基于 ASP點(diǎn)NET 的 Web 安全性評(píng)估、設(shè)計(jì)與實(shí)現(xiàn)-舜答辯PPT

1、 1基于 ASP.NET 的 Web 安全性評(píng)估、設(shè)計(jì)與實(shí)現(xiàn) 指導(dǎo)教師姓名： 學(xué) 科 專(zhuān) 業(yè) 名 稱(chēng)：軟件工程學(xué) 生 所 屬 學(xué) 院：軟件學(xué)院論 文 答 辯 日 期：2014年6月華南理工大學(xué)本科學(xué)位論文2華南理工大學(xué)本科學(xué)位論文論文背景 2014年4月，名為“心臟出血”的重大安全漏洞被曝光。2013年8月，國(guó)內(nèi)大批快捷酒店訂房記錄被泄漏。 2012年9月，鐵道部訂票網(wǎng)站被傳出存在大量高危險(xiǎn)的漏洞。2011年12月，CSDN的安全系統(tǒng)遭受黑客攻擊，600萬(wàn)的用戶信息被泄漏。. 如何正確的評(píng)估上線網(wǎng)站的安全性，設(shè)計(jì)針對(duì)網(wǎng)站合理的安全策略戰(zhàn)術(shù)的重要性實(shí)在不言而喻。華南理工大學(xué)本科學(xué)位論文3華南理工

2、大學(xué)本科學(xué)位論文論文框架 緒論 OWASP top 10漏洞檢測(cè) OWASP風(fēng)險(xiǎn)評(píng)估 ATAM權(quán)衡分析 安全戰(zhàn)術(shù)設(shè)計(jì) 戰(zhàn)術(shù)模擬檢測(cè)華南理工大學(xué)本科學(xué)位論文4華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞1）網(wǎng)站簡(jiǎn)介 數(shù)字創(chuàng)新加油站是一個(gè)集信息發(fā)布和項(xiàng)目管理于一體的網(wǎng)站華南理工大學(xué)本科學(xué)位論文5華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞2） 工具說(shuō)明 HP WebInspect是一款易用、精確的Web應(yīng)用安全評(píng)估軟件。 NetSparker一款綜合型的時(shí)刻更新web應(yīng)用安全漏洞掃描工具。3） OWASP （Open Web Application Security Project）是一個(gè)提供有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的

3、公正的信息組織，該組織提供的OWASP top10 （Web應(yīng)用十大風(fēng)險(xiǎn)）是基于OWASP所調(diào)查的上百個(gè)公司數(shù)千個(gè)應(yīng)用中發(fā)現(xiàn)的超過(guò)約50萬(wàn)個(gè)漏洞總結(jié)得出的。華南理工大學(xué)本科學(xué)位論文6華南理工大學(xué)本科學(xué)位論文分析漏洞A1 注入 Injection 該網(wǎng)站存在的注入問(wèn)題主要為SQL注入。 程序把用戶輸入的一部分字符串直接用在了sql語(yǔ)句的拼接上，導(dǎo)致了用戶可以控制sql語(yǔ)句，比如加入非法行為（delete等）、繞過(guò)用戶或密碼驗(yàn)證等） 例如 String query = SELECT * FROM Details WHERE Did= + request.getParameter(id) +; 如果

4、攻擊者在瀏覽器上修改id參數(shù)，url?id= or 1=1 ，那么查詢的意義就會(huì)被改變，將返回?cái)?shù)據(jù)庫(kù)所有Details數(shù)據(jù)，而不僅僅是指定id的數(shù)據(jù)。華南理工大學(xué)本科學(xué)位論文7華南理工大學(xué)本科學(xué)位論文分析漏洞 在登錄界面，輸入從未使用的登錄名Smith，輸入密碼ORns=ns華南理工大學(xué)本科學(xué)位論文8華南理工大學(xué)本科學(xué)位論文分析漏洞 該用戶已被鎖定，即從未注冊(cè)和使用的賬戶在參數(shù)設(shè)定后成為了擁有賬戶的狀態(tài)，SQL注入問(wèn)題存在華南理工大學(xué)本科學(xué)位論文9華南理工大學(xué)本科學(xué)位論文風(fēng)險(xiǎn)評(píng)估 SQL注入問(wèn)題1 攻擊者因素 漏洞因素技能要求成功攻擊后帶來(lái)的收益所需權(quán)限，機(jī)會(huì)或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難

5、度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺(jué)的可能性初級(jí)技術(shù)能力可能有回報(bào)無(wú)需成本和權(quán)限 匿名互聯(lián)網(wǎng)用戶 容易 可利用自動(dòng)化測(cè)試工具眾所周知沒(méi)有日志記錄 3 4 9 9 7 9 9 9 （3+4+9+9+7+9+9+9）/8 =7.375（高） 漏洞被利用的可能性分析華南理工大學(xué)本科學(xué)位論文10華南理工大學(xué)本科學(xué)位論文風(fēng)險(xiǎn)評(píng)估 SQL注入問(wèn)題1 漏洞影響后果分析 技術(shù)影響 業(yè)務(wù)影響損失其保密性損失其完整性損失其可用性損失其問(wèn)責(zé)性財(cái)產(chǎn)方面損失名譽(yù)損失帶來(lái)影響的不合規(guī)操作程度隱私侵犯少量非敏感信息泄露 少量數(shù)據(jù)遭破壞 少量非重要服務(wù)遭中斷 完全匿名 小于修復(fù)漏洞成本 很小的損失 明顯的違反 非

6、常少人信息泄漏 2 1 1 9 1 1 5 1 （2+1+1+9+1+1+5+1）/8=2.625（低） 風(fēng)險(xiǎn)嚴(yán)重程度 漏洞影響 中等 漏洞被利用可能性風(fēng)險(xiǎn)嚴(yán)重程度華南理工大學(xué)本科學(xué)位論文11華南理工大學(xué)本科學(xué)位論文 在對(duì)自動(dòng)工具不方便檢測(cè)的部分進(jìn)行手動(dòng)功能性檢測(cè)之后，對(duì)所有漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，分析評(píng)估結(jié)果，發(fā)現(xiàn)網(wǎng)站漏洞基本屬于常見(jiàn)而又危險(xiǎn)的，逐一修復(fù)會(huì)非常麻煩，且可能引發(fā)深層原因，于是深度分析，猜想：網(wǎng)站的軟件結(jié)構(gòu)無(wú)法滿足網(wǎng)站安全性需求，所以進(jìn)行ATAM權(quán)衡分析驗(yàn)證猜想。ATAM Architecture Tradeoff Analysis Method(構(gòu)架權(quán)衡分析方法），這是評(píng)價(jià)應(yīng)用的軟件

7、架構(gòu)的一種綜合性方法分為四個(gè)階段和9個(gè)步驟。 階段 活動(dòng) 參與人員 時(shí)間 0 關(guān)系和準(zhǔn)備項(xiàng)目決策人，評(píng)估小組負(fù)責(zé)人 2 1 部分評(píng)估評(píng)估小組，項(xiàng)目決策人 1 2 全體評(píng)估涉眾和評(píng)估小組 2 3 后續(xù)評(píng)估小組和客戶 1華南理工大學(xué)本科學(xué)位論文12華南理工大學(xué)本科學(xué)位論文第1階段 第5步 屬性效用樹(shù) 質(zhì)量屬性 屬性求精 場(chǎng)景 易用性 頁(yè)面導(dǎo)航網(wǎng)站游客可以很快的發(fā)現(xiàn)需要了解信息的界面跳轉(zhuǎn)（M,L）A1 操作易用網(wǎng)站用戶可以迅速找到文檔管理界面對(duì)項(xiàng)目進(jìn)行管理（H,L）A2網(wǎng)站管理員可以便捷的進(jìn)行網(wǎng)站管理方面的工作（H,L）A3 安全性 身份認(rèn)證對(duì)進(jìn)行登錄的用戶進(jìn)行賬號(hào)和密碼驗(yàn)證（H,M）A4 授權(quán)對(duì)獲

8、得權(quán)限的用戶允許相應(yīng)的操作（管理員權(quán)限或者項(xiàng)目經(jīng)理權(quán)限）（H，M）A5 機(jī)密性客戶的資料和網(wǎng)站數(shù)據(jù)不可被非法請(qǐng)求訪問(wèn)到（H，H）A6完整性當(dāng)數(shù)據(jù)被訪問(wèn)的時(shí)候，必須保證數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)及顯示的內(nèi)容是完整的（H，H）A7 不可否認(rèn)性用戶對(duì)項(xiàng)目管理的操作（甚至管理員的操作）會(huì)留有記錄（H，M）A8 高效性 等待時(shí)間用戶在項(xiàng)目管理操作的時(shí)候，刪除下載類(lèi)操作必須立即響應(yīng)（1s內(nèi)），上傳操作的時(shí)候則需時(shí)刻反應(yīng)上傳進(jìn)度，管理員網(wǎng)站管理時(shí)提交的操作也必須立即響應(yīng)（M，M）A9 可維護(hù)性（可修改性） 網(wǎng)站管理為了方便信息發(fā)布，系統(tǒng)必須為管理員提供后臺(tái)管理界面可對(duì)網(wǎng)站發(fā)布的信息進(jìn)行修改（M，H）A10華南理工大學(xué)本

9、科學(xué)位論文13華南理工大學(xué)本科學(xué)位論文場(chǎng)景號(hào)：A6場(chǎng)景：客戶的資料和網(wǎng)站數(shù)據(jù)不可被非法請(qǐng)求訪問(wèn)到屬性安全性環(huán)境運(yùn)行時(shí)的機(jī)密性刺激非法請(qǐng)求提交訪問(wèn)網(wǎng)站數(shù)據(jù)庫(kù)數(shù)據(jù)響應(yīng)非法請(qǐng)求被禁止架構(gòu)決策敏感點(diǎn) 權(quán)衡點(diǎn) 有風(fēng)險(xiǎn)決策無(wú)風(fēng)險(xiǎn)決策身份認(rèn)證S1 N1ASP.NETS2T1R1 推理 認(rèn)證機(jī)制不失為一種保護(hù)機(jī)密性的有效措施，但是網(wǎng)站存在的缺少功能層面的訪問(wèn)控制會(huì)使網(wǎng)站機(jī)密性存在風(fēng)險(xiǎn)架構(gòu)圖華南理工大學(xué)本科學(xué)位論文14華南理工大學(xué)本科學(xué)位論文戰(zhàn)術(shù)設(shè)計(jì)確認(rèn)第三章的猜想，從而設(shè)計(jì)完善的安全戰(zhàn)術(shù)，首先網(wǎng)站存在的安全問(wèn)題如下。sql注入問(wèn)題管理員界面管理網(wǎng)站或者用戶管理文檔的時(shí)候存在不安全的對(duì)象直接引用需要解決參數(shù)編碼

10、解碼問(wèn)題功能級(jí)別訪問(wèn)控制缺失 用戶登錄傳輸問(wèn)題https防范XSS攻擊可對(duì)客戶輸入的數(shù)據(jù)類(lèi)型和長(zhǎng)度進(jìn)行嚴(yán)格驗(yàn)證一些不符合安全需求的控件或方法關(guān)閉CSRF漏洞 修復(fù)上傳重復(fù)問(wèn)題攻擊或非法操作中修復(fù)的安全戰(zhàn)術(shù)：監(jiān)控用戶（和管理員）操作，增加日志審計(jì)模塊。另外建立項(xiàng)目文檔管理機(jī)制。身份多重邏輯修復(fù)，還有高峰訪問(wèn)處理華南理工大學(xué)本科學(xué)位論文15華南理工大學(xué)本科學(xué)位論文安全架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)使用ASP.Net MVC+Spring.Net 進(jìn)行網(wǎng)站重構(gòu)華南理工大學(xué)本科學(xué)位論文16華南理工大學(xué)本科學(xué)位論文利用AOP思想 添加系統(tǒng)日志模塊。加入通知器和攔截類(lèi)。修復(fù)其他漏洞，包括關(guān)閉不安全的控件和http方法，使

11、用https傳輸和數(shù)據(jù)庫(kù)連接池，加入XSS過(guò)濾方法，SQL參數(shù)化等等華南理工大學(xué)本科學(xué)位論文17華南理工大學(xué)本科學(xué)位論文戰(zhàn)術(shù)檢測(cè)1）MVC檢測(cè) 對(duì)簡(jiǎn)單的MVC網(wǎng)站進(jìn)行檢測(cè)，驗(yàn)證其可以解決功能性訪問(wèn)控制缺失問(wèn)題華南理工大學(xué)本科學(xué)位論文18華南理工大學(xué)本科學(xué)位論文2） 在原網(wǎng)站代碼上安照安全戰(zhàn)術(shù)進(jìn)行非重構(gòu)部分的修改，檢測(cè)結(jié)果 原有的一些漏洞（如安全配置錯(cuò)誤autocomplete控件等）被修復(fù)了，在新檢測(cè)的結(jié)果中，可能存在的參數(shù)緩沖區(qū)問(wèn)題可以設(shè)置過(guò)濾器來(lái)解決，其他的漏洞，則根據(jù)需要再討論決定是否修復(fù)和使用何種方案修復(fù)。華南理工大學(xué)本科學(xué)位論文19華南理工大學(xué)本科學(xué)位論文3） Tower檢測(cè) 與同類(lèi)經(jīng)典網(wǎng)站進(jìn)行檢測(cè)對(duì)比（首先，確認(rèn)