Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 81 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
81
Dung lượng
1,15 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG *** THÁI TRƯƠNG THIÊN ÂN XÂY DỰNG CÔNG CỤ HỖ TRỢ ĐÁNH GIÁ AN TOÀN WEBSITE LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Đồng Nai – Năm 2020 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG *** THÁI TRƯƠNG THIÊN ÂN XÂY DỰNG CÔNG CỤ HỖ TRỢ ĐÁNH GIÁ AN TỒN WEBSITE Chun ngành: Cơng nghệ thông tin Mã số: 8480201 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN ĐỨC THÁI Đồng Nai – Năm 2020 i LỜI CẢM ƠN Sau trình học tập, nghiên cứu thực luận văn này, nhận giúp đỡ vô quý báu thầy cô Trường Đại học Lạc Hồng, gia đình, quan, đồng nghiệp bạn bè Tơi xin chân thành tỏ lịng biết ơn đến: TS Nguyễn Đức Thái, người tận tình hướng dẫn giúp đỡ tơi cách tận tình suốt trình học tập nghiên cứu thực đề tài, Khoa Công nghệ Thông tin, Khoa Sau đại học Trường Đại học Lạc Hồng tập thể quý thầy cô trực tiếp giảng dạy lớp Cao học Cơng nghệ Thơng tin Khóa VIII – 16CC911 tận tình truyền đạt, định hướng hướng dẫn tơi suốt thời gian học tập, nghiên cứu trường Đại học Lạc Hồng, Ban lãnh đạo Trung tâm Công nghệ Thông tin Truyền thông – Sở Thông tin Truyền thông Đồng Nai tạo điều kiện thuận lợi thời gian, động viên mặt tinh thần q trình tơi thực đề Đặc biệt gia đình, bạn bè, người thân đồng nghiệp sát cánh, ủng hộ, động viên, giúp đỡ suốt thời gian học tập, nghiên cứu thực đề tài, Các tổ chức, website mà tham khảo trình thực Xin chân thành cảm ơn! Học viên Thái Trương Thiên Ân ii LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng tơi Các số liệu, tài liệu kết nghiên cứu trình bày luận văn trung thực Học viên Thái Trương Thiên Ân iii TÓM TẮT LUẬN VĂN Đề tài: Xây dựng cơng cụ hỗ trợ đánh giá an tồn website Ngành: Công nghệ thông tin Mã số: 84.80.201 Học viên: Thái Trương Thiên Ân Người hướng dẫn: TS Nguyễn Đức Thái NỘI DUNG TÓM TẮT Nội dung giao kết mong đợi người hướng dẫn • Nghiên cứu lỗ hổng bảo mật phổ biến ứng dụng web • Nghiên cứu kiểu cơng website phổ biến • Tìm giải pháp nhằm phát cảnh báo lỗ hổng bảo mật ứng dụng web • Xây dựng mơ hình cho ứng dụng • Xây dựng cơng cụ đánh giá an tồn website Kết • Xây dựng thành cơng ứng dụng phát cảnh bảo nguy cơ, lỗ hổng bảo mật website • Tích hợp giải pháp đánh giá an tồn website tương thích • Viết báo cáo tổng kết luận văn Cách thức giải vấn đề • Tìm hiểu tài liệu, đề tài, báo ngồi nước có liên quan đến luận văn • Tìm hiểu phương thức hoạt động ứng dụng chuyên phát cảnh báo lỗ hổng bảo mật website • Xác định, chọn lọc phần mềm phù hợp, tiến hành cài đặt sử dụng chúng cách độc lập • Xây dựng giao diện chức cơng cụ đánh giá an tồn website, tương tác với phần mềm cài iv đặt (ví dụ như: gọi phần mềm hoạt động thông qua lệnh, truyền liệu đầu vào, rút trích liệu đầu ra, định dạng liệu đầu theo chuẩn chung,…) • Quy đổi kết xử lý từ phần mềm thành tập tin chung Xây dựng chức hiển thị kết gặp trường hợp nhiều công cụ quét phát loại lỗ hổng • Hiển thị kết cuối giao diện cơng cụ Những vấn đề cịn tồn so với nội dung giao • Giao diện cơng cụ chưa thực thân thiện với người dùng • Công cụ chưa đưa lên môi trường internet để tiện truy cập sử dụng Ngày tháng năm NGƯỜI HƯỚNG DẪN Học viên TS Nguyễn Đức Thái Thái Trương Thiên Ân v MỤC LỤC CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI 1.1 Tính cấp thiết đề tài 1.2 Mục tiêu đề tài 1.3 Phương pháp thực đề tài 1.4 Bố cục báo cáo luận văn CHƯƠNG 2: NHỮNG CƠNG TRÌNH LIÊN QUAN 2.1 Bộ tiêu chí đánh giá 2.2 Wapiti .6 2.3 Zap 2.4 GoLismero 2.5 SQLmap 2.6 Arachni .8 CHƯƠNG 3: NỀN TẢNG LÝ THUYẾT .10 3.1 Khái niệm, thuật ngữ liên quan 10 3.1.1 Hacker .10 3.1.2 Http header 10 3.1.3 Session .12 3.1.4 Cookie .13 3.1.5 Proxy .15 3.2 Ứng dụng web 15 3.2.1 Khái niệm 15 3.2.2 Mô tả hoạt động .17 3.3 OWASP 19 3.4 Các kiểu công ứng dụng web phổ biến 23 vi 3.4.1 SQL Injection 23 3.4.2 Broken Authentication and Session Management 28 3.4.3 Cross-Site Scripting (XSS) 33 3.4.4 Insecure Direct Object References 40 3.4.5 Security Misconfiguration .42 3.4.6 Sensitive Data Exposure 44 3.4.7 Missing Function Level Access Control 45 3.4.8 Cross-Site Request Forgery (CSRF) .47 3.4.9 Using Known Vulnerable Components 49 3.4.10 Unvalidated Redirects and Forwards 50 CHƯƠNG 4: THIẾT KẾ – GIẢI PHÁP – Ý TƯỞNG ĐỀ XUẤT 52 4.1 Tổng quan .52 4.2 Yêu cầu 52 4.2.1 Yêu cầu chức 52 4.2.2 Yêu cầu phi chức 53 4.3 Kiến trúc mơ hình chức 53 4.3.1 Kiến trúc 53 4.3.2 Mơ hình chức 54 4.4 Thiết kế chức 56 4.4.1 Chức quản lý plugin .56 4.4.2 Chức đánh giá website 57 4.4.3 Chức định dạng kết 58 4.4.4 Chức mô tả lỗ hổng đưa lời khuyên 58 4.4.5 Phương pháp 59 CHƯƠNG 5: HIỆN THỰC 62 5.1 Nền tảng giao diện hệ thống 62 vii 5.1.1 Nền tảng 62 5.1.2 Giao diện 63 5.2 Chức .66 5.2.1 Chức truyền tham số quét lỗ hổng .66 5.2.2 Tổng hợp kết quét từ phần mềm 67 5.2.3 Hiển thị, thông báo kết kiểm tra .67 5.2.4 Quản lý plugin 68 CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 69 6.1 Đánh giá, kết luận 69 6.2 Hướng phát triển .70 viii DANH MỤC HÌNH Hình 3.1: Header yêu cầu minh họa 11 Hình 3.2: Header trả lời tương ứng 12 Hình 3.3: Cấu trúc thơng thường ứng dụng web 17 Hình 3.4: Mơ hình hoạt động ứng dụng web 18 Hình 3.5: Session Hijacking 30 Hình 3.6: Cuộc công stored-XSS 35 Hình 3.7: Kết sau cơng XSS 36 Hình 3.8: Ví dụ đoạn script XSS 36 Hình 3.9: Tấn cơng reflected XSS 37 Hình 3.10: Trình xử lý lỗi tầng ứng dụng 43 Hình 4.1: Kiến trúc phân tầng mơ hình chức hoạt động 55 Hình 4.2: Mơ tả chức quản lý plugin 56 Hình 4.3: Mơ tả chức đánh giá an tồn website 57 Hình 4.4: Mơ tả chức định dạng kết 58 Hình 4.5: Mơ tả chức mơ tả lỗ hổng đưa lời khuyên 58 Hình 4.6: Mơ hình phương pháp hoạt động cơng cụ 60 Hình 5.1 Giao diện hình 63 Hình 5.2: Mở thư mục Output sau nhấn nút “Thư mục” 64 Hình 5.3: Hiển thị kết cuối sau nhấn nút “Xem kết quả” 63 Hình 5.4: Hiển thị đầy đủ thông tin chi tiết nhấn vào bảng kết 66 57 Admin có quyền quản lý plugin có hệ thống việc thay đổi chế độ quét mặc định điều chỉnh chương trình liên quan đến plugin đó, đồng thời có quyền hoạt động vơ hiệu hóa plugin 4.4.2 Chức đánh giá website Hình 4.3: Mơ tả chức đánh giá an toàn website Để thực quét đối tượng đó, người dùng cần phải thực cung cấp thông tin yêu cầu giao diện, bao gồm: nhập đối tượng URL cần quét, chọn plugin muốn dùng để thực quét yêu cầu thực thi nút lệnh Sau người dùng cung cấp thông tin thực yêu cầu nút lệnh giao diện, ứng dụng thực kiểm tra thông tin Nếu thông tin không hợp lệ, ứng dụng hiển thị thông báo cho người dùng nhận biết để thực điều chỉnh (ví dụ nhập URL sai định dạng chưa chọn plugin) không tiếp tục thực yêu cầu cho phần mềm quét Trường hợp thông tin mà người dùng nhập vào hợp lệ ứng dụng bắt đầu gửi thông tin đến phần mềm quét để thực xử lý bước trả kết cuối trở giao diện cho người dùng 58 4.4.3 Chức định dạng kết Hình 4.4: Mơ tả chức định dạng kết Ứng dụng tự động định dạng kết trả từ phần mềm quét cho trường hợp lỗ hổng phát nhiều phần mềm quét khác lỗ hổng lại hiển thị nhiều tên gọi khác theo quy tắc phần mềm quét Khi đó, chúng phân loại, gom nhóm tích hợp quy chuẩn chung nhằm tăng tính xác thực lệnh yêu cầu từ phía người dùng 4.4.4 Chức mơ tả lỗ hổng đưa lời khun Hình 4.5: Mơ tả chức mô tả lỗ hổng đưa lời khun 59 Ngồi việc tìm kiếm lỗ hổng website dựa vào thơng tin u cầu từ phía người dùng kết trả từ phần mềm qt, ứng dụng cịn trả thơng tin liên quan đến mô tả đưa lời khuyên, hướng giải để khắc phục theo loại lỗ hổng tìm 4.4.5 Phương pháp Dựa vào phần mềm chuyên quét lỗ hổng bảo mật website, công cụ tập hợp tất khả năng, ưu điểm phần mềm lại để tạo thành công cụ mới, tổng hợp từ ứng dụng Về chất, công cụ nơi để ứng dụng tích hợp vào, lúc chúng đóng vai trị plugin Từ người dùng sử dụng nhiều ứng dụng mà cần thao tác ứng dụng giao diện công cụ Điều cần thiết, ứng dụng dựa vào số tiêu chí để qt lỗ hổng, dùng nhiều ứng dụng lúc có nhìn tồn diện loại lỗ hổng bảo mật, làm cho kết quét xác đầy đủ hơn, bổ trợ nhược điểm plugin Mơ hình cơng cụ thể hình bên dưới: 60 Hình 4.6: Mơ hình phương pháp hoạt động cơng cụ Cơng cụ có hai khối chức trình quản lý ứng dụng quét lỗ hổng bảo mật (PLUGINS) khối thứ hai trình quản lý file chứa liệu loại lỗ hổng kết sau quét (XML FILES MANAGER) Trình quản lý plugin nơi lưu trữ tồn thơng tin plugin, muốn tích hợp thêm ứng dụng vào hệ thống ta đơn gian khai báo thuộc tính khối PLUGINS 61 Khối quản lý file định dạng XML (định dạng theo thẻ) chia hai phần file chứa thông tin lỗ hổng (khối VULNERABILITIES MANAGER) file kết sau quét (khối RESULT) Sau plugin quét tạo file kết theo định dạng riêng Vì vậy, cần phải có cách để trích xuất kết thành định dạng chung dành cho toàn hệ thống (khối CONVERT RESULT) Tuy nhiên, nhiều khả hai plugin thông báo lỗ hổng bảo mật, kết sau trích xuất tổng hợp lại cho lỗ hổng thông báo lần (khối MERGE) 62 CHƯƠNG 5: HIỆN THỰC 5.1 Nền tảng giao diện hệ thống 5.1.1 Nền tảng Từ kiến thức học từ kết nghiên cứu lý thuyết, tác giả lựa chọn xây dựng cơng cụ dựa ngơn ngữ lập trình C sharp (C#) để làm sở dị tìm đánh giá an tồn website Ngơn ngữ sử dụng mơi trường mã nguồn đóng, đảm bảo tính bảo mật an toàn liệu, phù hợp cho việc dị qt tìm kiếm lỗ hổng tảng câu lệnh khác plugin C# ngơn ngữ lập trình đơn giản, phát triển đội ngũ kỹ sư Microsoft vào năm 2000, người dẫn đầu Anders Hejlsberg Scott Wiltamuth Đồng thời, ngơn ngữ lập trình đại, hướng đối tượng xây dựng tảng hai ngôn ngữ C++ Java Cho phép sử dụng ngôn ngữ high-level đa dạng tảng cấu trúc máy tính khác Với hỗ trợ mạnh mẽ NET Framework giúp cho việc tạo ứng dụng Windows Forms hay WPF (Windows Presentation Foundation),… trở nên dễ dàng Tận dụng liệu, thông tin phương pháp thực có sẵn phần mềm quét, số nhiệm vụ công cụ tích hợp kế thừa vấn đề để sử dụng thu kết Với phương pháp này, công cụ không lỗi thời có cập nhật tính hiệu suất cách thường xuyên liên tục Nếu phần mềm quét danh sách plugin có vấn đề nguy hại ngưng hoạt động, ngưng phát triển,… người quản trị hồn tồn thay phần mềm muốn Các lỗ hổng bảo mật thường xuyên tham chiếu, quy chuẩn dựa tiêu chí đánh giá theo chuẩn OWASP 63 5.1.2 Giao diện Giao diện sử dụng dành cho người dùng thiết kế tối giản, đầy đủ chức hoạt động, dễ hình dung chức thân thiện với người dùng, giao diện hình Giao diện thể thông tin đầu vào kết hiển thị đầu cần thiết Bố cục thông tin thể cách rõ ràng, dễ hiểu Hình 5.1: Giao diện hình Chú thích: - URL: cho phép người dùng nhập vào giá trị đường dẫn URL cần quét - ZAP, GoLismero, Arachni, Wapiti, SQLmap, Tất cả: cho phép người dùng lựa chọn nhiều phần mềm thực chạy quét, chọn vào tên phần mềm phần mềm thực thi 64 - Thư mục: nhấn vào để xem thư mục chứa file liệu đầu sau phần mềm thực chạy quét (Hình 5.2) - Quét: nhấn vào để công cụ bắt đầu nhận yêu cầu quét lỗ hổng bảo mật URL tên phần mềm quét dựa vào thông tin mà người dùng vừa cung cấp - Xem kết quả: nhấn vào để tải kết báo cáo cuối giao diện, mặc định vơ hiệu hóa, nút sử dụng sau phần mềm chạy quét xong - Kết quả: nơi hiển thị kết cuối cùng, kết hiển hiển thị sau nhấn nút “Xem kết quả” (Hình 5.3) Hình 5.2: Mở thư mục Output sau nhấn nút “Thư mục” 65 Hình 5.3: Hiển thị kết cuối sau nhấn nút “Xem kết quả” Sau hiển thị kết cuối giao diện, người dùng có nhu cầu cần xem đầy đủ thơng tin chi tiết nhấn vào thơng tin bảng kết (Hình 5.4) 66 Hình 5.4: Hiển thị đầy đủ thơng tin chi tiết sau nhấn vào bảng kết 5.2 Chức 5.2.1 Chức truyền tham số quét lỗ hổng Đây chức hệ thống, người dùng sử dụng hệ thống để quét lỗi mật tồn URL dựa vào dịng lệnh lập trình cơng cụ Các lệnh để gọi hàm yêu cầu cho phần mềm quét sau lồng vào nút lệnh “Qt” giao diện Hàm GetWapiti có vai trị truyền tham số gọi phần mềm Wapiti hoạt động theo quy định riêng phần mềm, phần mềm quét nhận tham số đầu vào quy chuẩn đầu khác Trong hàm này, công cụ thiết lập định dạng đầu để chứa liệu kết Tùy vào mức độ phức tạp thân URL plugin chọn mà thời gian quét nhanh hay chậm khác Tương tự với hàm GetGoLismero, công cụ truyền tham số gọi phần mềm GoLismero thực theo yêu cầu cho kết theo định dạng chung 67 Trong hàm này, bao gồm chức có liên quan khác như: không cho hiển thị cửa sổ phần mềm chạy quét, hiển thị biểu tượng chờ,… 5.2.2 Tổng hợp kết quét từ phần mềm Mỗi phần mềm quét cho 01 tập tin kết tương ứng, hàm làm công việc như: đồng tên, đồng định dạng, đồng nơi xuất kết Nhưng dừng lại bước tập tin kết 01 phần mềm riêng biệt Để có kết cuối hiển thị giao diện cho người dùng, cơng cụ cần phải có chức tổng hợp thành 01 tập tin kết chung từ tập tin kết riêng lẻ phần mềm Hàm tổng hợp kết hình thành dựa theo cấu trúc bảng xây dựng mã nguồn (không cần dùng đến hệ sở liệu) Hàm tạo bảng liệu dùng để chuẩn bị chứa liệu từ file kết quét từ phần mềm riêng lẻ Trong bảng bao gồm cột: Tên lỗ hổng, Mô tả, Hướng giải quyết, Phần mềm quét, Địa quét Ngày quét Tiếp đến hàm tự động thêm liệu vào bảng (chuyển thông tin liên quan, xếp lỗ hổng 01 dịng, thêm thơng tin dòng vào cột vừa tạo) 5.2.3 Hiển thị, thông báo kết kiểm tra Sau thực vấn đề tổng hợp thành file tổng hợp chung với tất liệu kết từ phần mềm quét khác Việc cần làm lại hiển thị liệu, thông số từ file tổng hợp chung giao diện kết cho người dùng Các dòng lệnh gọi hàm khác có liên quan để hoạt động theo chức chức mở tập tin chứa file kết Mỗi dòng thông tin chi tiết theo tên 01 lỗ hổng, nhấp vào dịng thơng tin chi tiết lỗ hổng hiển thị đầy đủ vào giao diện 68 Các thông tin kết cuối bao gồm thêm thông tin phụ kèm theo như: mô tả chi tiết lỗ hổng, hướng giải cách khác phục lỗ hổng Mỗi lỗ hổng trình bày chi tiết tên gọi, mức độ nguy hại, môi trường tồn lỗ hổng, ví dụ lỗ hổng mà hệ thống thu thập được, cung cấp cho người dùng nhìn đầy đủ tổng quát lỗ hổng bảo mật 5.2.4 Quản lý plugin Để chống lại mối nguy hại xuất ngày, việc cập nhật lỗ hổng bảo mật việc làm cần thiết Chức cho phép người quản trị nhà phát triển, thừa kế cơng cụ dễ dàng thêm, xóa, chỉnh sửa lỗ hổng/trình qt để đảm bảo hệ thống cập nhật phiên 69 CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 6.1 Đánh giá, kết luận Công việc làm: - Tìm hiểu OWASP kiểu công vào ứng dụng web OWASP chuẩn đánh giá chất lượng mang tính tồn cầu cộng đồng tham gia phát triển Khi mà mối nguy hại môi trường web ngày phát triển với tốc độ chóng mặt sở lý thuyết vững OWASP tiền đề thiết yếu tối quan trọng Từ đó, cơng cụ dễ dàng phát triển kiểm tra - Xây dựng cơng cụ tích hợp phần mềm quét lỗ hổng website Khả tích hợp cao lợi thế, hệ thống không phụ thuộc vào lõi bên trong, cách thức sử dụng từ phía người dùng triển khai thân thiện không cần quan tâm đến phần mềm quét chạy trên tảng nào, việc mở rộng tính nâng cấp vô dễ dàng, đồng thời chi phí nâng cấp sửa chữa bỏ Hơn nữa, mơi trường ảo hóa có hỗ trợ, vấn đề hệ điều hành khơng cịn quan trọng nữa, khả triển khai hệ thống chạy đa tảng hồn tồn - Tìm hiểu cơng cụ tích hợp thêm công cụ vào hệ thống Bởi vấn đề tảng việc tích hợp cơng cụ khác vào khối cơng việc dễ dàng, cịn tùy thuộc vào nhiều yếu tố khác giao diện dòng lệnh hay giao diện người dùng, yêu cầu môi trường để chạy ứng dụng, định dạng kết hệ thống sở liệu công cụ khơng hồn tồn giống Đề tài tích hợp thành cơng ứng dụng phát lỗ hổng website vào thành plugin hệ thống lõi, giúp hệ thống phát nhiều mối nguy hại Hạn chế: - Một vài plugin chưa có chức hỗ trợ gọi từ dịng lệnh cơng cụ chưa thể tích hợp vào được, lẽ có nhiều plugin viết hoàn toàn với giao diện 70 người dùng, việc chuyển đổi lại giúp hỗ trợ gọi từ giao diện dòng lệnh nhiều thời gian chi phí khơng đáng có - Cơng cụ chưa đưa lên hệ thống web, phải tốn chút thời gian để thực cài đặt thiết bị người dùng 6.2 Hướng phát triển - Nâng cấp, tích hợp hệ thống tảng website, mở rộng mơ hình sử dụng đưa vào sử dụng thực tế Tăng tính tiện ích cho người dùng, giảm tải thời gian cài đặt, dễ dàng sử dụng đâu - Cải thiện giao diện, thân thiện với người dùng - Tìm hiểu, nghiên cứu thêm plugin mới, phù hợp tăng tính hiệu Đây q trình địi hỏi nhiều thời gian công sức - Phân loại mức độ nguy hiểm loại lỗ hổng sau quét dựa tiêu chí đánh giá sở OWASP, điều giúp ích cho việc báo cáo chi tiết cách rõ ràng trực quan TÀI LIỆU THAM KHẢO [1] Golismero Project, http://www.golismero.com/ , 2018 [2] SQLmap, http://sqlmap.org/, 2018 [3] Arachni, web application security scanner framework, https://www.arachni-scanner.com/, 2018 [4] Tìm hiểu Web Application, http://itsecuritykma.blogspot.com/2014/01/tim-hieu-web-application-1.html, 2018 [5] OWASP, “The Ten Most Critical Web Application Security Risks”, OWASP Top 10, 2019 [6] Shyam Oza, SQL Injection Attacks (SQLi) – Web-based Application Security, Cloud and Data Security, https://spanning.com/blog/sql-injection-attacksweb-based-application-security, 2019 [7] Nikiforakis, Nick, et al: SessionShield: Lightweight protection against session hijacking Engineering Secure Software and Systems Springer Berlin Heidelberg (2017) [8] Chandan Kumar, How to Implement Security HTTP Headers to Prevent Vulnerabilities, https://geekflare.com/http-header-implementation/, 2019 ...BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG *** THÁI TRƯƠNG THIÊN ÂN XÂY DỰNG CÔNG CỤ HỖ TRỢ ĐÁNH GIÁ AN TỒN WEBSITE Chun ngành: Cơng nghệ thông tin Mã số: 8480201 LUẬN VĂN THẠC SĨ CÔNG NGHỆ... nghiên cứu trình bày luận văn trung thực Học viên Thái Trương Thiên Ân iii TÓM TẮT LUẬN VĂN Đề tài: Xây dựng cơng cụ hỗ trợ đánh giá an tồn website Ngành: Công nghệ thông tin Mã số: 84.80.201... liên quan 5 CHƯƠNG 2: NHỮNG CƠNG TRÌNH LIÊN QUAN 2.1 Bộ tiêu chí đánh giá Trước tiến hành nghiên cứu chọn lọc công cụ đánh giá an toàn website, đề tài bắt đầu việc tìm tiêu chí đánh giá nguy