返回
软件安全实验.doc

软件安全实验.doc

ID:56199403

大小:1.10 MB

页数:26页

时间:2020-03-20

软件安全实验.doc_第1页
软件安全实验.doc_第2页
软件安全实验.doc_第3页
软件安全实验.doc_第4页
软件安全实验.doc_第5页
资源描述:

《软件安全实验.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、软件工程专业类课程实验报告课程名称:软件安全技术学  院:信息与软件工程学院专  业:软件技术学生姓名及学号:杨川疆2011222010018指导教师:郭建东评  分:日  期:2014年 12月 26日电子科技大学实验报告一、实验名称:TAM2应用试验二、实验时间和地点2014年12月6日;4学时;实验楼303三、实验目的了解微软公司TAM2.0的主要功能,初步掌握其基本使用技术,掌握利用该软件进行软件安全分析的方法,掌握软件安全系统分析的基本内容。四、实验设备与环境1)基本环境要求计算机实验室,40台以上计算机。2)最低设备要求硬盘:10

2、G以上;内存:512M以上;CPU:INTEL,讯驰或酷睿平台3)系统平台要求WINDOWSXP以上。4)软件、硬件及相应工具要求TAM2.0以上版本。五、实验内容及要求1)实验基础(必要的基础知识)TAM的全称是MicrosoftApplicationSecurityThreatAnalysis&Modeling(威胁分析与建模),其主要功能是识别威胁,并针对所定义的系统,定义安全策略。利用TAM生成安全模型包括三个步骤的过程。l首先,定义应用程序的环境。l其次,在应用程序的顶层环境中建模。l第三,衡量与每个危险伴随的风险。当完成上述三个步

3、骤后,通过TAM的分析,可视化和报告,形成系统的安全威胁模型。TAM能够基于用户提供的已知的知识,自动生成潜在的威胁报告。同样的,TAM也能够通过用户提供的知识,通过访问控制矩阵,数据流图和信任流图等构建安全的产品,并给出用户化的报告。目前为止,TAM仍然是一个发展中的软件,但是其主要的理念,体现了当前软件安全研究中的重要概念。1)实验注意事项要求实验中,对系统的需求和架构建立尽量完整,这样有利于得到更多的结论。一、实验步骤1)安装TAMv2.1.2,并熟悉其界面,主要过程如下:n图5-1,同意该软件用户协议,下一步;图5-1n图5-2,选择

4、安装路径,下一步;图5-2n图5-3,正在安装,下一步;图5-3n图5-4,安装成功,打开软件。图5-41)定义软件需求此次我用于威胁建模的软件是在线图书管理系统,在此将图书借阅管理系统定义为在学校范围内使用的管理系统,因此涉及到的使用者是学生、教师及超级管理员,并不包括社会人员。在线图书借阅管理系统是为了使学生与教师能够通过自助而非人工等待图书管理员的帮助的方式完成借阅图书等事宜,大大的提高了借阅图书的效率,减轻了图书管理员的负担。n定义业务目标业务目标包括两方面:图书管理信息化,如图5-5,图书借阅自主化,如图5-6。图5-5图5-6n定

5、义数据数据有:借阅者信息,如图5-7;超级管理员信息,如图5-8;图书信息,如图5-9;预定图书信息,如图5-10;借阅信息,如图5-11;网页表单,如图5-12。详细信息如下。图5-7图5-8图5-9图5-10图5-11图5-12n定义应用用例应用用例有:登录用例、修改密码用例、查询图书用例、超时处理用例、续借图书用例、借阅图书用例、预定图书用例、归还图书用例、添加有效用户、删除有效用户、编辑图书信息用例、编辑用户信息用例等。n生成用例图5-13为普通借阅者与超级管理员共同的操作。图5-13图5-14为普通借阅者的用例图5-14图5-15为

6、超级管理员的用例图5-151)定义程序架构n定义部件部件有数据库、借阅图书、预定图书、归还图书、查询图书、续借图书、超期处理、登录组件、添加用户、删除用户、编辑用户信息与编辑图书信息,部件详细信息如图5-16:图5-16n定义服务角色服务角色分别为网站与数据库。n定义外部依赖本软件定义中无外部依赖。n生成调用登录用例调用如下图。图5-17修改密码调用:图5-18查询图书调用:图5-19超时处理调用:图5-20续借图书调用:图5-21借阅图书调用:图5-22预定图书调用:图5-23归还图书调用:图5-24添加有效用户调用:图5-25删除有效用户

7、调用:图5-26编辑图书信息调用:图5-27编辑用户信息调用:图5-281)建立威胁模型n产生威胁通过Tools工具栏的GenerateThreats选项生成威胁模型,如图5-41,5-42。图5-29图5-30n主要威胁因素分析主要的威胁因素有:缓冲区溢出、规范化、跨站点脚本、密码分析攻击、拒绝服务、重播攻击、整数上溢或下溢、LDAP注入、中间人攻击、网络窃听、点击式攻击、密码强力攻击、会话劫持、SQL注入、XML注入。n报名性威胁自动生成的威胁如下图:图5-31n完整性威胁如下图:图5-32n可用性威胁如下图:图5-331)威胁衡量我们通

8、过TAM2得到了在线图书管理系统的威胁列表,但是解决所有的威胁也许是不可行的,因此我们可以选择那些可能会造成较大损失的威胁来解决,而忽略掉可能性小的。所以我们需要对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。