基于 ASP点NET 的 Web 安全性评估、设计与实现-舜答辩PPT

1基于ASP.NET的Web安全性评估、设计与实现

指导教师姓名：学科专业名称：软件工程学生所属学院：软件学院论文答辩日期：2014年6月华南理工大学本科学位论文2华南理工大学本科学位论文论文背景2014年4月，名为“心脏出血”的重大安全漏洞被曝光。2013年8月，国内大批快捷酒店订房记录被泄漏。2012年9月，铁道部订票网站12306.cn被传出存在大量高危险的漏洞。2011年12月，CSDN的安全系统遭受黑客攻击，600万的用户信息被泄漏。......

如何正确的评估上线网站的安全性，设计针对网站合理的安全策略战术的重要性实在不言而喻。华南理工大学本科学位论文3华南理工大学本科学位论文论文框架◆绪论◆OWASPtop10漏洞检测◆OWASP风险评估◆ATAM权衡分析◆安全战术设计◆战术模拟检测华南理工大学本科学位论文4华南理工大学本科学位论文发现漏洞1）网站简介

数字创新加油站是一个集信息发布和项目管理于一体的网站华南理工大学本科学位论文5华南理工大学本科学位论文发现漏洞2）工具说明HPWebInspect是一款易用、精确的Web应用安全评估软件。NetSparker一款综合型的时刻更新web应用安全漏洞扫描工具。3）OWASP（OpenWebApplicationSecurityProject）是一个提供有关计算机和互联网应用程序的公正的信息组织，该组织提供的OWASPtop10（Web应用十大风险）是基于OWASP所调查的上百个公司数千个应用中发现的超过约50万个漏洞总结得出的。华南理工大学本科学位论文6华南理工大学本科学位论文分析漏洞A1注入Injection该网站存在的注入问题主要为SQL注入。程序把用户输入的一部分字符串直接用在了sql语句的拼接上，导致了用户可以控制sql语句，比如加入非法行为（delete等）、绕过用户或密码验证等）例如Stringquery="SELECT*FROMDetailsWHEREDid='"+request.getParameter("id")+"'";如果攻击者在浏览器上修改id参数，url?id='or'1'='1，那么查询的意义就会被改变，将返回数据库所有Details数据，而不仅仅是指定id的数据。华南理工大学本科学位论文7华南理工大学本科学位论文分析漏洞

在登录界面，输入从未使用的登录名Smith，输入密码’OR’ns’=’ns华南理工大学本科学位论文8华南理工大学本科学位论文分析漏洞

该用户已被锁定，即从未注册和使用的账户在参数设定后成为了拥有账户的状态，SQL注入问题存在华南理工大学本科学位论文9华南理工大学本科学位论文风险评估SQL注入问题1

漏洞被利用的可能性分析华南理工大学本科学位论文10华南理工大学本科学位论文风险评估SQL注入问题1

漏洞影响后果分析风险严重程度华南理工大学本科学位论文11华南理工大学本科学位论文在对自动工具不方便检测的部分进行手动功能性检测之后，对所有漏洞进行风险评估，分析评估结果，发现网站漏洞基本属于常见而又危险的，逐一修复会非常麻烦，且可能引发深层原因，于是深度分析，猜想：网站的软件结构无法满足网站安全性需求，所以进行ATAM权衡分析验证猜想。ATAMArchitectureTradeoffAnalysisMethod(构架权