Адаптивна методологія розрахунку кількісного показника стану захищеності вебзастосунків

Автор(и)

  • О.А. Ревнюк Тернопільський національний технічний університет імені Івана Пулюя, м. Тернопіль, Україна https://orcid.org/0009-0005-0511-5354
  • Н.В. Загородна Тернопільський національний технічний університет імені Івана Пулюя, м. Тернопіль, Україна https://orcid.org/0000-0002-1808-835X
  • О.С. Улічев Центральноукраїнський національний технічний університет, м. Кропивницький, Україна https://orcid.org/0000-0003-3736-9613

DOI:

https://doi.org/10.32515/2664-262X.2024.10(41).2.3-10

Ключові слова:

web application security, quantitative assessment, OWASP ASVS, evaluation criteria, security assessment

Анотація

Розроблена методологія оцінки захищеності вебзастосунків враховує різні аспекти безпеки на основі вимог OWASP ASVS, з яких сформовано релевантну вибірку. Розроблено структурований набір критеріїв з чіткими правилами оцінювання кожної вимоги. Введено систему вагових коефіцієнтів для критеріїв та вимог, що дозволяє адаптовуватись під архітектуру, функціонал та вимоги щодо захисту вебсайту. Підхід дозволяє отримувати кількісні метрики виконання кожної вимоги, розділу та інтегровану оцінку безпеки сайту.

Біографії авторів

О.А. Ревнюк, Тернопільський національний технічний університет імені Івана Пулюя, м. Тернопіль, Україна

аспірант

Н.В. Загородна, Тернопільський національний технічний університет імені Івана Пулюя, м. Тернопіль, Україна

доцент, кандидат технічних наук

О.С. Улічев, Центральноукраїнський національний технічний університет, м. Кропивницький, Україна

кандидат технічних наук

Посилання

Список літератури

1. Zahid A. Vulnerability detection and prevention: an approach to enhance cybersecurity. MS Computer Science. 2024. DOI: 10.13140/RG.2.2.31687.71841

2. Humayun. M., Niazi, M., Jhanjhi. N. Cyber Security Threats and Vulnerabilities: A Systematic Mapping Study / M. Humayun et al. Arabian Journal for Science and Engineering. 2020. T. 45(4). 3171–3189. DOI: 10.1007/s13369-019-04319-2.

3. Asaduzzaman M. Security Aspects of ePayment System and Improper Access Control in Microtransactions. EasyChair. 2020.

4. 2024 Data Breach Investigations Report. Verizon Business. URL: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf.

5. Lella I., Theocharidou M., Magonara E. Enisa threat landscape 2024. ENISA, 2024. 130 с.

6. Ravindran U., Potukuchi R. V. A review on web application vulnerability assessment and penetration testing. Review of Computer Engineering Studies. 2022. Т. 9, № 1. С. 1–22. DOI: 10.18280/rces.090101

7. Pentest monkey. URL: https://pentestmonkey.net/

8. I. Yaqoob, S.A. Hussain, S. Mamoon. Penetration Testing and Vulnerability Assessment. Journal of Network Communications and Emerging Technologies (JNCET). 2017. Т. 7, № 8.

9. N. Rane, A. Qureshi. Comparative Analysis of Automated Scanning and Manual Penetration Testing for Enhanced Cybersecurity. 12th International Symposium on Digital forensics and security : : матеріали конференції, м. San Antonio, 29 квіт. 2024 р. San Antonio, 2024.

10. OWASP Foundation, the Open Source Foundation for Application Security. URL: https://owasp.org

11. National Institute of Standards and Technology. URL: https://www.nist.gov

12. Cyber Security. URL: https://www.sans.org/emea

13. A. van der Stock, D. Cuthbert, J. Manico. OWASP Application Security Verification Standard 4.0.3. 2021. 71 с.

14. CWE - Common Weakness Enumeration. URL: https://cwe.mitre.org.

References

1. Zahid A. (2024) Vulnerability detection and prevention: an approach to enhance cybersecurity. MS Computer Science. https://doi.org/10.13140/RG.2.2.31687.71841

2. Humayun. M., Niazi. M., & Jhanjhi. N. (2020). Cyber Security Threats and Vulnerabilities: A Systematic Mapping Study / M. Humayun et al. Arabian Journal for Science and Engineering. (Vol. 45(4)). (pp 3171–3189). https://doi.org/10.1007/s13369-019-04319-2.

3. Asaduzzaman M. (2020). Security Aspects of ePayment System and Improper Access Control in Microtransactions. EasyChair.

4. (2024) Data Breach Investigations Report. Verizon Business. https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf.

5. Lella I., Theocharidou M., Magonara E. (2024). Enisa threat landscape. ENISA, 2024.

6. Ravindran U., Potukuchi R. V. (2022). A review on web application vulnerability assessment and penetration testing. Review of Computer Engineering Studies. (Vol. 9(1)). https://doi.org/ 10.18280/rces.090101

7. Pentest monkey. https://pentestmonkey.net/

8. I. Yaqoob, S.A. Hussain, & S. Mamoon. (2017) Penetration Testing and Vulnerability Assessment . Journal of Network Communications and Emerging Technologies (JNCET). 2017. (Vol. 7(8)).

9. N. Rane, & A. Qureshi. (2024). Comparative Analysis of Automated Scanning and Manual Penetration Testing for Enhanced Cybersecurity. 12th International Symposium on Digital forensics and security : Conference. San Antonio.

10. OWASP Foundation, the Open Source Foundation for Application Security. https://owasp.org

11. National Institute of Standards and Technology. https://www.nist.gov

12. Cyber Security Training. https://www.sans.org/emea

13. A. van der Stock, D. Cuthbert, & J. Manico. (2021). OWASP Application Security Verification Standard 4.0.3.

14. CWE - Common Weakness Enumeration. https://cwe.mitre.org.

##submission.downloads##

Опубліковано

2024-12-23

Як цитувати

Ревнюк, О., Загородна, Н., & Улічев, О. (2024). Адаптивна методологія розрахунку кількісного показника стану захищеності вебзастосунків. Центральноукраїнський науковий вісник. Технічні науки, (10(41).2), 3–10. https://doi.org/10.32515/2664-262X.2024.10(41).2.3-10

Номер

№ 10(41).2 (2024): Центральноукраїнський науковий вісник. Технічні науки

Розділ

Комп'ютерні науки

Ліцензія

Авторське право (c) 2024 О.А. Ревнюк, Н.В. Загорода, О.С. Улічев

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.

Статті цього автора (авторів), які найбільше читають