Trong chương này, nhóm sẽ nêu ra một số kết luận về những giải pháp mà nhóm đã tìm hiểu và những kết quả đạt được qua quá trình thực nghiệm. Bên cạnh đó, những mặt hạn chế trong quá trình xây dựng hệ thống và thực nghiệm cũng sẽ được nhóm liệt kê tại chương này. Sau cùng, nhóm cũng nêu ra những hướng phát triển mà nhóm đề xuất cho khóa luận này nhằm giúp cải thiện kết quả tốt hơn.
5.1. Kết luận về mặt kiến thức
Khóa luận của nhóm là quá trình nghiên cứu kiến trúc của một ứng dụng web, những công nghệ web pho biến và cách có thé phát hiện được thông tin công nghệ đang được sử dụng bởi một website. Dựa vào đó, nhóm có thể biết được liệu website đó có nguy cơ tồn tại lỗ hổng hay không và đề xuất những giải pháp giúp quản trị website và các web developers có thé dé dáng áp dung và nâng cao tính bao mật và nâng cấp website nhằm loại bỏ những lỗ hồng bảo mật web có thé tồn tại,
giúp website an toàn hơn trước những cuộc tân công của tin tặc.
Qua quá trình thực nghiệm trên, nhóm có thể kết luận việc bảo mật thông tin công
nghệ website chưa thật sự được quan tâm ở Việt Nam. Không ít các website thuộc
nhiều lĩnh vực khác nhau, đặc biệt là những website của chính phủ, website cua ngân hàng, bệnh viện, trường học đều bị lộ thông tin công nghệ website được sử dụng và bất kỳ cá nhân nào đều cũng có thê tiếp cận thông tin đó một cách dễ dàng. Trong đó có một số website đã dé lộ sử dụng những công nghệ phiên bản cũ có thé tồn tại lỗ hỗng đã được public. Việc đảm bảo tất cả phần mềm ứng dung website được cập nhật là điều quan trọng trong việc giữ cho trang web tránh khỏi những nguy hiểm luôn luôn rình rap, vì khi lỗ hổng bao mật website được tim thay trong phần mềm ứng dụng, tin tặc sẽ chớp lấy thời cơ nhanh chóng cố gắng tận dụng chúng dé có thé tiến hành một chuỗi các cuộc tan công.
Đồng thời, qua quá trình thực nghiệm nhóm cũng nhận thấy những lỗ hồng ảnh hưởng tới bảo mật website cũng tồn tại nhiều trong các công nghệ Front-end. Việc bảo mật website thường bị bỏ qua phần đảm bảo an ninh cho phần giao diện Front-
90
end của website vì mọi người thường nghĩ rằng chỉ cần thực hiện tốt ở phần Back-
end thì mọi thứ sẽ được đảm bảo an toàn. Các dữ liệu của người dùng, các thông tin
nhạy cảm hay dữ liệu quan trọng đều được lưu trữ ở phía Back-end và các lập trình viên phải thực hiện việc bảo vệ dữ liệu này. Mặc dù dữ liệu có thể được bảo vệ một cách chặt chẽ ở phía Back-end nhưng Front-end là một trong những con đường tan công đầu tiên mà hacker tiếp cận tới website của nạn nhân, và đây cũng là con đường mà hacker có thé lay được những thông tin quan trọng trong website của nạn nhân nếu có được quyền truy cập.
Với hệ thống UITScan, người phát triển website có thé dé dàng phát hiện những công nghệ web đang tôn tại lỗ héng ở cả Front-end và Back-end. Từ đó, sử dụng những giải pháp bảo mật thông tin công nghệ mà nhóm đề xuất dé có thé nâng cấp
website của họ.
5.2. Kết luận về sản phẩm
Trong phiên ban này, hệ thống UITScan có khả năng:
- Quét qua một website và có thé phát hiện hầu hết những công nghệ chính được sử dụng dé phát triển website đó.
- Hién thị thông tin công nghệ web, thông tin lỗ hồng có thể tồn tại trong công nghệ
đó và đề xuất những giải pháp khắc phục.
- Công cụ Chrome Extension có khả năng nhận diện những công nghệ chính được
sử dụng bởi website một cách nhanh chóng.
- Cung cấp một số giải pháp ân thông tin công nghệ web, giúp nhà phát triển web có thể áp dụng và che giấu thông tin website của họ.
- Cung cấp một số giải pháp phòng tránh những lỗ hỗng bảo mật web phổ biến, giúp nhà phát triển dễ dàng nâng cao bảo mật website.
- Cung cấp số liệu thống kê chỉ tiết những công nghệ web được sử dụng nhiều nhất của từng danh mục, thuộc nhiều lĩnh vực khác nhau của 900 website có lượt truy cập nhiều nhất Việt Nam.
91
5.3. Hạn chế còn tồn tại
Trong quá trình thực nghiệm và đánh giá, nhóm rút ra một số hạn chế như sau:
- Hệ thống chưa có thể phát hiện được hoàn toàn tất cả công nghệ được một website
sử dụng.
- Những phương pháp đề xuất chưa thật sự đa dạng vì hiện những phương pháp chỉ giúp nâng cao độ an toàn cho website nhưng vẫn chưa chắc chắn được việc ngăn chặn hoàn toàn những cuộc tan công có quy mô và có chủ đích.
- Các phương pháp giúp che giấu thông tin về công nghệ chỉ mang tính chất tương đối, chưa đảm bảo ân hoàn toàn đối với tat cả công cụ phân tích.
- Thời gian và tài nguyên hạn chế dẫn đến quá trình thực nghiệm của nhóm bị giới hạn, chưa thé thực nghiệm với sỐ lượng website lớn hơn.
5.4. Hướng phát triển tương lai
Hiện tại, những công cụ quét và phân tích website không nhiều và đa phần là có tính phí duy trì rất cao. Vì vậy, một công cụ phân tích website và đề xuất những giải pháp nhằm bảo vệ website với giao diện đơn giản, dễ sử dụng là điều cần thiết.
Từ những hạn chế được nêu ở trên, nhóm có những đề xuất như sau nhằm phát triển
khóa luận:
- Hệ thống có thể kết hợp nhiều hơn những phương pháp nhận biết mới, khả năng phát hiện đa dạng tất cả công nghệ được sử dụng bởi nhiều website thuộc nhiều lĩnh
vực khác nhau.
- Tiếp tục nghiên cứu và nâng cấp bộ dữ liệu lỗ hồng. Cập nhật thêm nhiều thông tin về những công nghệ tôn tại lỗ hồng khác.
- Tiếp tục nghiên cứu thêm nhiều giải pháp đề xuất khác giúp người dùng có thé
nâng cao độ an toàn của website.
92
- Đầu tư thêm nhiều thời gian thực nghiệm và thực nghiệm trên số lượng lớn website để có thé có nhiều thông tin bao quát và nhiều dữ liệu thống kê hơn cho
người dùng tham khảo.
- Xây dựng thêm nhiều tinh năng bổ trợ giúp người sử dụng có thể có thêm nhiều thông tin về các công nghệ website, về những giải pháp bảo mật thông tin, trợ giúp
nhiêu hơn trong việc phát triên và nâng câp website.
93