102
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 1. Kết quả đạt đƣợc
Đứng trƣớc thực trạng, các hệ thống website thƣờng xuyên bị các hacker tấn công, gây thiệt hại không nhỏ trong thời gian quạ Nhu cầu đảm bảo về an toàn thông tin cho các ứng dụng web ngày càng trở nên cấp thiết. Luận văn của chúng tôi góp 1 phần vào việc đảm bảo an toàn cho các ứng dụng web.
Chúng tôi đã thu thập các nguy cơ mất an toàn thông tin đối với ứng dụng web. Từ việc phân tích cách thức xử lý của hệ thống trƣớc các nguy cơ này, tôi đã áp dụng kỹ thuật kiểm thử hộp trắng để xây dựng các ca kiểm thử an toàn thông tin. Mỗi chức năng của hệ thống, chúng tôi phân tích các rủi ro về an toàn thông tin mà chức năng có thể gặp phảị Từ đó, đƣa ra tập các ca kiểm thử tƣơng ứng với từng nguy cơ và từng chức năng của ứng dụng web.
Kết quả đạt đƣợc của luận văn là các tập các kiểm thử bảo mật thông tin có tính thực tế cao, có thể áp dụng để kiểm tra các nguy cơ mất an toàn thông tin đối với nhiều ứng dụng web. Dựa trên tập các ca kiểm thử này, chúng tôi còn xây dựng một công cụ hỗ trợ việc sinh các ca kiểm thử an toàn thông tin cho một ứng dụng web bất kỳ.
2. Hƣớng phát triển của đề tài
Cùng với việc phát triển bùng nổ của các ứng dụng web, các phần mềm trên thiết bị di động cũng ngày càng nhiềụ Những nguy cơ mất an toàn thông tin trên thiết bị di động cũng là một vấn đề cấp thiết. Bởi vậy, trong thời gian tới, tôi sẽ tiếp tục tìm hiểu các vấn đề về bảo mật thông tin trên ứng dụng di động, phân tích các vấn đề này để đƣa ra các trƣờng hợp kiểm thử nhằm cảnh báo và hạn chế tối đa các lỗ hổng bảo mật trên phần mềm di động.
TÀI LIỆU THAM KHẢO
Tiếng Việt
[1] Mạnh Vỹ (2014), “Mối đe dọa của tội phạm mạng công nghệ cao và chiến tranh mạng”, Tạp chí bưu chính viễn thông, tr.1.
[2] Đức Thiện (2013), “Chủ động trƣớc nguy cơ tấn công mạng”, Báo Hà Nội mới,
tr.1.
[3] Đinh Thị Thiên Anh (2011), Nghiên cứu kiểm thử bảo mật website, Luận văn Thạc sĩ, Trƣờng Đại học Đà Nẵng, tr.5,13.
[4] Nguyễn Thế Phục (2012), “Kĩ thuật tấn công CROSS-SITE SCRIPTING”, Thư viện khoa học, tr.1-2.
Tiếng Anh
[5] Jane Radatz, Chairperson (1990), IEEE standard glossary of software engineering
terminology, Universidad Nacional de Colombia, USẠ
[6] Ron Patton (2005), Sofware testing, Sams Publishing, the United States of
Americạ
[7] Paco Hope, Ben Waltber (2009), Web Security Testing Cookbook, O’Reilly Media, the United States of Americạ
[8] William G.J. Halfond, Jeremy Viegas, “Alessandro Orso (2010), A Classification of SQL Injection Attacks and Countermeasures”, College of Computing Georgia Institute of Technology, tr.2.
[9] Lieven Desmet, Thomas Heyman, Wim Maes, Wouter Joosen (2009), Browser Protection against Cross-Site Request Forgery, ACM, New York.
[10] HKSAR (2008), Web application security, The Government of the Hong
Khôngng Special Administrative Region, Hong Khôngng.
[11] Willem Burgers, Roel Verdult, Markhông van Eekelen (2012), Prevent Session Hijacking by Binding the Session to the Cryptographic Network Credentials, Institute
104
[12] Bhavna C.K. Nathani Erwin Adi (2012), Website Vulnerability to Session Fixation Attacks, School of Computer Science, Binus International, Bina Nusantara
University, Indonesiạ
[13] Lark Allen, Kelly Purcell (2009), “Encrypting Sensitive Data”, Mortgage Technology, tr.1-2.
[14] Jordan DelGrande (2007), “Web Application Username Enumeration”, Security Technology Science Pty Ltd, tr.3-5.
[15] David Evans, Yuchen Zhou (2010), “Why Aren’t HTTP-only Cookies More Widely Deployed?”, University of Virginia, tr.1-2.
[16] Susanna Bezold, Johanna Curiel, Jim Manico (2014), “Unvalidated Redirects and Forwards Cheat Sheet”, OWASP, tr.1-2.
[17] Dr. Ẹ Benoist (2012), Information Leakage and Improper Error Handling, IIG
University of Freiburg, Germanỵ
[18] Uwe Aickelin, Liming Wang, Xiuling Chang, Zhongjie Ren, Haichang Gao, Xiyang Liu (2007), Against Spyware Using CAPTCHA in Graphical Password Scheme, Software Engineering Institute Xidian University, UK.
[19] USG Office (2012), Strong Password Standard, USG Office of Information Security, UK.