1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Дисертації та автореферати
  3. 122 Комп’ютерні науки
Utilizza questo identificativo per citare o creare un link a questo documento: http://elartu.tntu.edu.ua/handle/lib/49046
Titolo: Розробка інформаційної системи оцінювання якості захисту вебдодатків
Titoli alternativi: Development of an Information System for Evaluating Web Application Security Quality
Autori: Ревнюк, Олександр Андрійович
Revniuk, O.A.
Affiliation: Тернопільський національний технічний університет імені Івана Пулюя, Україна
Bibliographic description (Ukraine): Ревнюк О.А. Розробка інформаційної системи оцінювання якості захисту вебдодатків : дис. ... доктора філософії : 122. Тернопіль, 2025. 173 с.
Data: 2025
Submitted date: 2025
Date of entry: 25-giu-2025
Editore: ТНТУ імені Івана Пулюя, 2025
Country (code): UA
Place of the edition/event: Тернопіль
Science degree: доктор філософії
Level thesis: докторська дисертація
Code and name of the specialty: 122 Комп’ютерні науки
Institution defense: Тернопільський національний технічний університет імені Івана Пулюя
Supervisor: Загородна, Наталія Володимирівна
UDC: 004.056.5:004.031.42
Parole chiave: інформаційна система
інформаційні технології
безпека
програмне забезпечення
веб-додаток
життєвий цикл програмного продукту
якість ПЗ
вимоги
критерії
стандарти
метрики
тестування
оцінювання
вразливості
ризики
заходи безпеки
автентифікація
нечітка логіка
information system
information technologies
security
software
web-application
software lifecycle
software quality
requirements
criteria
standards
metrics
testing
assessment
vulnerabilities
risks
security controls
authentication
fuzzy logic
Number of pages: 173
Abstract: Ревнюк О.А. Розробка інформаційної системи оцінювання якості захисту вебдодатків. – Кваліфікаційна наукова праця на правах рукопису. Дисертація на здобуття наукового ступеня доктора філософії за спеціальністю 122 «Комп’ютерні науки». – Тернопільський національний технічний університет імені Івана Пулюя, Тернопіль, 2025. Підготовка здійснювалась на кафедрі кібербезпеки Тернопільського національного технічного університету імені Івана Пулюя Міністерства освіти і науки України. Дисертація присвячена вирішенню науково-практичної задачі – розроблення інформаційної технології кількісної оцінки рівня захищеності вебдодатків з урахуванням індивідуальних характеристик проєкту. У вступі обґрунтовано актуальність теми дисертації, зазначено зв'язок роботи з науковими напрямками та науково-дослідними концепціями, сформульовано мету і задачі дослідження, визначено об'єкт, предмет і методи дослідження, показано наукову новизну та практичне значення отриманих результатів, наведено інформацію про практичне використання, апробацію результатів та їх висвітлення у публікаціях. У першому розділі проведено аналіз сучасних вебдодатків як багатокомпонентних систем у контексті життєвого циклу розробки програмного забезпечення (ПЗ). Здійснено порівняльний аналіз традиційних та ітеративних моделей життєвого циклу ПЗ, що дало змогу виявити принципові обмеження традиційних підходів та встановити переваги ітеративних моделей для безперервної інтеграції безпекових практик. Аналіз відкритих статистичних даних дозволив встановити пряму залежність між зростанням архітектурної складності вебдодатків та збільшенням кількості потенційних векторів атак і системних вразливостей, що дало змогу ідентифікувати основні категорії загроз вебсайтів. Досліджено концепцію Secure Development Lifecycle, в рамках якої проаналізовано існуючі методи й засоби тестування безпеки, що дало змогу ідентифікувати їхні обмеження у виявленні вразливостей проєктування та бізнес-логіки, а також встановити відсутність можливості обчислення комплексної кількісної оцінки рівня захищеності. У другому розділі досліджено проблему суб'єктивності експертних оцінок та відсутності уніфікованих кількісних метрик у задачах оцінювання безпеки вебдодатків, що дало змогу обґрунтувати необхідність розробки нових підходів до об'єктивізації процесів оцінювання захищеності. На основі аналізу існуючих міжнародних галузевих стандартів та традиційних методів тестування безпеки встановлено їхню неспроможність обчислити інтегральний показник захищеності вебдодатків. Вперше запропоновано метод кількісної оцінки захищеності вебдодатків на основі структурного аналізу та адаптивного відбору вимог стандарту OWASP ASVS. Для формалізації відібраних вимог розроблено критерії оцінювання, що дало змогу створити систематизований підхід до кількісного вимірювання рівня безпеки. Запропонований метод передбачає введення коефіцієнтів важливості для вимог та критеріїв з урахуванням архітектурних, функціональних та бізнес-особливостей вебдодатку. Застосування апарату нечіткої логіки для визначення коефіцієнтів важливості дало змогу мінімізувати суб'єктивність експертних суджень та підвищити точність оцінювання. У третьому розділі проведено експериментальне дослідження рівня безпеки вебдодатку на прикладі спеціалізованого навчального середовища з попередньо вбудованими вразливостями, що дало змогу на практиці оцінити розроблений адаптивний метод кількісної оцінки захищеності та обґрунтувати його кореляцію з результатами виявлених критичних вразливостей у незалежних дослідженнях. Отримала подальший розвиток концепція використання апарату нечіткої логіки для підвищення точності та об'єктивності експертного оцінювання вагових коефіцієнтів через механізми фазифікації, узгодження думок експертів та дефазифікації, що дало змогу формалізувати суб'єктивні судження, мінімізувати вплив індивідуальних упереджень та забезпечити математично обґрунтовану основу для встановлення коефіцієнтів важливості. У четвертому розділі на основі розробленого адаптивного методу спроєктовано архітектурну та логічну модель інформаційної системи кількісного 4 оцінювання рівня захищеності вебдодатків. Розроблено інформаційну систему кількісної оцінки безпеки, яка спрощує процес перевірки на відповідність стандарту OWASP ASVS та забезпечує прозорість і відтворюваність результатів з можливістю зміни, у разі потреби, не лише оцінок, а й коефіцієнтів важливості, встановлених за замовчуванням. Розроблена архітектура системи з модульним розділенням функціональних компонентів забезпечує високу фективність експертного аналізу та супроводу вебдодатків, що дало змогу здійснити практичну апробацію розробленого методу кількісної оцінки захищеності вебдодатків
Revniuk O.A. Development of an Information System for Evaluating Web Application Security Quality. – Qualifying scientific work as a manuscript. Dissertation for obtaining the degree of Doctor of Philosophy in specialty 122 "Computer Sciences". – Ternopil Ivan Puluj National Technical University, Ternopil, 2025. The preparation was carried out at the Department of Cybersecurity of Ternopil Ivan Puluj National Technical University of the Ministry of Education and Science of Ukraine. Content of the abstract. The dissertation is devoted to solving a scientific-practical problem – development of information technology for quantitative assessment of web application security level taking into account individual project characteristics. The introduction substantiates the importance of the dissertation topic, indicates the connection of the work with scientific directions and research concepts, formulates the purpose and objectives of the research, defines the object, subject and research methods, shows the scientific novelty and practical significance of the obtained results, provides information about practical use, approbation of results and their coverage in publications. The first chapter analyzes modern web applications as multi-component systems in the context of the software development lifecycle (SDLC). A comparative analysis of traditional and iterative SDLC models was conducted, which allowed identifying fundamental limitations of traditional approaches and establishing advantages of iterative models for continuous integration of security practices. Analysis of open statistical data allows to establish a direct connection between the growth of web application architectural complexity and the increase in the number of potential attack vectors and system vulnerabilities, which allowed identifying main categories of information security threats. The Secure Development Lifecycle concept was studied and existing security testing methods and tools were analyzed, which allowed to identify their limitations in detecting design and business logic vulnerabilities, as well as to establish the absence of comprehensive quantitative security level assessment capabilities. The second chapter investigated the problem of subjectivity in expert assessments and the lack of unified quantitative metrics on the problems of web application security evaluation , which allowed substantiating the need to develop new approaches to objectifying security assessment processes. Based on analysis of existing international standards and traditional security testing methods the inability to provide an integral security indicator was established. For the first time, an methodology for quantitative web application security assessment was suggested based on structural analysis and adaptive selection of OWASP ASVS standard requirements. To formalize selected requirements evaluation criteria were developed. This allowed creating a systematized approach to quantitative security level measurement. The proposed methodology introduces the importance coefficients for requirements and criteria, taking into account architectural, functional and business features of the web application. Application of fuzzy logic apparatus to determine the imporatance coefficient allowed minimizing subjectivity of expert judgments and improving assessment accuracy. The third chapter conducted experimental research on web application security level using a specialized educational environment with pre-implemented vulnerabilities, which allowed confirming practical applicability of the developed adaptive quantitative security assessment methodology and substantiating its correlation with results of identified critical vulnerabilities in different studies. The concept of using fuzzy logic apparatus to improve accuracy and objectivity of expert assessment of weight coefficients through fuzzification mechanisms, expert opinion coordination and defuzzification was further developed, which allowed formalizing subjective judgments, minimizing the influence of individual biases and providing a mathematically substantiated basis for quantitative measurement of security parameters. The fourth chapter, based on the developed adaptive methodology, performed design of architectural and logical models of an information system for quantitative assessment of web application security level with a simplified security coefficient calculation process. An information system for quantitative security assessment was developed, which simplifies the process of checking compliance with the OWASP ASVS standard and ensures transparency and reproducibility of results, which allowed conducting practical modeling of corresponding information-technological complexes. The designed system architecture with modular separation of functional components ensures high efficiency in the context of expert analysis and web resource support, which allowed practical approbation of the developed methodology for quantitative web application security assessment
Content: Перелік скорочень і термінів ...13 Вступ ...16 Розділ 1. ПЕРЕДУМОВИ ФОРМУВАННЯ ПІДХОДІВ ДО ОЦІНЮВАННЯ БЕЗПЕКИ ВЕБДОДАТКІВ ...21 1.1. Структура вебдодатків та вплив моделей SDLC на безпеку програмного забезпечення ...21 1.1.1. Структура клієнт-серверної взаємодії у сучасних вебдодатках ...21 1.1.2. Основні етапи та особливості SDLC для вебдодатків ...22 1.1.3. Традиційні моделі життєвого циклу розробки програмного забезпечення для вебдодатків ...25 1.2 Аналіз розповсюджених вразливостей вебдодатків за статистичними даними ...29 1.3 Огляд сучасних підходів до оцінювання безпеки вебдодатків ...33 1.4 Інтеграція концепції Secure Development Lifecycle у процес забезпечення інформаційної безпеки вебдодатків ...38 1.5 Відомі методи та засоби тестування...44 1.6 Висновок до розділу 1 ...47 Розділ 2. ТЕОРЕТИКО-МЕТОДИЧНЕ ОБҐРУНТУВАННЯ ТА АПАРАТ КІЛЬКІСНОГО ОЦІНЮВАННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ВЕБДОДАТКІВ 49 2.1 Проблематика формалізації вимог безпеки та ризики суб’єктивності в оціночних процедурах...49 2.2.Структурний аналіз OWASP ASVS: рівні верифікації, критерії відповідності, практичні сценарії застосування ...53 2.3 Розробка системи критеріїв для оцінки вимог безпеки вебдодатків на основі стандарту безпеки ASVS ...59 2.4. Адаптивний метод кількісної оцінки захищеності вебдодатків ...75 2.5 Оцінка та узгодження коефіцієнтів важливості ...80 2.5.1 Елементи теорії нечітких множин ...82 2.5.2 Фазифікація оцінок експертів ...86 2.5.3 Узгодження оцінок експертів ...87 2.5.4 Етап дефазифікації ...90 2.6 Висновок до розділу 2 ...91 Розділ 3. ВЕРИФІКАЦІЯ ЕФЕКТИВНОСТІ АДАПТИВНОГО МЕТОДУ КІЛЬКІСНОЇ ОЦІНКИ ЗАХИЩЕНОСТІ ВЕБДОДАТКІВ ТА ЙОГО РЕАЛІЗАЦІЯ НА ПРИКЛАДІ ЕЛЕКТРОННОЇ КОМЕРЦІЇ ...93 3.1 Експериментальне дослідження рівня безпеки вебдодатку eCommerce ...93 3.1.1 Загальний аналіз "OWASP Juice Shop" як об’єкту дослідження ...93 3.1.2 Оцінка безпеки вебдодатку без врахування коефіцієнтів важливості ... 99 3.1.3 Оцінка безпеки вебдодатку з врахування коефіцієнтів важливості ...108 3.1.4 Порівняльний аналіз двох підходів ...118 3.2 Використання нечіткої логіки для підвищення точності експертного оцінювання безпекових критеріїв ...120 3.3 Висновок до розділу 3 ...125 Розділ 4. ПРАКТИЧНА РЕАЛІЗАЦІЯ СИСТЕМИ КІЛЬКІСНОГО ОЦІНЮВАННЯ ЯКОСТІ ЗАХИЩЕНОСТІ ВЕБДОДАТКІВ ...127 4.1. Проєктування та реалізація архітектурної і логічної моделі інформаційної системи...127 4.2. Вибрані технології для реалізації безпечного вебдодатку ...145 4.3. Висновки до розділу 4 ...147 ВИСНОВКИ ...149 ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ ...151 ДОДАТКИ Додаток А. Список публікацій здобувача за темою дисертації та відомості про апробацію результатів дисертаційної роботи ...161 Додаток Б. Акти впровадження ...163 Додаток В. Акти впровадження ...164 Додаток Г. Акти впровадження ...165 Додаток Д. Список відібраних вимог ...166
URI: http://elartu.tntu.edu.ua/handle/lib/49046
Copyright owner: © Ревнюк Олександр Андрійович, 2025
References (International): 1. Wakil K., N.A. D. Extracting the Features of Modern Web Applications based on Web Engineering Methods. International Journal of Advanced Computer Science and Applications. 2019. Vol. 10, no. 2. URL: https://doi.org/10.14569/ijacsa.2019.0100209.
2. Wakil K., Jawawi D. N. A. Extensibility Interaction Flow Modeling Language Metamodels to Develop New Web Application Concerns. Kurdistan Journal of Applied Research. 2017. Vol. 2, no 3. С. 172–177. URL: https://doi.org/10.24017/science.2017.3.23.
3. Wakil K., Abang J. D. N. Model Driven Web Engineering: A Systematic Mapping Protocol. ISCI 2014 -- IEEE Symposium on Computers & Informatics, Jan. 5, 2014.
4. PostgreSQL documentation. Chapter 53. Frontend/Backend Protocol. URL: https://www.postgresql.org/docs/current/protocol.html (access date: 08.05.2023).
5. Sommerville I. Software Engineering. Tenth Edition. 10th. Courier Westford in the United States of America. 2016. 812 с.
6. M. I. H. Software Development Life Cycle (SDLC) Methodologies for Information Systems Project Management. International Journal For Multidisciplinary Research. 2023. Vol. 5, no 5. URL: https://doi.org/10.36948/ijfmr.2023.v05i05.6223.
7. Humble J., Farley D. Continuous Delivery: Reliable Software Releases Build through, Test, and Deployment Automation. Addison-Wesley Professional, 2011. 464 p. ISBN 978‐0‐321‐60191‐9.
8. Rapid Web Development Life Cycle: A Structured Methodology for Web Application Development / R. Kumar Das et al. International Journal of Applied Engineering Research. 2015. Vol. 10, iss. 16.
9. Mitigating Software Vulnerabilities through Secure Software Development with a Policy-Driven Waterfall Model / S. Hussain et al. Journal of Engineering. 2024. P. 1–15. URL: https://doi.org/10.1155/2024/9962691.
10. Abdulrazeg A. A., Norwawi N. M., Basir N. Extending V-model practices to support SRE to build secure web application. 2014 International Conference on Advanced Computer Science and Information System, Jakarta, Indonesia, 18–19 Oct. 2014. IEEE, 2015. ISBN 978‐1‐4799‐8075‐8. URL: https://doi.org/10.1109/ICACSIS.2014.7065838.
11. Sathio S. A., Farah Siddiqui I., Arain Q. A. A Secure Software Specification Development Strategy for Enterprises : A Case Study Approach. International Journal of Scientific Research in Computer Science, Engineering and Information Technology. 2021. pp. 260–266. ISSN: 2456-3307. URL: https://doi.org/10.32628/cseit217155 .
12. Kasım Ö. Agile Software Development with Secure and Scrum-Centric Approach. AJIT-e: Academic Journal of Information Technology. 2024. Vol. 15, no 4. pp. 292–308. URL: https://doi.org/10.5824/ajite.2024.04.002.x.
13. Thakur A., Singh D., Maurya H. C. A Survey on Incremental Software Development Life Cycle Model. International Journal of Engineering Technology and Computer Research (IJETCR). 2013. Vol. 3, iss. 1. P. 102–16. ISSN 2348‐2117.
14. Risks of rapid application development / R. Agarwal et al. Communications of the ACM. 2000. Vol. 43. no 11es. p. 1. URL: https://doi.org/10.1145/352515.352516.
15. 2023 Hacked Website & Malware Threat Report / B. Martin et al. ; ed. R. MacLeod. Sucuri Inc, 2024. 36 p. URL: https://sucuri.net/wp- content/uploads/2024/06/2023-Hacked-Website-Malware-Threat-Report.pdf (access date: 17.08.2023).
16. Usage Statistics and Market Share of Content Management Systems, June 2025. W3Techs - extensive and reliable web technology surveys. URL: https://w3techs.com/technologies/overview/content_management (access date: 17.08.2023).
17. Aldya A. P., Sutikno S., Rosmansyah Y. Measuring effectiveness of control of information security management system based on SNI ISO/IEC 27004: 2013 standard. IOP Conference Series: Materials Science and Engineering. 2019. Vol. 550, p. 012020. URL: https://doi.org/10.1088/1757-899x/550/1/012020.
18. Lundholm K., Hallberg J., Granlund H. Design and Use of Information Security Metrics Application of the ISO/IEC 27004 Standard. Stockholm : FOI – Swedish Defence Research Agency. 2011. p 52.
19. ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection – Information security controls. Replaces ISO/IEC 27002:2013/Cor 2:2015. 2022.
20. Kazuhiro E., Motoei A., Komiyama T. Introduction of Quality Requirement and Evaluation Based on ISO/IEC SQuaRE Series of Standard. Communications in Computer and Information Science, Springer-Verlag Berlin Heidelberg, Germany. Springer-Verlag Berlin Heidelberg, 2013. P. 94–101. URL: https://doi.org/10.1007/978-3-642-35795- 4_12.
21. Buccafurri F., Fotia L., Furfaro A. An analytical processing approach to supporting cyber security compliance assessment. SIN '15: Proceedings of the 8th International Conference on Security of Information and Networks. 2015. pp. 46–53. URL: https://doi.org/10.1145/2799979.2800007.
22. Payment Card Industry (PCI) Data Security Standard. 2017.
23. Ю. Войчур, Д. Медзатий. Метод аналізу вимог до програмного забезпечення на предмет пошуку значень атрибутів якості. Вимірювальна та обчислювальна техніка в технологічних процесах. Міжнародний науково-технічний журнал «Вимірювальна та обчислювальна техніка в технологічних процесах». 2024. №1. pp.146-151. ISSN2219-9365. URL: https://doi.org/10.31891/2219-9365-2024-
24. Hovorushchenko T., Medzatyi D., Voichur Yu., Lebiga M. Method for forecasting the level of software quality based on quality attributes. Journal of Intelligent & Fuzzy Systems. 2023. vol. 44, no. 3, pp. 3891-3905. ISSN 1814-4225 (print). URL: https://doi.org/10.32620/reks.2023.3.19
25. Disanayake C., Dilhara S., Dharmaratna N. S. Rationalized Security Frameworks for Web Applications. Annual International Conference On Business Innovation (ICOBI) 2023, Homagama, Sri Lanka. Homagama : NSBM Green University, 2023. 26. Mitre. Common Weakness Enumeration. URL: https://cwe.mitre.org/ (access date: 07.12.2023).
26. Mitre. Common Weakness Enumeration. URL: https://cwe.mitre.org/ (access date: 07.12.2023).
27. OWASP Foundation. OWASP Top Ten. URL: https://owasp.org/www-project- top-ten.
28. Mahesh B. Evolving Trends in Web Application Vulnerabilities: A Comparative Study of OWASP Top 10 2017 and OWASP Top 10 2021. International Journal of Engineering Technology and Management Sciences. 2023. Vol. 7, no 6, pp. 262–269.
29. An OWASP Top Ten Driven Survey on Web Application Protection Methods / Fredj et al. Risks and Security of Internet and Systems. CRiSIS 2020. Lecture Notes in Computer Science(), 12 Feb. 2021 / eds.: J. Garcia-Alfaro et al. Springer, Cham, 2021. ISBN 978‐3‐030‐68886‐8. URL: https://doi.org/10.1007/978-3-030-68887-5_14.
30. Yudin O., Kharchenko V., Pevnev V. Scanning of Web-Applications: Algorithms and Software for Search of Vulnerabilities “Code Injection” and “Insecure Design”. 2023 IEEE 12th International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), Dortmund, Germany, 7 Sep. 2023. URL: https://doi.org/10.1109/idaacs58523.2023.10348918.
31. A04 Insecure Design - OWASP Top 10:2021. OWASP Foundation, the Open Source Foundation for Application Security. OWASP Foundation. URL: https://owasp.org/Top10/A04_2021-Insecure_Design (access date: 13.06.2025).
32. Keary E., Manico J. Secure Development Lifecycle. Owasp.org. URL: https://owasp.org/www-pdf- archive/Jim_Manico_(Hamburg)__Securiing_the_SDLC.pdf (access date: 27.12.2023).
33. Gurung G., Shah R., Jaiswal D. P. Software Development Life Cycle Models-A Comparative Study. International Journal of Scientific Research in Computer Science, Engineering and Information Technology. 2020. pp. 30–37. URL: https://doi.org/10.32628/cseit206410.
34. Acharya B., Sahu P. Software development lifecycle models: a review paper. International Journal of Advanced Research in Engineering and Technology (IJARET). 2020. Vol.11, no 12. URL: https://doi.org/10.34218/IJARET.11.12.2020.019.
35. Geogy M., Dharani A. Prominence of each phase in Software development life cycle contributes to the overall quality of a product. 2015 International Conference on Soft-Computing and Networks Security (ICSNS). Coimbatore, India, Feb. 25–27 2015. URL: https://doi.org/10.1109/icsns.2015.7292390.
36. Maltseva I., Chernish Y., Shtonda R. Analysis of some cyber threats in war. Cybersecurity: Education, Science, Technique. 2022. Vol. 16, no. 4, pp. 37–44. URL: https://doi.org/10.28925/2663-4023.2022.16.3744.
37. Kudinov O. The influence of information technologies on the socio-economic development of territorial communities. Economics and Region. 2022. URL: https://doi.org/10.32782/eir.2022.1(84).2549.
38. Tkach Y. Conceptual model of cyber space security. Technical Sciences and Technologies. 2020. Vol. 22, no. 4, pp. 96–108. URL: https://doi.org/10.25140/2411- 5363-2020-4(22)-96-108.
39. Functions of the information security and cybersecurity system of critical information infrastructure / Y. Khlaponin et al. Cybersecurity: Education, Science, Technique. 2022. Vol. 3, no 15. pp. 124–134. URL: https://doi.org/10.28925/2663- 4023.2022.15.1241341.
40. Abozeid A., AlHabshy A. A., ElDahshan K. A. Software Security Optimization Architecture (SoSOA) and its Adaptation for Mobile Applications. International Journal of Interactive Mobile Technologies (iJIM). 2021. Vol. 15, no 11. pp. 148. URL: https://doi.org/10.3991/ijim.v15i11.20133.
41. Measuring the Sustainable-Security of Web Applications Through a Fuzzy-Based Integrated Approach of AHP and TOPSIS / A. Agrawal et al. IEEE Access. 2019. Vol. 7. pp. 153936–153951. URL: https://doi.org/10.1109/access.2019.2946776.
42. Improving risk assessment model of cyber security using fuzzy logic inference system / M. Alali et al. Computers & Security. 2018. Vol. 74. pp. 323–339. URL: https://doi.org/10.1016/j.cose.2017.09.011.
43. Holik F., Neradova S. Vulnerabilities of modern web applications. 2017 40th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO). Opatija, Croatia, May 22–26. 2017. URL: https://doi.org/10.23919/mipro.2017.7973616.
44. Cyberattack Classificator Verification / I. Korobiichuk et al. International Conference on Diagnostics of Processes and Systems DPS 2017: Advanced Solutions in Diagnostics and Fault Tolerant Control. 2018. pp. 402–411. URL: https://doi.org/10.1007/978-3-319-64474-5_34.
45. A study on web application security and detecting security vulnerabilities / S. Kumar et al. 2017 6th International Conference on Reliability, Infocom Technologies and Optimization (Trends and Future Directions) (ICRITO), Noida, India, Sep.20–22, 2017. URL: https://doi.org/10.1109/icrito.2017.8342469.
46. Information Security Risk Assessment / I. Kuzminykh et al. Encyclopedia. 2021. Vol. 1, no 3. pp. 602–617. URL: https://doi.org/10.3390/encyclopedia1030050.
47. Software Package for Information Leakage Threats Relevance Assessment / V. Lakhno et al. Cybernetics Perspectives in Systems. 2022. Vol. 503. pp. 290. URL: https://doi.org/10.1109/USBEREIT51232.2021.9454994.
48. Improving Security of Web-Based Application Using ModSecurity and Reverse Proxy in Web Application Firewall / R. A. Muzaki et al. 2020 International Workshop on Big Data and Information Security (IWBIS), Depok, Indonesia, Oct. 17–18, 2020. URL: https://doi.org/10.1109/iwbis50925.2020.9255601.
49. Nagpure S., Kurkure S. Vulnerability Assessment and Penetration Testing of Web Application. 2017 International Conference on Computing, Communication, Control and Automation (ICCUBEA), PUNE, India, Sep. 17–18, 2017. URL: https://doi.org/10.1109/iccubea.2017.8463920.
50. Kumar J. P., Nagendra K. V., Ravi T. Analysis of Security Vulnerabilities for Web based Application. Fourth International Conference on Advances in Recent Technologies in Communication and Computing (ARTCom2012), Bangalore, India. 2012. URL: https://doi.org/10.1049/cp.2012.2535.
51. Analyzing Risk Evaluation Frameworks and Risk Assessment Methods / R. Radu et al. 2020 19th RoEduNet Conference: Networking in Education and Research (RoEduNet). Bucharest, Romania, Dec. 11–12, 2020. URL: https://doi.org/10.1109/roedunet51892.2020.9324879 .
52. Web application security vulnerabilities detection approaches: A systematic mapping study / S. Rafique et al. 2015 IEEE/ACIS 16th International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing (SNPD), Takamatsu, Jun. 1–3 , 2015. URL: https://doi.org/10.1109/snpd.2015.7176244.
53. Applying Adaptive Security Techniques for Risk Analysis of Internet of Things (IoT)-Based Smart Agriculture / A. R. Riaz et al. Sustainability. 2022. Vol. 14, no 17. p. 10964. URL: https://doi.org/10.3390/su141710964.
54. 1. Sánchez-García I. D., Mejía J., Gilabert T. S. F. Cybersecurity Risk Assessment: A Systematic Mapping Review, Proposal, and Validation. Applied Sciences. 2022. URL: https://doi.org/10.3390/app13010395. 2022. Vol. 13, no. 1. p. 395. URL: https://doi.org/10.3390/app13010395.
55. Shrivastava A., Choudhary S., Kumar A. XSS vulnerability assessment and prevention in web application. 2016 2nd International Conference on Next Generation Computing Technologies (NGCT), Dehradun, India, Oct. 14–16, 2016. URL: https://doi.org/10.1109/ngct.2016.7877529.
56. Shevchenko S., Zhdanova Y. Information protection model based on information security risk assessment for small and medium-sized business. Cybersecurity Education Science Technique. 2022. no. 13. pp. 158–175. URL: https://doi.org/10.28925/2663- 4023.2021.13.158157.
57. Teodoro N., Serrao C. Web application security: Improving critical web-based applications quality through in-depth security analysis. 2011 International Conference on Information Society (i-Society). London, Jun. 27–29, 2011. URL: https://doi.org/10.1109/i-society18435.2011.5978496 .
58. Potti U.-S., Huang H.-S., Chen H.-T. Security Testing Framework for Web Applications: Benchmarking ZAP V2.12.0 and V2.13.0 by OWASP as an example. Proceedings of the Universal Academic Cluster International April Conference in Tokyo and Kyoto. 2024. 1–7.
59. Performance Evaluation of Open Source Web Application Vulnerability Scanners based on OWASP Benchmark / P. A. Sarpong et.al. International Journal of Computer Applications. 2021. Vol. 174, no. 18. pp. 15–22. URL: https://doi.org/10.5120/ijca2021921070.
60. A Comparative Analysis of Vulnerability Management Tools: Evaluating Nessus, Acunetix, and Nikto for Risk-Based Security Solutions / B. Swetha et al. SSRN. Nov. 27, 2024. URL: http://dx.doi.org/10.2139/ssrn.5036282.
61. Erturk E., Rajan A. Web Vulnerability Scanners: A Case Study. arXiv preprint. 2017. RL: https://doi.org/10.48550/arXiv.1706.08017.
62. An analytical processing approach to supporting cyber security compliance assessment / F. Buccafurri et al. SIN '15: The 8th International Conference on Security of Information and Networks. New York. USA. 2015. URL: https://doi.org/10.1145/2799979.2800007.
63. Flater D. Bad Security Metrics Part 1: Problems. IT Professional. 2018. Vol. 20, no 1. pp. 64–68. URL: https://doi.org/10.1109/mitp.2018.011301733.
64. NISTIR 7564. Directions in Security Metrics Research. U.S. Department of Commerce, 2009. 26 с.
65. NIST Technical Series Publications. URL: https://nvlpubs.nist.gov/ (access date: 17.06.2024).
66. Audit and Compliance – is Documentation Your Weakest Link?. Q Software. URL: https://www.qsoftware.com/audit-reporting/poor-documentation-could- jeopardize-your-security-audit/ (access date: 19.06.2024).
67. Balancing Objectivity and Subjectivity in Risk Assessment. Pivot Point Security. URL: https://www.pivotpointsecurity.com/balancing-objectivity-subjectivity-when- assessing-risk (access date: 21.10.2024).
68. Sanders W. H. Quantitative Evaluation of Security Metrics. 2010 Seventh International Conference on the Quantitative Evaluation of Systems (QEST), Williamsburg, VA. USA. Sep. 15–18, 2010. URL: https://doi.org/10.1109/qest.2010.50 .
69. OWASP Application Security Verification Standard (ASVS). OWASP Foundation. URL: https://owasp.org/www-project-application-security-verification- standard (access date: 15.12.2024).
70. 800-63B. Digital Identity Guidelines: Authentication and Lifecycle Management. National Institute of Standards and Technology, 2017.
71. ISO/IEC 27002:2022. Information security, cybersecurity and privacy protection – Information security controls. Replaces ISO/IEC 27002:2013/Cor 2:2015. 2022.
72. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Replaces ISO/IEC 27001:2013/Cor 2:2015. 2022.
73. Walton D. Evaluating Expert Opinion Evidence. Law, Governance and Technology Series. Cham, 2016. p. 117–144. URL: https://doi.org/10.1007/978-3-319- 19626-8_4.
74. Walton D. When Expert Opinion Evidence Goes Wrong. SSRN Electronic Journal. 2019. URL: https://doi.org/10.2139/ssrn.3465148.
75. An Integrated Spherical Fuzzy Multi-criterion Group Decision-Making Approach and Its Application in Digital Marketing Technology Assessment / K. Gao et al. International Journal of Computational Intelligence Systems. 2023. Vol. 16, no 1. URL: https://doi.org/10.1007/s44196-023-00298-3.
76. A new approach for handling uncertainty of expert judgments in complex decision problems / J. Więckowski et al. IEEE Access. 2024. p. 1. URL: https://doi.org/10.1109/access.2024.3445265 (access date: 13.06.2025).
77. Fuzzy Multi-Criteria Decision Making / ed. C. Kahraman. Boston, MA : Springer US, 2008. URL: https://doi.org/10.1007/978-0-387-76813-7 .
78. Deptuła A. M., Rudnik K. Fuzzy Approach Using Experts’ Psychological Conditions To Estimate The Criteria Importance For The Assessment Of Innovative Projects Risk. Opole University of Technology, Institute of Processes and Products Innovation. 2018. Vol. 9, no. 1. pp. 13–23.
79. Firdaus T., Yadav S., Devare M. Modified Clustering Algorithm for Energy Efficiency Utilizing Fuzzy Logic In WSN. Proceedings of National Conference on Machine Learning. 2019.
80. Ic Y. T. A fuzzy computing approach to aggregate expert opinions using parabolic and exparabolic approximation procedures for solving multi-criteria group decision- making problems. Neural Computing and Applications. 2024. URL: https://doi.org/10.1007/s00521-024-09448-w.
81. Lu C., Lan J., Wang Z. Aggregation of Fuzzy Opinions Under Group Decision- Making Based on Similarity and Distance. Journal of Systems Science and Complexity. 2006. Vol. 19, no.1, pp. 63–71. URL: https://doi.org/10.1007/s11424-006-0063-y .
82. Sims j. R., Zhenyuan w. Fuzzy measures and fuzzy integrals: an overview. International Journal of General Systems. 1990. Vol. 17, no. 2-3, pp. 157–189. URL: https://doi.org/10.1080/03081079008935106.
83. Gilda K. S., Satarkar D. S. L. Analytical overview of defuzzification methods. International Journal of Advance Research, Ideas and Innovations in Technology. 2020. Vol. 6, no 2.
84. OWASP Juice Shop. OWASP Foundation. URL: https://owasp.org/www-project- juice-shop/ (access date: 23.01.2025).
85. Revniuk O.A., Zagorodna N.V. Методологія кількісної оцінки захищеності вебдодатку електронної комерції на етапі експлуатації. Scientific Bulletin of Ivano- Frankivsk National Technical University of Oil and Gas. 2024. Vol. 57, no.2, pp. 107– 119. URL: https://doi.org/10.31471/1993-9965-2024-2(57)-107-119.
86. Tryhubets B., Tryhubets M., Zagorodna N. Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications. Scientific journal of the Ternopil national technical university. 2024. Vol. 116, no. 4. pp. 23–30. URL: https://doi.org/10.33108/visnyk_tntu2024.04.023.
Content type: Dissertation
È visualizzato nelle collezioni:122 Комп’ютерні науки

File in questo documento:
File Descrizione DimensioniFormato 
Revniuk O.A._ Development_ of_ an_ Information_ System_.pdf4,76 MBAdobe PDFVisualizza/apri
Visualizza tutti i metadati del documento


Tutti i documenti archiviati in DSpace sono protetti da copyright. Tutti i diritti riservati.