Xây dựng ca kiểm thử an toàn thông tin cho ứng dụng web Nguyễn Thị Thu Hiền Trường Đại học Công nghệ Luận văn Thạc sĩ ngành: Kỹ thuật phần mềm; Mã số: 60 48 01 03 Người hướng dẫn: TS Đặng Đức Hạnh Năm bảo vệ: 2014 Keywords Công nghệ thông tin; An toàn thông tin; Ứng dụng Web; Kỹ thuật phần mềm; Tin học Content Trong thời đại bùng nổ công nghệ thông tin nay, phần mềm vào ngõ ngách sống có ảnh hưởng to lớn đến đời sống người Bởi mà hết, việc kiểm thử đảm bảo chất lượng phần mềm trở lên quan trọng Giờ đây, việc kiểm thử phần mềm không đơn kiểm thử cho chức hoạt động tốt, mà phải đảm bảo bảo mật phần mềm Bởi nỗ hổng bảo mật nguy nguy hiểm dẫn đến hậu nghiêm trọng Các loại tội phạm công nghệ cao, an ninh mạng vấn đề thuộc an ninh phi truyền thống ngày phổ biến tác động, ảnh hưởng đến an ninh quốc gia Theo tờ USA Today, năm 2012, tội phạm công nghệ cao gây thiệt hại cho nước Mỹ khoảng 67,2 tỷ USD, toàn cầu khoảng 400 tỷ USD, đứng sau tội phạm ma túy (460 tỷ USD) [1] Thực trạng an toàn thông tin Việt Nam tiềm ẩn nhiều nguy An ninh mạng chưa thực quan tâm quan, doanh nghiệp Theo nhận định chuyên gia Công ty Bkav [2], hầu hết quan doanh nghiệp Việt Nam chưa bố trí nhân phụ trách an ninh mạng lực nhận thức đội ngũ chưa tương xứng với tình hình thực tế Vấn đề an ninh mang trở lên hữu, ảnh hưởng sâu rộng, tác động đến vấn đề trị, kinh tế an ninh quốc gia Việc đảm bảo bảo mật phần mềm trở thành yêu cầu cấp thiết bắt buộc phần mềm Vì vậy, việc kiểm thử bảo mật trở thành yêu cầu bắt buộc quy trình kiểm thử phần mềm nhiều công ty Xuất phát từ nhu cầu thực tế này, nghiên cứu tìm hiểu an toàn thông tin ứng dụng web phương pháp kiểm thử để tìm nỗ hổng bảo mật ứng dụng web Sau trình nghiên cứu hướng dẫn TS Đặng Đức Hạnh, hoàn thành luận văn “XÂY DỰNG CÁC CA KIỂM THỬ AN TOÀN THÔNG TIN CHO ỨNG DỤNG WEB” Luận văn cấu trúc thành chương sau: - Chương 1: Khái niệm - Chương 2: Thiết kế ca kiểm thử ATTT cho ứng dụng web - Chương 3: Vận dụng công cụ hỗ trợ References Tiếng Việt [1] Mạnh Vỹ (2014), “Mối đe dọa tội phạm mạng công nghệ cao chiến tranh mạng”, Tạp chí bưu viễn thông, tr.1 [2] Đức Thiện (2013), “Chủ động trước nguy công mạng”, Báo Hà Nội mới, tr.1 [3] Đinh Thị Thiên Anh (2011), Nghiên cứu kiểm thử bảo mật website, Luận văn Thạc sĩ, Trường Đại học Đà Nẵng, tr.5,13 [4] Nguyễn Thế Phục (2012), “Kĩ thuật công CROSS-SITE SCRIPTING”, Thư viện khoa học, tr.1-2 Tiếng Anh [5] Jane Radatz, Chairperson (1990), IEEE standard glossary of software engineering terminology, Universidad Nacional de Colombia, USA [6] Ron Patton (2005), Sofware testing, Sams Publishing, the United States of America [7] Paco Hope, Ben Waltber (2009), Web Security Testing Cookbook, O’Reilly Media, the United States of America [8] William G.J Halfond, Jeremy Viegas, “Alessandro Orso (2010), A Classification of SQL Injection Attacks and Countermeasures”, College of Computing Georgia Institute of Technology, tr.2 [9] Lieven Desmet, Thomas Heyman, Wim Maes, Wouter Joosen (2009), Browser Protection against Cross-Site Request Forgery, ACM, New York [10] HKSAR (2008), Web application security, The Government of the Hong Khôngng Special Administrative Region, Hong Khôngng [11] Willem Burgers, Roel Verdult, Markhông van Eekelen (2012), Prevent Session Hijacking by Binding the Session to the Cryptographic Network Credentials, Institute for Computing and Information Sciences Radboud University Nijmegen, The Netherlands [12] Bhavna C.K Nathani Erwin Adi (2012), Website Vulnerability to Session Fixation Attacks, School of Computer Science, Binus International, Bina Nusantara University, Indonesia [13] Lark Allen, Kelly Purcell (2009), “Encrypting Sensitive Data”, Mortgage Technology, tr.12 [14] Jordan DelGrande (2007), “Web Application Username Enumeration”, Security Technology Science Pty Ltd, tr.3-5 [15] David Evans, Yuchen Zhou (2010), “Why Aren’t HTTP-only Cookies More Widely Deployed?”, University of Virginia, tr.1-2 [16] Susanna Bezold, Johanna Curiel, Jim Manico (2014), “Unvalidated Redirects and Forwards Cheat Sheet”, OWASP, tr.1-2 [17] Dr E Benoist (2012), Information Leakage and Improper Error Handling, IIG University of Freiburg, Germany [18] Uwe Aickelin, Liming Wang, Xiuling Chang, Zhongjie Ren, Haichang Gao, Xiyang Liu (2007), Against Spyware Using CAPTCHA in Graphical Password Scheme, Software Engineering Institute Xidian University, UK [19] USG Office (2012), Strong Password Standard, USG Office of Information Security, UK