Một số phương pháp đảm bảo an ninh và ràng buộc thời gian thực thi cho các ứng dụng Web

MỤC LỤC

KIÊN THỨC CƠ SỞ

Các ứng dụng trên nền web

Ngoài ra, tính di động của ứng dụng Web cho phép người dùng truy cập từ bất kỳ đâu và bất kỳ khi nào trên thiết bị di động của họ, miễn là có kết nối Internet. Các thiết bị hoặc trình duyệt đời cũ hoặc ít phổ biến cũng có thể gây khó khăn trong việc sử dụng ứng dụng web.

Một số loại tan công mạng phổ biến

Tấn công vào lỗ hong XSS được coi là một trong những cuộc tấn công nguy hiểm nhất đối với các ứng dụng web và có thể gây. Lỗ hồng XSS thường dẫn đến cuộc tấn công thành công và có thể xuất hiện ở mọi ứng dung web sử dụng di liệu đầu vào từ người dùng để tạo.

Gửi yéu cầu |

  • Một số kỹ thuật và phương pháp đảm bảo chất lượng phần mềm trên nền web

    Một cuộc tấn công DDoS với quy mô lớn, tấn công vào những dịch vụ đang chạy của hệ thống máy tính nạn nhân hoặc nhằm vào tài nguyên mạng bằng cách khởi tạo cuộc tấn công trung gian từ các hệ thống máy tính BotNet (là các máy chủ bị nhiễm trojan, virus hoặc. bị chiếm quyền điều khiển) trên không gian Internet. Dây là một phương pháp thay thế kiến trúc truyền thống “request/response” ("yêu cầu/phản hồi"), trong đó các dịch vụ phải đợi phản hồi trước khi thực hiện tác vụ tiếp theo. Kiến trúc hướng sự kiện điều. khiển luồng làm việc bằng cách sử dụng các sự kiện và được thiết kế để phản hồi. hoặc thực hiện các hành động phan hồi sự kiện. Trong một hệ thống hướng sự kiện, các thành phần của nó hợp tác bằng cách gửi và nhận các sự kiện. Người gửi gửi một sự kiện đến một trình điều phối. Trình điều phối sự kiện có trách. nhiệm phân phối sự kiện đến tất cả các thành phần đã tuyên bố quan tâm để. Do đó, trình điều phối sự kiện cho phép tách rời giữa các nguồn và người nhận sự kiện. Một hệ thống hướng sự kiện thông thường có ba phong cách. xử lý sự kiện chung: đơn giản, luồng và phức tap. No có thé bao gồm một số phần chính như xử lý sự kiện, công cụ sự kiện, nguồn và đích, siêu dit liệu sự kiện. Kiến trúc hướng sự kiện cho phép xây dựng các ứng dụng và hệ thống có. khả năng phản hồi nhanh hon. No cũng cho phép phát triển và bao trì các hệ thống phần mềm phân tán quy mô lớn liên quan đến các sự kiện không thể dự. Trong EDA, một sự kiện được định nghĩa là một thay đổi đáng chú ý trong trạng thái của một thành phần, ứng dụng hoặc hệ thống xảy ra tại một điểm cụ thé trong thời gian [67]. Các sự kiện có thể được kích hoạt bởi người dùng,. thiết bị phần cứng hoặc bởi phần mềm chính trong các điều kiện nhất định. kiện được sử dụng để truyền thông tin giữa các phần khác nhau của hệ thống và có thể được xử lý trong thời gian thực hoặc lưu trữ để xử lý sau. Xử lý các sự kiện là trọng tâm của phương pháp kiến trúc hướng sự kiện. Sự kiện có thể. được tạo ra bởi người dùng, phần cứng hoặc phần mềm trong một số điều kiện. EDA được coi là một trong những mô hình thiết kế hiệu quả nhất để giảm thiểu sự phụ thuộc giữa các thành phần hệ thống hoặc module đến mức tối thiểu. Các sự kiện trong thiết kế hệ thống hướng sự kiện có chung các đặc. e Chúng là một bản ghi về một cái gì đó đã xảy ra. e Chúng là bất biến — không thể thay đổi hoặc xóa chúng. e Chúng có thể được duy tri vô thời hạn — các sự kiện có thể được lưu trữ. và truy cập mãi mãi. e Chúng có thể được sử dung vô số lần — không có giới hạn về số lần một sự kiện có thể được xử lý bởi một dịch vụ. Các tổ chức sử dụng EDA khi thiết kế hệ thống để đáp ứng nhiều nhu cầu. sử dụng khác nhau, bao gồm các hoạt động sau:. e Sao chép dữ liệu: Một sự kiện có thể được chia sẻ giữa nhiều dịch vụ cần. sao chép dữ liệu của nó vào cơ sở dữ liệu của chúng. e Xử lý song song: Nhiều quá trình có thể được kích hoạt bởi một sự kiện để thực thi không đồng bộ của nhau. e Giám sát thời gian thực: Các hệ thống có thể tạo ra các sự kiện cho các thay đổi đối với trạng thái của chúng để một tổ chức có thể quét các điểm. bất thường và các hoạt động đáng ngờ. e Khả năng tương tác: Các sự kiện có thể được tồn tại và lan truyền bất kể dịch vụ mã được viết bằng gì. e Dự phòng: Nếu một dịch vụ không hoạt động, các sự kiện có thể được duy. trì trong bộ định tuyến cho đến khi dịch vụ khả dụng để sử dụng sự kiện. e Microservices: EDA thường được kết nối với microservices dé chia sẻ thông tin hiệu quả giữa các hệ thống được tách rời trên quy mô lớn. chronous"), có nghĩa là người gửi và người nhận không cần phải đợi lan nhau để.

    Hình 2.2: Các thành phần cơ bản của kiến trúc hướng sự kiện
    Hình 2.2: Các thành phần cơ bản của kiến trúc hướng sự kiện

    THUC

    Tính điểm cho mỗi địa chỉ IP

    Trước khi chi tiết hoá quá trình tính điểm cho các tiêu chí của từng địa chỉ IP, luận án sẽ giới thiệu một số khái niệm cơ bản được sử dụng để xây dung công thức tính điểm. Sau khi hoàn thành thông tin mong muốn, luận án thực hiện điểm chuyén đổi (er) (j là số thứ tự của tiêu chí được xem xét trong Bang 3.1 và i là số thứ. tự của IP trong tệp nhật ký) cho tất cả các tiêu chí của một địa chỉ IP theo các.

    Hình 3.2: Quá trình tiền xử lý dữ liệu để phat hiện tấn cong DDoS.
    Hình 3.2: Quá trình tiền xử lý dữ liệu để phat hiện tấn cong DDoS.

    Môi trường triển khai

    Phương pháp đề xuất đã triển khai và thực nghiệm trên cơ sở hạ tầng của hệ thống Shopbase và hoạt động tương đối ổn định. Kết quả thực nghiệm cho thấy, hệ thống cảnh báo của luận án xây dựng có tốc độ xử lý tương đối nhanh, đáp ứng nhu cầu xử lý dữ liệu theo thời gian thực.

    Hình 3.3: Mô hình kiến trúc của hệ thống phát hiện va cảnh báo tấn công DoS,
    Hình 3.3: Mô hình kiến trúc của hệ thống phát hiện va cảnh báo tấn công DoS,

    Tổng kết chương

    (tiêu chí xung quanh địa chỉ IP) từ các tệp nhật ký và xây dựng công thức tính. Đó là một trong những yếu tố quan trọng giúp giảm thiệt hại khi hệ thống bị tấn công mạng.

    Hình 3.7: Bang thống kê chi tiết các lô dữ liệu đã xử ly.
    Hình 3.7: Bang thống kê chi tiết các lô dữ liệu đã xử ly.

    CHO UNG DUNG WEB

    Phương pháp kiểm thử tự động

    Công cụ kiểm thử thâm nhập áp dụng các tương tác với ứng dụng Web cần kiểm thử để tìm chính sách tạo điều kiện phát hiện các lỗ hong hệ thống. Cung từ nút s; đến nút s; nếu trang s; có liên kết đến trang hoặc được chuyển hướng đến trang Sj.

    Hình 4.1: Kiến trúc của khung làm việc jFAT.
    Hình 4.1: Kiến trúc của khung làm việc jFAT.

    CO AND OT

      Từ kết quả các đường dẫn kiểm thử thu được của giai đoạn trên, trong giai đoạn tiếp theo này, luận án sẽ tiếp tục thực hiện công việc Xác định các ca kiểm thử để thực hiện tiến trình trong khung kiểm thử đề xuất ở Hình 4.1. Sau khi xây dựng được tập các ca kiểm thử, phương pháp đề xuất sẽ tiến hành kiểm thử tự động theo các bước: (i) Tao POM từ các ứng dung Web; (ii) Xâu dựng kịch bản test; (iii) Thực thi kịch bản kiểm thử; va (iv) Ghi nhật ky.

      Hình 4.3: Kết quả sinh đường dẫn kiểm thử.
      Hình 4.3: Kết quả sinh đường dẫn kiểm thử.

      THUC THI

      Phương pháp đề xuất

      Trong bối cảnh này, mối quan hệ nhân quả xác định rằng một sự kiện phải xảy ra với một sự kiện khác trong các ràng buộc về thời gian và sự xuất hiện của sự kiện đầu tiên là nguyên nhân gây ra sự kiện thứ hai. Tính đúng đắn của một hệ thong EBS có thể kiểm tra bằng cách chứng minh tat cả các sự kiện (evt;, evt;) có mối quan hệ nhân quả cr(evt;,evt;) diễn ra trước một thời điểm t (t <. current_ time), chứng phải tuân thủ đặc tả SP.

      Hình 5.1: Tổng quan phương pháp đề xuất.
      Hình 5.1: Tổng quan phương pháp đề xuất.

      Các thuật toán kiểm chứng

      Trong trường hợp này, thuật toán trả về kết quả đúng đắn (TRUE) vì không có sự kiện nào trong Sevt; cần được kiểm tra. e Giả sử thuật toán đưa ra kết quả đúng đắn cho tất cả các trường hợp, với. e Trong bước ba của thuật toán, ta kiểm tra xem có tồn tại một sự kiện evt;. trong tập hợp). Nếu thời điểm kiểm chứng được xác định là một thời điểm của sự kiện evt;(b&t tại evt;) đang diễn ra, thi chúng ta sẽ chưa có được thông tin về thời điểm sự kiện này sẽ kết thúc, vì vậy chưa thể kiểm chứng nếu theo dừi sự kiện này.

      Hình 5.2: evt; meets evt;.
      Hình 5.2: evt; meets evt;.

      KET LUẬN VÀ HƯỚNG PHÁT TRIEN

      Hướng phat triển

      International Conference on Contezt-Atuare Systems and Applications (ICCASA 2018), 01 bài tai hội nghị NAFOSTED Conference on Information and Computer Science (NICS 2022), 01 bài tai hội nghị 15th Asian Conference on Intelligent Information and Database Systems 2029 (ACIDS 2023) va 01 bai (thuộc nội dung Chương 5) được gửi ở tap chí Cybernetics and Information Technologies -CIT BAS, https://cit.iict.bas.bg/, (ISI/Scopus index) (accepted). Hanh-Phuc Nguyen, Hong-Anh Le, and Ninh-Thuan Truong, jFAT: An automation framework for web application testing, ICCASA 2018/ICTCC 2018, LNICST 266, pp.