版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1基于ASP.NET的Web安全性评估、设计与实现
指导教师姓名:学科专业名称:软件工程学生所属学院:软件学院论文答辩日期:2014年6月华南理工大学本科学位论文2华南理工大学本科学位论文论文背景2014年4月,名为“心脏出血”的重大安全漏洞被曝光。2013年8月,国内大批快捷酒店订房记录被泄漏。2012年9月,铁道部订票网站12306.cn被传出存在大量高危险的漏洞。2011年12月,CSDN的安全系统遭受黑客攻击,600万的用户信息被泄漏。......
如何正确的评估上线网站的安全性,设计针对网站合理的安全策略战术的重要性实在不言而喻。华南理工大学本科学位论文3华南理工大学本科学位论文论文框架◆绪论◆OWASPtop10漏洞检测◆OWASP风险评估◆ATAM权衡分析◆安全战术设计◆战术模拟检测华南理工大学本科学位论文4华南理工大学本科学位论文发现漏洞1)网站简介
数字创新加油站是一个集信息发布和项目管理于一体的网站华南理工大学本科学位论文5华南理工大学本科学位论文发现漏洞2)工具说明HPWebInspect是一款易用、精确的Web应用安全评估软件。NetSparker一款综合型的时刻更新web应用安全漏洞扫描工具。3)OWASP(OpenWebApplicationSecurityProject)是一个提供有关计算机和互联网应用程序的公正的信息组织,该组织提供的OWASPtop10(Web应用十大风险)是基于OWASP所调查的上百个公司数千个应用中发现的超过约50万个漏洞总结得出的。华南理工大学本科学位论文6华南理工大学本科学位论文分析漏洞A1注入Injection该网站存在的注入问题主要为SQL注入。程序把用户输入的一部分字符串直接用在了sql语句的拼接上,导致了用户可以控制sql语句,比如加入非法行为(delete等)、绕过用户或密码验证等)例如Stringquery="SELECT*FROMDetailsWHEREDid='"+request.getParameter("id")+"'";如果攻击者在浏览器上修改id参数,url?id='or'1'='1,那么查询的意义就会被改变,将返回数据库所有Details数据,而不仅仅是指定id的数据。华南理工大学本科学位论文7华南理工大学本科学位论文分析漏洞
在登录界面,输入从未使用的登录名Smith,输入密码’OR’ns’=’ns华南理工大学本科学位论文8华南理工大学本科学位论文分析漏洞
该用户已被锁定,即从未注册和使用的账户在参数设定后成为了拥有账户的状态,SQL注入问题存在华南理工大学本科学位论文9华南理工大学本科学位论文风险评估SQL注入问题1
漏洞被利用的可能性分析华南理工大学本科学位论文10华南理工大学本科学位论文风险评估SQL注入问题1
漏洞影响后果分析风险严重程度华南理工大学本科学位论文11华南理工大学本科学位论文在对自动工具不方便检测的部分进行手动功能性检测之后,对所有漏洞进行风险评估,分析评估结果,发现网站漏洞基本属于常见而又危险的,逐一修复会非常麻烦,且可能引发深层原因,于是深度分析,猜想:网站的软件结构无法满足网站安全性需求,所以进行ATAM权衡分析验证猜想。ATAMArchitectureTradeoffAnalysisMethod(构架权
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2023-2024学年河南省郑州市中牟县高二下学期期中考试物理试题(解析版)
- 2024年江西省宜春市靖安县数学六上期末综合测试模拟试题含解析
- 2024年江西省九江市修水县数学六上期末考试试题含解析
- 2024年江苏省扬州市经济开发区数学六上期末预测试题含解析
- 2024年江苏省徐州市经济技术开发区数学四年级第一学期期末考试试题含解析
- 2024年湖南省岳阳市平江县招聘财会类专业技术人员40人历年高频500题难、易错点模拟试题附带答案详解
- 2024年湖南益阳市市直事业单位招聘11人历年高频500题难、易错点模拟试题附带答案详解
- 2024年湖南湘西州州委办公室下属事业单位选调14人历年高频500题难、易错点模拟试题附带答案详解
- 2024年湖南株洲市财政局招聘和选调事业单位人员8人历年高频500题难、易错点模拟试题附带答案详解
- 2024年湖南常德汉寿县事业单位招聘35人历年高频500题难、易错点模拟试题附带答案详解
- 小猪唏哩呼噜阅读指导(课堂PPT)
- 特种作业人员“四证合一”信息表
- 蜗轮蜗杆测绘、设计计算及图纸标注
- 我长大了主题班会
- 与朱元思书余映潮(课堂PPT)
- 人教版《亿以内数的读法》练习题
- 建设单位驻场项目管理职责及工作要点简述
- 不设董事会的有限责任公司章程(范本)
- (完整版)幼儿园大班加减混合运算
- 血液净化中心应急预案.ppt
- 谐波齿轮传动及谐波减速器
评论
0/150
提交评论