电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

基于 ASP.NET 的 Web 安全性评估、设计与实现 (2)

94页
  • 卖家[上传人]:wo7****35
  • 文档编号:87835336
  • 上传时间:2019-04-12
  • 文档格式:DOC
  • 文档大小:7.28MB
  • / 94 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、 本科毕业设计(论文)题目:基于 ASP.NET 的 Web 安全性评估、设计与实现 学 院 软件学院 专 业 软件工程 学生姓名 学生学号 指导教师 提交日期 摘要 在基于ASP.NET开发的网站中,有相当一部分的网站开发者没有缜密的安全计划,导致网站出现漏洞给网站和用户带来损害,而目前国内关于WEB安全的研究文献,只是笼统地说明常见的几个漏洞和解决方法,这种方法实施起来其实因为不同的部署以及未能针对具体系统和开发环境设计所以很难完成任务,并且对于网站如何规范化检测漏洞,网站存在的各方面漏洞如何有效合理地针对和解决,一些知名的检测工具和方法的使用都没有详细描述。 本课题主要研究ASP.NET网站的安全性评估,设计与实现,通过使用经典安全测试工具NetSparker,WebInspect等对案例网站进行OWASP TOP 10漏洞检测并结合OWASP风险模型信息量化评估方法进行风险评估,与网站决策人确认评估结果提出网站架构无法满足网站安全需求的问题,然后熟悉网站代码和业务逻辑,利用ATAM架构权衡分析法对网站架构进行分析确认结论,紧接着凭借ASP.NET安全实践方法和安全架构战术如认证

      2、,审计追踪等对网站进行重构与漏洞修复工作,设计严谨可靠的安全战术策略,最后再利用WebInspect对该战术进行检测并与知名同类项目管理权威网站Tower.im的检测结果进行对比验证战术的可靠性。 通过该课题的研究成果,可以熟悉地掌握对于网站的规统化安全检测及评估方法,设计缜密的安全战术,构建安全可靠的WEB网站,并希望以此为基础,让非安全专业人士能正确的了解网站的漏洞检测,安全评估和战术设计。关键词 : ASP.NET;OWASP TOP 10漏洞检测 ;ATAM架构权衡分析法;安全性战术设计(另起页:外文摘要范例;英文摘要和关键词应该是中文摘要和关键词的翻译)Abstract(小三号,Times New Roman字体,加粗,居中,上下空一行)。 (正文:Times New Roman字体,小四号,行距为固定值20磅)Keyword(Times New Roman字体,小三号,加粗,居左): Multivariable system, Predictive control, Environmental test device(Times New Roman字体,小四号) 目 录摘要

      3、IIAbstractIII目 录IV第一章 绪论11.1 引言11.2 研究背景和现状分析11.3 研究内容和意义21.4本文术语表21.5本论文结构4第二章 相关技术知识简介52.1技术方法简介52.1.1 OWASP TOP 10 评估方法简介52.1.2 ATAM方法简介52.1.3 ASP.NET技术52.1.4 ASP.NET MVC基本概念62.1.5 ASP.NET MVC的优点62.1.6 Spring.NET简介72.2工具简介72.2.1 HP WebInspect 10.072.2.2 NetSparker Professional Edition72.2.4 Microsoft Visual Studio 201082.3本章小结8第三章 OWASP评估93.1网站简介93.2 OWASP 风险评估113.2.1识别风险113.2.2 A1 注入 Injection193.2.3 A2 失效的身份认证和会话管理 Broken Authentication and Session Management223.2.4 A3 跨站式脚本 Cross-Site Scri

      4、pting (css)223.2.5 A4 不安全的对象直接引用 Insecure Direct Object References243.2.6 A5 安全配置错误 Security Misconfiguration243.2.7 A6 敏感数据暴露 Sensitive Data Exposure253.2.8 A7 功能级别访问控制缺失 Missing Function Level Access Control263.2.9 A8 跨站请求伪造 Cross-Site Request Forgery(CSRF)273.2.10 A9 使用已知易受攻击组件 Using Known Vulnerable Components273.2.11 A10 未验证的重定向和转发 Unvalidated Redirects and Forwards273.2.12 HP报告的建议273.3 评估风险283.3.1 A1:SQL注入283.3.2 A3 跨站式脚本303.3.3 A5 安全配置错误323.3.4 A6 敏感数据暴露333.3.5 A7 功能级别访问控制缺失343.3.7 手动功能检测

      5、问题363.4 本章小结40第四章 ATAM架构评估报告424.1简介424.2 第0阶段:合作关系和准备424.2.1合作关系424.2.2 过程记录424.2.3 评估小组角色分配434.2.4 声明434.3 第1阶段 部分评估434.3.1 ATAM方法表述434.3.2 商业动机表述434.3.3架构的表述444.3.4 对体系架构方法分类504.3.5 生成质量属性效应树504.3.6分析架构方法514.4 第2阶段 评估564.4.1 第7步 集体讨论确定场景的优先级564.4.2 分析架构方法574.4.3 结果的表述574.5 第3阶段 后续584.6 本章小节58第五章 安全战术设计595.1 问题总结595.2 战术设计595.2.1 安全架构设计595.2.2 安全架构实现635.2.4 修复其他漏洞725.3 本章小结74第六章 战术模拟测试756.1 MVC测试756.2 战术模拟检测776.3 TOWER检测796.4 检测结论826.5 本章小结82结论83论文总结83下一步展望83参考文献84致谢86V第一章 绪论1.1 引言 而对于信息化时代的今天,

      6、网站的安全问题愈发重要,一些漏洞不仅仅会给网站带来直接的经济损失,之后所引出来的其他问题比如客户信息泄漏等将对网站用户造成更大的损失与伤害,并引发网站用户及社会对网站的信任危机,甚至成为网站的致命伤。所以对于网站开发人员,如何使网站在安全性方面得到客户的信赖十分关键。 而本课题我们研究如何使用规范化的方法正确评估网站安全性,并根据实际案例 (数字创新加油站)提出安全策略战术,希望可以以此为基础,教会人们如何评估网站安全及构建安全的ASP.NET网站。1.2 研究背景和现状分析 2014年4月,名为“心脏出血”的重大安全漏洞被曝光,这个漏洞导致大量用户信息泄漏和损失,在当前访问量最大的1000个网站中,受影响的网站和服务器包括雅虎,Imgur。DuckDuckGo等,甚至导致CRA(加拿大税务局)被迫关闭电子服务网站。 2013年8月,国内大批快捷酒店订房记录被泄漏,包括客户名,开房日期,身份证号,房间号等隐私信息,甚至随之而来利用该漏洞用于查询住客信息的网站也出现,并迅速在网上流传。 2012年9月,铁道部订票网站被传出存在大量高危险的漏洞,包括SQL注入,XSS,绝对路径泄漏等。 2

      7、011年12月,受程序员青睐的CSDN的安全系统遭受黑客攻击,600万的用户信息被泄漏,而与此同时,被指出泄漏问题的还有天涯,多玩,世纪佳缘等大规模网站。 . . 每年,随着互联网的发展与进步,新的漏洞出现,以前被忽视的安全隐患也登上了舞台,这些漏洞对于互联网,对于越来越离不开互联网生活的我们影响也越来越大,甚至一些一直被信赖为不可能被攻陷的权威网站也发生了这种情况。如何正确的评估上线网站的安全性,设计针对网站合理的安全策略战术的重要性实在不言而喻。 对于国外而言,目前互联网上有大量的好用的安全检测工具,不仅仅是开源的如Nikto,Watabo和OWASP组织提供的系列工具,还有大型的商业性工具如HPInspect,Netsparker等。这类工具在不断地被研究和进步成为网站开发人员评估网站安全设计网站安全战术的重要组成。在整个互联网世界,WEB安全的研究凭借以往的研究成果和设计的工具发展越来越便捷,而WEB安全研究的发展更带动了安全工具和战术的优化和普及(HPWebInspect新版本已经到了10.0)。 工具的发展只是窥探本体发展的一小部分“视图”,的不仅仅是工具,对于安全漏洞的本

      8、质研究,针对不断涌现的新的安全问题,国内外的学者和组织不断地钻研与交流学习(如互联网安全大会,OWASP会议等)不断提出了新的安全战术和解决方案,从而使问题得到解决维护互联网的稳定和安全。 而国内,乌云漏洞平台是一个2010年建立的位于厂商和安全研究组之间的安全问题反馈平台,在对安全问题进行研究与处理的同时也给广大的安全爱好者提供了学习与交流的环境,吸引了众多安全团队在该平台发布信息及交流。乌云平台发布的主要漏洞包括携同网源代码包可下载,游久网口令漏洞,百度主站反射型XSS,太平洋网络文件下载漏洞,搜狐邮箱存储型XSS,腾讯微云存储等。 虽然乌云平台有大量专业的安全研究人员,但是平台才发展不到五年,对于国内WEB安全问题和机制的重要性没有得到大部分人正确认识的现状,很多优秀的安全检测工具仅仅只被少部分专业安全人士熟悉,这些安全工具在国内少有人研究,甚至连使用方法都很难在互联网上找到。所以这更加形成了一个微妙的恶性循环。所以WEB安全的重要性和检测工具的普及还需要我们进一步努力。 1.3 研究内容和意义 目前国内有不少关于WEB安全的研究的文献,只是笼统地说明常见的几个漏洞和解决方法,这种方法实施起来其实因为不同的部署以及未能针对具体系统和开发环境所以很难完成任务,而且对于网站如何检测漏洞,对于网站存在的各方面漏洞如何有效合理地针对和解决都没有描述。本课题希望通过针对一个具体的案例ASP.NET网站 (数字创新加油站)进行规范化的安全评估,利用一些知名的工具(HPWebInspect,Netspaker)找出网站存在的主要漏洞,并使用OWASP量化评估方法和ATAM权衡分析法针对风险和架构进行客观

      《基于 ASP.NET 的 Web 安全性评估、设计与实现 (2)》由会员wo7****35分享,可在线阅读,更多相关《基于 ASP.NET 的 Web 安全性评估、设计与实现 (2)》请在金锄头文库上搜索。

      点击阅读更多内容
    最新标签
    发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.