GIẢI PHÁP KIỂM TRA VÀ CẢNH BÁO LỖI CÁC TRANG WEB TỰ ĐỘNG DỰA VÀO KẾT QUẢ QUÉT CỦA CÁC CÔNG CỤ QUÉT LỖI WEB

Phạm Duy Lộc, Phan Thị Thanh Nga

Tóm tắt


Ngày nay, có nhiều công cụ miễn phí kiểm tra bảo mật của các trang web một cách tự động đây là một điểm thuận lợi cho những người kiểm tra bảo mật. Nhưng ngược lại, những công cụ này cũng phát sinh ra các cảnh báo sai. Để giảm thiểu những cảnh báo sai này, chúng tôi đã phát triển một công cụ giúp đỡ những người làm bảo mật kiểm tra các cảnh báo bằng tay hoặc tự động với các kết quả kiểm tra chéo được thu thập từ các công cụ quét lỗi. Chúng tôi đặt tên cho công cụ này là PAT (Pen-Test Assistance Tool). PAT có thể lưu lại kinh nghiệm của những người đã kiểm tra bảo mật thành công trước đó để sử dụng về sau. PAT cũng có thể kiểm tra lỗ hổng bảo mật một cách tự động dựa vào bản báo cáo của các công cụ quét và cảnh báo lỗi web tự động cho nhà quản trị web qua email. Trong phiên bản đầu tiên của PAT, chúng tôi tập trung vào lỗi SQL Injection ở các trang web được lập trình bằng ngôn ngữ ASP.NET.

Từ khóa


PAT; SQL injection attacks; Web vulnerability scanner.

Toàn văn:

PDF

Các tài liệu tham khảo


Mihir Gandhi, JwalantBaria, “SQL INJECTION Attacks in Web Application”, International Journal of Soft Computing and Engineering (IJSCE), ISSN: 2231-2307, Volume-2, Issue-6, January (2013).

AtefehTajpour, Suhaimi Ibrahim, Mohammad Sharifi, “Web Application Security by SQL Injection DetectionTools”, IJCSI International Journal of Computer Science Issues, Vol. 9, Issue 2, No 3, March (2012).

Priyanka, Vijay Kumar Bohat, “Detection of SQL Injection Attack and Various Prevention Strategies”, International Journal of Engineering and Advanced Technology (IJEAT) ISSN: 2249 – 8958, Volume-2, Issue-4, April (2013).

Chad Dougherty, “Practical Identification of SQL Injection Vulnerabilities”, United States Computer Emergency Readiness Team (US-CERT), October 25, (2012).

Inyong Lee , Soonki Jeong Sangsoo Yeoc, Jongsub Moond, “A novel method for SQL injection attack detection based on removing SQL query attribute”, Journal Of mathematical and computer modeling, Elsevier (2011).

Z. Su and G. Wassermann “The essence of command injection attacks in web applications”, In ACM Symposium on Principles of Programming Languages, Jan. (2006).

S. Thomas, L. Williams, and T. Xie, “On automated prepared statement generation to remove SQL injection vulnerabilities”, Information and Software Technology 51, 589–598, (2009).

K. Ahmad, J. Shekhar, and K.P. Yadav, “A Potential Solution to Mitigate SQL Injection Attack” VSRD Technical & Non-Technical Journal, 145-152, Vol. I, (2010).

L. Kishori and K. Sunil, “Detection And Prevention of SQL-Injection Attacks of Web Application Using Comparing Length of SQL Query”, ISSN: 2278- 5140, Volume-1, Issue February, (2012).

Wikipedia, http://en.wikipedia.org/wiki/SQL_injection

Acunetix Web Vulnerability Scanner, http://www.acunetix.com

Netsparker Web Vulnerability Scanner, www.mavitunasecurity.com

Nexpose, http://www.rapid7.com/products/nexpose

Retina Web Security Scanner, www.beyondtrust.com

Nessus Vulnerability Scanner, www.tenable.com

OWASP Zed Attack Proxy Project, www.owasp.org




DOI: http://dx.doi.org/10.37569/DalatUniversity.6.2.42(2016)

Các bài báo tham chiếu

  • Hiện tại không có bài báo tham chiếu.


Copyright (c) 2016 Phạm Duy Lộc, Phan Thị Thanh Nga

Creative Commons License
Công trình này được cấp phép theo Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Văn phòng Tạp chí Đại học Đà Lạt
Nhà A25 - Số 1 Phù Đổng Thiên Vương, Đà Lạt, Lâm Đồng
Email: tapchikhoahoc@dlu.edu.vn - Điện thoại: (+84) 263 3 555 131

Creative Commons License
Trên nền tảng Open Journal Systems
Thực hiện bởi Khoa Công nghệ Thông tin