基于 ASP点NET 的 Web 安全性评估设计与实现毕业论文.doc

《基于 ASP点NET 的 Web 安全性评估设计与实现毕业论文.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、基于ASP点NET的Web安全性评估设计与实现毕业论文目录摘要IIAbstractIII目录IV第一章绪论11.1引言11.2研究背景和现状分析11.3研究内容和意义21.4本文术语表21.5本论文结构4第二章相关技术知识简介52.1技术方法简介52.1.1OWASPTOP10评估方法简介52.1.2ATAM方法简介52.1.3ASP.NET技术52.1.4ASP.NETMVC基本概念62.1.5ASP.NETMVC的优点62.1.6Spring.NET简介72.2工具简介72.2.1HPWebInspect10.072.2.2NetSparkerProfessional

2、Edition72.2.4MicrosoftVisualStudio201082.3本章小结8第三章OWASP评估93.1网站简介93.2OWASP风险评估113.2.1识别风险113.2.2A1注入Injection193.2.3A2失效的身份认证和会话管理BrokenAuthenticationandSessionManagement223.2.4A3跨站式脚本Cross-SiteScripting（css）223.2.5A4不安全的对象直接引用InsecureDirectObjectReferences243.2.6A5安全配置错误SecurityMisconfig

3、uration243.2.7A6敏感数据暴露SensitiveDataExposure253.2.8A7功能级别访问控制缺失MissingFunctionLevelAccessControl263.2.9A8跨站请求伪造Cross-SiteRequestForgery（CSRF）273.2.10A9使用已知易受攻击组件UsingKnownVulnerableComponents273.2.11A10未验证的重定向和转发UnvalidatedRedirectsandForwards27III3.2.12HP报告的建议273.3评估风险283.3.1A1：SQL注入283.3

4、.2A3跨站式脚本303.3.3A5安全配置错误323.3.4A6敏感数据暴露333.3.5A7功能级别访问控制缺失343.3.7手动功能检测问题363.4本章小结40第四章ATAM架构评估报告424.1简介424.2第0阶段：合作关系和准备424.2.1合作关系424.2.2过程记录424.2.3评估小组角色分配434.2.4声明434.3第1阶段部分评估434.3.1ATAM方法表述434.3.2商业动机表述434.3.3架构的表述444.3.4对体系架构方法分类504.3.5生成质量属性效应树504.3.6分析架构方法514.4第2阶段评估564.4.1第7步集体讨

5、论确定场景的优先级564.4.2分析架构方法574.4.3结果的表述574.5第3阶段后续584.6本章小节58第五章安全战术设计595.1问题总结595.2战术设计595.2.1安全架构设计595.2.2安全架构实现635.2.4修复其他漏洞725.3本章小结74第六章战术模拟测试756.1MVC测试756.2战术模拟检测776.3TOWER检测796.4检测结论826.5本章小结82结论83论文总结83III下一步展望83参考文献84致谢86III第一章绪论1.1引言而对于信息化时代的今天，网站的安全问题愈发重要，一些漏洞不仅仅会给网站带来直接的经济损失，之后所引出来

6、的其他问题比如客户信息泄漏等将对网站用户造成更大的损失与伤害，并引发网站用户及社会对网站的信任危机，甚至成为网站的致命伤。所以对于网站开发人员，如何使网站在安全性方面得到客户的信赖十分关键。而本课题我们研究如何使用规范化的方法正确评估网站安全性，并根据实际案例www.innovationstations.com（数字创新加油站）提出安全策略战术，希望可以以此为基础，教会人们如何评估网站安全及构建安全的ASP.NET网站。1.2研究背景和现状分析2014年4月，名为“心脏出血”的重大安全漏洞被曝光，这个漏洞导致大量用户信息泄漏和损失，在当前访问量最大的1000个网站中，受影

7、响的网站和服务器包括雅虎，Imgur。DuckDuckGo等，甚至导致CRA（加拿大税务局）被迫关闭电子服务网站。2013年8月，国内大批快捷酒店订房记录被泄漏，包括客户名，开房日期，身份证号，房间号等隐私信息，甚至随之而来利用该漏洞用于查询住客信息的网站也出现，并迅速在网上流传。2012年9月，铁道部订票网站12306.cn被传出存在大量高危险的漏洞，包括SQL注入，XSS，绝对路径泄漏等。2011年12月，受程序员青睐的CSDN的安全系统遭受黑客攻击，600万的用户信息被泄漏，而与此同时，被指出泄漏问题的还有天涯，多玩，世