基于 ASP點(diǎn)NET 的 Web 安全性評(píng)估、設(shè)計(jì)與實(shí)現(xiàn)-舜答辯PPT

1基于ASP.NET的Web安全性評(píng)估、設(shè)計(jì)與實(shí)現(xiàn)

指導(dǎo)教師姓名：學(xué)科專業(yè)名稱：軟件工程學(xué)生所屬學(xué)院：軟件學(xué)院論文答辯日期：2014年6月華南理工大學(xué)本科學(xué)位論文2華南理工大學(xué)本科學(xué)位論文論文背景2014年4月，名為“心臟出血”的重大安全漏洞被曝光。2013年8月，國(guó)內(nèi)大批快捷酒店訂房記錄被泄漏。2012年9月，鐵道部訂票網(wǎng)站12306.cn被傳出存在大量高危險(xiǎn)的漏洞。2011年12月，CSDN的安全系統(tǒng)遭受黑客攻擊，600萬的用戶信息被泄漏。......

如何正確的評(píng)估上線網(wǎng)站的安全性，設(shè)計(jì)針對(duì)網(wǎng)站合理的安全策略戰(zhàn)術(shù)的重要性實(shí)在不言而喻。華南理工大學(xué)本科學(xué)位論文3華南理工大學(xué)本科學(xué)位論文論文框架◆緒論◆OWASPtop10漏洞檢測(cè)◆OWASP風(fēng)險(xiǎn)評(píng)估◆ATAM權(quán)衡分析◆安全戰(zhàn)術(shù)設(shè)計(jì)◆戰(zhàn)術(shù)模擬檢測(cè)華南理工大學(xué)本科學(xué)位論文4華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞1）網(wǎng)站簡(jiǎn)介

數(shù)字創(chuàng)新加油站是一個(gè)集信息發(fā)布和項(xiàng)目管理于一體的網(wǎng)站華南理工大學(xué)本科學(xué)位論文5華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞2）工具說明HPWebInspect是一款易用、精確的Web應(yīng)用安全評(píng)估軟件。NetSparker一款綜合型的時(shí)刻更新web應(yīng)用安全漏洞掃描工具。3）OWASP（OpenWebApplicationSecurityProject）是一個(gè)提供有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正的信息組織，該組織提供的OWASPtop10（Web應(yīng)用十大風(fēng)險(xiǎn)）是基于OWASP所調(diào)查的上百個(gè)公司數(shù)千個(gè)應(yīng)用中發(fā)現(xiàn)的超過約50萬個(gè)漏洞總結(jié)得出的。華南理工大學(xué)本科學(xué)位論文6華南理工大學(xué)本科學(xué)位論文分析漏洞A1注入Injection該網(wǎng)站存在的注入問題主要為SQL注入。程序把用戶輸入的一部分字符串直接用在了sql語句的拼接上，導(dǎo)致了用戶可以控制sql語句，比如加入非法行為（delete等）、繞過用戶或密碼驗(yàn)證等）例如Stringquery="SELECT*FROMDetailsWHEREDid='"+request.getParameter("id")+"'";如果攻擊者在瀏覽器上修改id參數(shù)，url?id='or'1'='1，那么查詢的意義就會(huì)被改變，將返回?cái)?shù)據(jù)庫所有Details數(shù)據(jù)，而不僅僅是指定id的數(shù)據(jù)。華南理工大學(xué)本科學(xué)位論文7華南理工大學(xué)本科學(xué)位論文分析漏洞

在登錄界面，輸入從未使用的登錄名Smith，輸入密碼’OR’ns’=’ns華南理工大學(xué)本科學(xué)位論文8華南理工大學(xué)本科學(xué)位論文分析漏洞

該用戶已被鎖定，即從未注冊(cè)和使用的賬戶在參數(shù)設(shè)定后成為了擁有賬戶的狀態(tài)，SQL注入問題存在華南理工大學(xué)本科學(xué)位論文9華南理工大學(xué)本科學(xué)位論文風(fēng)險(xiǎn)評(píng)估SQL注入問題1

漏洞被利用的可能性分析華南理工大學(xué)本科學(xué)位論文10華南理工大學(xué)本科學(xué)位論文風(fēng)險(xiǎn)評(píng)估SQL注入問題1

漏洞影響后果分析風(fēng)險(xiǎn)嚴(yán)重程度華南理工大學(xué)本科學(xué)位論文11華南理工大學(xué)本科學(xué)位論文在對(duì)自動(dòng)工具不方便檢測(cè)的部分進(jìn)行手動(dòng)功能性檢測(cè)之后，對(duì)所有漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，分析評(píng)估結(jié)果，發(fā)現(xiàn)網(wǎng)站漏洞基本屬于常見而又危險(xiǎn)的，逐一修復(fù)會(huì)非常麻煩，且可能引發(fā)深層原因，于是深度分析，猜想：網(wǎng)站的軟件結(jié)構(gòu)無法滿足網(wǎng)站安全性需求，所以進(jìn)行ATAM權(quán)衡分析驗(yàn)證猜想。ATAMArchitectureTradeoffAnalysisMethod(構(gòu)架權(quán)