Thống kê số lƣợng lỗ hổng phát hiện theo mức độ nghiêm trọng

Một phần của tài liệu Nghiên cứu một số công cụ để đánh giá sản phẩm an toàn bảo mật thông tin (Trang 88)

89 3.5.3. Thống kê các lỗi phổ biến

Hình 3.25: Thống kê các lỗi thƣờng gặp

Kết chƣơng: Nhƣ vậy, trong chƣơng này, tác giả đã đề xuất đƣợc công cụ và xây dựng đƣợc quy trình để đánh giá cổng thông tin điện tử. Trên cơ sở đó, đã đánh giá đƣợc quy trình đề xuất về mặt ƣu nhƣợc điểm. Từ đó cũng đã triển khai và áp dụng đƣợc trong thực tiễn, và cũng đã thống kê, báo cáo đƣợc kết quả áp dụng này.

90

KẾT LUẬN

1. Nghiên cƣ́u

Trong quá trình tìm hiể u, em đã nghiên cƣ́u đƣợc cơ bản về lý t huyết an toàn bảo mật thông tin. Trong luận văn, em cũng đã nghiên cứu, đánh giá đƣợc thƣ̣c tra ̣ng vấn đề mất an ninh an toàn tại việt nam cũng nhƣ trên thế giới . Do đó thấy đƣợc tính bức thiết của việc thẩm định, đánh giá sản phẩm an toàn bảo mật thông tin, cụ thể là cổng thông tin điện tử đang là vấn đề nóng và cần đƣợc quan tâm. Qua đó, tìm hiểu về các văn bản pháp lý, các tiêu chuẩn đánh giá sản phẩm an toàn thông tin cũng nhƣ hệ thống các công cụ đánh giá an ninh an toàn cổng thông tin điện tử.

Ngoài ra, luận văn cũng tìm hiểu đƣợc các lỗ hổng cơ bản trong các wesbite, cụ thể là nguyên nhân, cách nhận biết và cách phòng tránh các lỗ hổng này. Đặc biệt, em đã nghiên cứu về các kỹ thuật, công cụ phân tích, dò quét để phát hiện lỗ hổng trong cổng thông tin điện tử.

2. Đóng góp

Dựa trên các công cụ và tiêu chuẩn đã nghiên cứu, luận văn có đóng góp các nội dung sau

 Đã so sánh đƣợc các công cụ đánh giá cổng thông tin điện tử. Trên cơ sở đó đề xuất sử dụng công cụ Acunetix để đánh giá an ninh an toàn cổng thông tin điện tử

 Xây dựng, đề xuất Quy trình triển khai, thẩm định, đánh giá cổng thông tin điện tử. Đồng thời chỉ rõ đƣợc mục đích, quy trình thực hiện cũng nhƣ đánh giá đƣợc ƣu điểm của quy trình đề xuất

 Áp dụng thực tiễn

- Dựa trên công cụ và quy trình đề xuất em đã áp dụng vào trong thực tiễn để đánh giá cổng thông tin điện tử của Đại học công nghệ, cổng thông tin điện tử của công ty đang làm việc.

- Đặc biệt, quy trình và công cụ này đã đƣợc áp dụng để test bảo mật các website là dự án của công ty em trƣớc khi triển khai.

- Hỗ trợ và giúp ích rất nhiều cho công việc của tác giả với vai trò là nhân viên tester của một công ty chuyên cung cấp phần mềm trên nên web vì lĩnh vực test bảo mật là lĩnh vực mới và đƣợc nhiều ngƣời quan tâm

3. Hƣớng phát triển trong tƣơng lai

Do mới chỉ nghiên cứu trong một thời gian chƣa lâu, nên em mới chỉ nghiên cứu và tìm hiểu đƣợc các công cụ mà chƣa xây dựng đƣợc một công cụ mới

Trong thời gian tới, em sẽ cố gắng xây dựng một công cụ để dò quét cổng thông tin điện tử và áp dụng đƣợc nó trong thực tiễn công việc

Ngoài ra, công cụ và quy trình đề xuất vẫn chƣa đƣợc áp dụng rộng rãi nhƣ một quy trình chuẩn. Trong tƣơng lai, em mong muốn quy trình mà mình đề xuất sẽ đƣợc sử

91

dụng nhƣ một quy trình chung trong quá trình triển khai, đánh giá test bảo mật cổng thông tin điển tử.

92

TÀI LIỆU THAM KHẢO Tiếng Anh

1. Gary Michael Wassermann (2008), Techniques and Tools for Engineering Secure

Web Applications, Master‟s Thesis, Computer Science, University of California,

pp.62

2. Shruti Bangre, Alka Jaiswal (2012), “SQL Injection Detection and Prevention

Using Input Filter Technique”, International Journal of Recent Technology and

Engineering (IJRTE), Vol. 1, pp. 145 – 149

3. Ari Takanen, Jared DeMott, Charlie Miller(2008) “Fuzzing for Software Security

Testing and Quality Assurance”, ARTECH HOUSE, INC, pp.31.

4. G. T. Buehrer, B. W. Weide, and P. A. G. Sivilotti(2005), “ Using parse tree validation to prevent SQL injection attacks”. In Proceedings of the 5th International Workshop on Software Engineering and Middleware SEM, pages 106-113.

5. Debasish Das, Utpal Sharma & D.K. Bhattacharyya (2010), “An Approach to Detection of SQL Injection Attack Based on Dynamic Query Matching”, International

Journal of Computer Applications, Volume 1, No. 25, pp. 28 – 33

6. Ogheneovo, E. E. and Asagba, P. O. “A Parse Tree Model for Analyzing And Detecting SQL Injection Vulnerabilities”. Department of Computer Science, University of Port Harcourt, Nigeria, pp. 36.

Tiếng Việt

7. PGS.TS Trịnh Nhật Tiến (2007), Giáo trình an toàn dữ liệu, Hà Nội, tr 13-16. 8. Nguyễn Thuý Hồng (2013), “Phát hiện và cảnh báo lỗ hổng bảo mật sql injection trong ứng dụng web”. Luận văn Thạc sĩ, Trƣờng Đại học Công nghệ, Đại học Quốc gia Hà nội, tr.35,40-41.

9. Doãn Đình Việt(2013), “Xây dựng hệ thống phát hiện lỗ hổng an ninh website”. Đồ án tốt nghiệp Đại học, Trƣờng đại học Bách khoa Hà nội, tr.48-49.

Một phần của tài liệu Nghiên cứu một số công cụ để đánh giá sản phẩm an toàn bảo mật thông tin (Trang 88)

Tải bản đầy đủ (PDF)

(92 trang)