SecureStudy: Research on API Security and Its Application in Building a Multi-Platform Online Examination System

Tóm tắt

Bài báo trình bày SecureStudy, hệ thống kiểm tra trực tuyến đa nền tảng hỗ trợ web và desktop client. Nhóm thực hiện nghiên cứu và thực thi bảo mật cho 2 lỗ hổng Cross-Site Request Forgery (CSRF) và lưu trữ JWT không an toàn, và 2 lỗ hổng API quan trọng được xác định trong OWASP Top 10:2021 và 2025 RC1: SQL Injection, lỗi kiểm soát truy cập dựa trên vai trò (RBAC). Cơ chế bảo vệ CSRF ba lớp linh hoạt kết hợp xác thực header, body và cookie được triển khai để phù hợp với kiến trúc client đa dạng. Web browser sử dụng xác thực dựa trên cookie trong khi desktop client sử dụng header hoặc body token. Xác thực tích hợp Google OAuth 2.0 với JWT token được lưu trong HttpOnly cookie cho web client và file mã hóa cho desktop client. Tất cả thao tác cơ sở dữ liệu sử dụng prepared statements để ngăn chặn tấn công SQL Injection. Thực thi RBAC dựa trên scope với xác minh vai trò được trích xuất từ JWT payload. Kiến trúc dual-routing sử dụng routing dựa trên query parameter cho web client và RESTful URL cho desktop client. Kiểm thử thủ công kết hợp sử dụng Thunder Client và Postman với 23 test case cho thấy tỷ lệ ngăn chặn 100% đối với các vector tấn công phổ biến. Nghiên cứu này cung cấp mô hình bảo mật thực tế với hỗ trợ đa nền tảng.