham.an.toan.bao.mat.thong.tin.04