Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard

Ревнюк, Олександр Андрійович; Загородна, Наталія Володимирівна; Козак, Руслан Орестович; Яворський, Богдан Іванович; Revniuk, Oleksandr; Zagorodna, Nataliya; Kozak, Ruslan; Yavorskyy, Bohdan

doi:https://doi.org/10.33108/visnyk_tntu2025.02.056

Använd denna länk för att citera eller länka till detta dokument: http://elartu.tntu.edu.ua/handle/lib/50229

Titel:	Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard
Övriga titlar:	Розроблення інформаційної системи для кількісного оцінювання захищеності вебзастосунків на основі стандарту OWASP ASVS
Författare:	Ревнюк, Олександр Андрійович Загородна, Наталія Володимирівна Козак, Руслан Орестович Яворський, Богдан Іванович Revniuk, Oleksandr Zagorodna, Nataliya Kozak, Ruslan Yavorskyy, Bohdan
Affiliation:	Тернопільський національний технічний університет імені Івана Пулюя, Тернопіль, Україна Ternopil Ivan Puluj National Technical University, Ternopil, Ukraine
Bibliographic description (Ukraine):	Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard / Oleksandr Revniuk, Nataliya Zagorodna, Ruslan Kozak, Bohdan Yavorskyy // Scientific Journal of TNTU. — Tern. : TNTU, 2025. — Vol 118. — No 2. — P. 56–65.
Bibliographic reference (2015):	Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard / Revniuk O. та ін. // Scientific Journal of TNTU, Ternopil. 2025. Vol 118. No 2. P. 56–65.
Bibliographic citation (APA):	Revniuk, O., Zagorodna, N., Kozak, R., & Yavorskyy, B. (2025). Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard. Scientific journal of the ternopil national technical university, 118(2), 56-65. TNTU..
Bibliographic citation (CHICAGO):	Revniuk O., Zagorodna N., Kozak R., Yavorskyy B. (2025) Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard. Scientific journal of the ternopil national technical university (Tern.), vol. 118, no 2, pp. 56-65.
Is part of:	Вісник Тернопільського національного технічного університету, 2 (118), 2025 Scientific journal of the ternopil national technical university, 2 (118), 2025
Journal/Collection:	Вісник Тернопільського національного технічного університету
Issue:	2
Volume:	118
Utgivningsdatum:	20-maj-2025
Submitted date:	18-feb-2025
Date of entry:	31-okt-2025
Utgivare:	ТНТУ TNTU
Place of the edition/event:	Тернопіль Ternopil
DOI:	https://doi.org/10.33108/visnyk_tntu2025.02.056
UDC:	004.056.5
Nyckelord:	OWASP ASVS вебзастосунок експертна оцінка інформаційна система безпека аудит інформаційної безпеки OWASP ASVS web application expert evaluation information system security information security audit
Number of pages:	10
Page range:	56-65
Start page:	56
End page:	65
Sammanfattning:	Спроєктовано інформаційну систему для оцінювання захищеності вебзастосунків на основі авторської методики. Розроблена авторами методика оцінювання безпеки вебдодатків базується на вимогах стандарту OWASP Application Security Verification Standard (ASVS) та адаптується під різні архітектури та функціонал застосунків шляхом відбору множини релевантних вимог і визначення їх впливу на загальну оцінку. Кількісна оцінка вимог обчислюється за допомогою системи розроблених критеріїв та алгоритму їх оцінки з урахуванням експертних оцінок вагових коефіцієнтів важливості. Оцінювання проводиться кількома експертами для уникнення суб’єктивності суджень. Узгодження експертних оцінок проводиться в підсистемі нечіткої логіки. Описано всі етапи автоматизації процесу оцінювання – від збирання вихідних даних до обчислення інтегрального показника захищеності з урахуванням вагових коефіцієнтів. Інформаційна система підтримує модульну архітектуру, персоналізовану роботу з проєктами та візуалізацію результатів, що уможливлює її використання для аудитів інформаційної безпеки. Описано логічну структуру бази даних, яка забезпечує ієрархічне зберігання вимог, критеріїв оцінювання та результатів експертної перевірки. Структура включає підсистеми управління користувачами, проєктами, нормативною базою та результатами, що дозволяє ефективно масштабувати рішення під потреби різних організацій. Розроблено інтерфейс користувача, який забезпечує повноцінний цикл взаємодії з системою – від ініціалізації проєкту до отримання графічного звіту про рівень захищеності. Система реалізована за принципами сервіс-орієнтованої архітектури із застосуванням сучасного стеку технологій, зокрема Laravel, MySQL, Bootstrap і Chart.js. Проведено тестування інформаційної системи на прикладі тестового вебзастосунку OWASP Juice Shop, що підтверджує її ефективність у виявленні критичних проблем безпеки та формалізованому поданні результатів. The design of an information system for assessing the security of web applications based on an original methodology developed by the authors is presented in this paper. The proposed security assessment methodology is based on the requirements of the OWASP Application Security Verification Standard (ASVS) and adapted to various application architectures and functionalities by selecting a set of relevant requirements and determining their impact on the overall evaluation. The quantitative assessment of requirements is calculated using a system of developed criteria and an evaluation algorithm that incorporates weight coefficients of importance assigned by experts. The assessment is carried out by multiple experts to minimize subjectivity in judgments. The aggregation of expert judgments is performed within a fuzzy logic subsystem. The article describes all stages of the assessment process automation – from collecting input data to calculating the integrated security score, taking into account the weight coefficients. The information system supports a modular architecture, personalized project workflows, and result visualization, enabling its application in information security audits
URI:	http://elartu.tntu.edu.ua/handle/lib/50229
ISSN:	2522-4433
Copyright owner:	© Тернопільський національний технічний університет імені Івана Пулюя, 2025
URL for reference material:	https://doi.org/10.3390/app12084077 https://doi.org/10.32515/2664-262X.2024.10(41).2.3-10 https://doi.org/10.1038/s41598-023-48845-4 https://doi.org/10.1016/j.cose.2023.103532 https://doi.org/10.35784/jcsi.6613 https://doi.org/10.33108/visnyk_tntu2024.04.023 https://owasp.org/www-project-application-security-verification-standard https://cwe.mitre.org/ https://doi.org/10.31471/1993-9965-2024-2(57)-107-119 https://doi.org/10.47709/brilliance.v4i1.4227 https://doi.org/10.1007/s10664-025-10621-5 https://doi.org/10.52783/jes.2288 https://owasp.org/www-project-juice-shop/
References (International):	1. Shahid J., Hameed M. K., Javed I. T., Qureshi K. N., Ali M. & Crespi N. (2022). A Comparative Study of Web Application Security Parameters: Current Trends and Future Directions. Applied Sciences, 12 (8), 4077. https://doi.org/10.3390/app12084077 2. Derkach, M. V., Khomyshyn, V. G., Gudzenko, V. O. (2023). Web resource security testing based on tools for scanning and detecting vulnerabilities. Scientific News of Dal University. Electronic edition, 25, pp. 1–8. [in Ukrainian]. 3. Revniuk O., Zagorodna N. & Ulichev O. (2024) Adaptive Methodology for Computing the Quantitative Security Status Indicator of Web Applications. Central Ukrainian Scientific Bulletin. Technical Sciences, 2(10(41)), 3–10. https://doi.org/10.32515/2664-262X.2024.10(41).2.3-10 4. Yaqoob I., Hussain A. S., Mamoon S., Naseer N., Akram J. & Rehman A. U. R. (2017) Penetration Testing and Vulnerability Assessment. Journal of Network Communications and Emerging Technologies (JNCET),7 (8). 5. Tadhani J. R., Vekariya V., Sorathiya V., Alshathri S. & El-Shafai W. (2024) Securing web applications against XSS and SQLi attacks using a novel deep learning approach. Scientific Reports, 14 (1). https://doi.org/10.1038/s41598-023-48845-4 6. Wen S.-F. & Katt B. (2023) A quantitative security evaluation and analysis model for web applications based on OWASP application security verification standard. Computers & Security, 135, 103532. https://doi.org/10.1016/j.cose.2023.103532 7. Kaźmierak I. (2025) Comparison of the effectiveness of tools for testing the security of web applications. Journal of Computer Sciences Institute, 34, 36–43. https://doi.org/10.35784/jcsi.6613 8. Tryhubets B., Tryhubets M. & Zagorodna N. (2024) Analysis of the efficiency of open source and commercial vulnerability scanners for e-commerce web applications. Scientific Journal of the Ternopil National Technical University, 116 (4), рр. 23–30. https://doi.org/10.33108/visnyk_tntu2024.04.023 9. OWASP Application Security Verification Standard (ASVS). OWASP Foundation. OWASP Foundation, the Open Source Foundation for Application Security \| OWASP Foundation. https://owasp.org/www-project-application-security-verification-standard. 10. CWE – Common Weakness Enumeration. CWE – Common Weakness Enumeration. https://cwe.mitre.org/ 11. Revnyuk, O. A., Zagorodna, N. V. (2024). Methodology of quantitative assessment of security of electronic commerce web application at the operation stage. Scientific Bulletin of Ivano-Frankivsk National Technical University of Oil and Gas. 2(57), pp. 107–119. https://doi.org/10.31471/1993-9965-2024-2(57)-107-119 [in Ukrainian]. 12. Putra F. P ., Ubaidi U., Hamzah A., Pramadi W. A. & Nuraini A. (2024). Systematic Literature Review: Security Gap Detection on Websites Using OWASP ZAP. Brilliance Research of Artificial Intelligence, 4 (1), pp. 348–355. https://doi.org/10.47709/brilliance.v4i1.4227 13. Seth A., Bhattacharya S., Elder S., Zahan N. & Williams L. (2025) Comparing effectiveness and efficiency of Interactive Application Security Testing (IAST) and Runtime Application Self-Protection (RASP) tools in a large java-based system. Empirical Software Engineering, 30 (3). https://doi.org/10.1007/s10664-025-10621-5 14. Mangaoang N. E. F. (2024) Common Vulnerabilities and Exposures Assessment of private higher educational institutions using web application security. Deleted Journal, 20 (5s), pp. 668–676. https://doi.org/10.52783/jes.2288 15. OWASP Juice Shop. OWASP Foundation. OWASP Foundation, the Open Source Foundation for Application Security. OWASP Foundation. https://owasp.org/www-project-juice-shop/
Content type:	Article
Samling:	Вісник ТНТУ, 2025, № 2 (118)

Fulltext och övriga filer i denna post:

Fil	Beskrivning	Storlek	Format
TNTUSJ_2025v118n2_Revniuk_O-Development_of_an_information_56-65.pdf		3,1 MB	Adobe PDF	Visa/Öppna
TNTUSJ_2025v118n2_Revniuk_O-Development_of_an_information_56-65__COVER.png		1,25 MB	image/png	Visa/Öppna

Visa fullständig post

Materialet i DSpace är upphovsrättsligt skyddat och får ej användas i kommersiellt syfte!