Done
- Đọc xong bài báo Exploring the Attack Surface of Blockchain: A Comprehensive Survey
- Đọc xong bài báo A first look at blockchain-based decentralized applications
Problem
Todo
- Đọc bài báo An Attack Surface Metric.
- Đọc thêm các bài báo về architecture và attack surface của dApp.
- Tìm hiểu về các platform IaC.
Questions
- Làm thế nào để định nghĩa một attack surface, có phải là xuất phải từ entry/exit points hay là xuất phát từ các loại attack?
- Nên tiếp cận bằng entry/exit points.
- Mình có cần thu hẹp cái scope của project lại không ạ, tại vì em nghĩ phần giao diện, web client các kiểu chắc đã có nhiều người làm rồi.
- Tùy, nếu thích thì làm luôn. Nên phân tích kỹ.
Meeting Notes
Các bài báo về attack surface:
- An Attack Surface Metric | IEEE Journals & Magazine | IEEE Xplore
- Attack surface definitions: A systematic literature review - ScienceDirect
Các bài báo giúp định hình lại scope:
- Extracting and Analyzing the Implemented Security Architecture of Business Applications
- Automatic extraction of security-rich dataflow diagrams for microservice applications written in Java - ScienceDirect
- Privacy Property Graph: Towards Automated Privacy Threat Modeling via Static Graph-based Analysis (petsymposium.org)
Tham khảo thêm tool giúp visualize một hệ thống IaC: GitHub - im2nguyen/rover: Interactive Terraform visualization. State and configuration explorer.
Question
So sánh thử IaC và blockchain. Tại sao không quét IaC mà lại quét dApp.
Quy trình tìm attack surface: định nghĩa attack surface → list hết các component → quét hết các entry/exit point, tốt nhất là tìm được các giao tiếp trong 1 component.
Các việc cần làm trong buổi họp tới:
- Attack surface của các ứng dụng rất mơ hồ, nên định nghĩa rõ ràng attack surface của dApp là gì (bằng cách đọc thêm báo để hiểu sâu về kiến trúc của hệ thống).
- Code một ứng dụng đơn giản: hoàn thiện TodoList với các thao tác CRUD.
- Sau đó bắt đầu bắt tay vào tìm và liệt kê các attack surface bằng static analysis của một ứng dụng đơn giản nào đó.
- Nếu được thì vẽ một diagram về architecture của ứng dụng.
- Tìm thử các tool visual architecture của dApp.
Note
Sắp tới nếu có đi thực tập thì có thể hoãn research.
Important
Deadline của paper là tháng 3. Thời gian hiện tại cũng khá gấp.