《基于 ASP.NET 的 Web 安全性评估、设计与实现 (2)》由会员分享,可在线阅读,更多相关《基于 ASP.NET 的 Web 安全性评估、设计与实现 (2)(92页珍藏版)》请在金锄头文库上搜索。
1、 本科毕业设计(论文)题目:基于 ASP.NET 的 Web 安全性评估、设计与实现 学 院 软件学院 专 业 软件工程 学生姓名 学生学号 指导教师 提交日期 摘要 在基于ASP.NET开发的网站中,有相当一部分的网站开发者没有缜密的安全计划,导致网站出现漏洞给网站和用户带来损害,而目前国内关于WEB安全的研究文献,只是笼统地说明常见的几个漏洞和解决方法,这种方法实施起来其实因为不同的部署以及未能针对具体系统和开发环境设计所以很难完成任务,并且对于网站如何规范化检测漏洞,网站存在的各方面漏洞如何有效合理地针对和解决,一些知名的检测工具和方法的使用都没有详细描述。 本课题主要研究ASP.NET
2、网站的安全性评估,设计与实现,通过使用经典安全测试工具NetSparker,WebInspect等对案例网站进行OWASP TOP 10漏洞检测并结合OWASP风险模型信息量化评估方法进行风险评估,与网站决策人确认评估结果提出网站架构无法满足网站安全需求的问题,然后熟悉网站代码和业务逻辑,利用ATAM架构权衡分析法对网站架构进行分析确认结论,紧接着凭借ASP.NET安全实践方法和安全架构战术如认证,审计追踪等对网站进行重构与漏洞修复工作,设计严谨可靠的安全战术策略,最后再利用WebInspect对该战术进行检测并与知名同类项目管理权威网站Tower.im的检测结果进行对比验证战术的可靠性。 通
3、过该课题的研究成果,可以熟悉地掌握对于网站的规统化安全检测及评估方法,设计缜密的安全战术,构建安全可靠的WEB网站,并希望以此为基础,让非安全专业人士能正确的了解网站的漏洞检测,安全评估和战术设计。关键词 : ASP.NET;OWASP TOP 10漏洞检测 ;ATAM架构权衡分析法;安全性战术设计(另起页:外文摘要范例;英文摘要和关键词应该是中文摘要和关键词的翻译)Abstract(小三号,Times New Roman字体,加粗,居中,上下空一行)。 (正文:Times New Roman字体,小四号,行距为固定值20磅)Keyword(Times New Roman字体,小三号,加粗,居
4、左): Multivariable system, Predictive control, Environmental test device(Times New Roman字体,小四号) 目 录摘要IIAbstractIII目 录IV第一章 绪论11.1 引言11.2 研究背景和现状分析11.3 研究内容和意义21.4本文术语表21.5本论文结构4第二章 相关技术知识简介52.1技术方法简介52.1.1 OWASP TOP 10 评估方法简介52.1.2 ATAM方法简介52.1.3 ASP.NET技术52.1.4 ASP.NET MVC基本概念62.1.5 ASP.NET MVC的优点62
5、.1.6 Spring.NET简介72.2工具简介72.2.1 HP WebInspect 10.072.2.2 NetSparker Professional Edition72.2.4 Microsoft Visual Studio 201082.3本章小结8第三章 OWASP评估93.1网站简介93.2 OWASP 风险评估113.2.1识别风险113.2.2 A1 注入 Injection193.2.3 A2 失效的身份认证和会话管理 Broken Authentication and Session Management223.2.4 A3 跨站式脚本 Cross-Site Scri
6、pting (css)223.2.5 A4 不安全的对象直接引用 Insecure Direct Object References243.2.6 A5 安全配置错误 Security Misconfiguration243.2.7 A6 敏感数据暴露 Sensitive Data Exposure253.2.8 A7 功能级别访问控制缺失 Missing Function Level Access Control263.2.9 A8 跨站请求伪造 Cross-Site Request Forgery(CSRF)273.2.10 A9 使用已知易受攻击组件 Using Known Vulner
7、able Components273.2.11 A10 未验证的重定向和转发 Unvalidated Redirects and Forwards273.2.12 HP报告的建议273.3 评估风险283.3.1 A1:SQL注入283.3.2 A3 跨站式脚本303.3.3 A5 安全配置错误323.3.4 A6 敏感数据暴露333.3.5 A7 功能级别访问控制缺失343.3.7 手动功能检测问题363.4 本章小结40第四章 ATAM架构评估报告424.1简介424.2 第0阶段:合作关系和准备424.2.1合作关系424.2.2 过程记录424.2.3 评估小组角色分配434.2.4
8、声明434.3 第1阶段 部分评估434.3.1 ATAM方法表述434.3.2 商业动机表述434.3.3架构的表述444.3.4 对体系架构方法分类504.3.5 生成质量属性效应树504.3.6分析架构方法514.4 第2阶段 评估564.4.1 第7步 集体讨论确定场景的优先级564.4.2 分析架构方法574.4.3 结果的表述574.5 第3阶段 后续584.6 本章小节58第五章 安全战术设计595.1 问题总结595.2 战术设计595.2.1 安全架构设计595.2.2 安全架构实现635.2.4 修复其他漏洞725.3 本章小结74第六章 战术模拟测试756.1 MVC测试
9、756.2 战术模拟检测776.3 TOWER检测796.4 检测结论826.5 本章小结82结论83论文总结83下一步展望83参考文献84致谢86V第一章 绪论1.1 引言 而对于信息化时代的今天,网站的安全问题愈发重要,一些漏洞不仅仅会给网站带来直接的经济损失,之后所引出来的其他问题比如客户信息泄漏等将对网站用户造成更大的损失与伤害,并引发网站用户及社会对网站的信任危机,甚至成为网站的致命伤。所以对于网站开发人员,如何使网站在安全性方面得到客户的信赖十分关键。 而本课题我们研究如何使用规范化的方法正确评估网站安全性,并根据实际案例 (数字创新加油站)提出安全策略战术,希望可以以此为基础,教
10、会人们如何评估网站安全及构建安全的ASP.NET网站。1.2 研究背景和现状分析 2014年4月,名为“心脏出血”的重大安全漏洞被曝光,这个漏洞导致大量用户信息泄漏和损失,在当前访问量最大的1000个网站中,受影响的网站和服务器包括雅虎,Imgur。DuckDuckGo等,甚至导致CRA(加拿大税务局)被迫关闭电子服务网站。 2013年8月,国内大批快捷酒店订房记录被泄漏,包括客户名,开房日期,身份证号,房间号等隐私信息,甚至随之而来利用该漏洞用于查询住客信息的网站也出现,并迅速在网上流传。 2012年9月,铁道部订票网站被传出存在大量高危险的漏洞,包括SQL注入,XSS,绝对路径泄漏等。 2
11、011年12月,受程序员青睐的CSDN的安全系统遭受黑客攻击,600万的用户信息被泄漏,而与此同时,被指出泄漏问题的还有天涯,多玩,世纪佳缘等大规模网站。 . . 每年,随着互联网的发展与进步,新的漏洞出现,以前被忽视的安全隐患也登上了舞台,这些漏洞对于互联网,对于越来越离不开互联网生活的我们影响也越来越大,甚至一些一直被信赖为不可能被攻陷的权威网站也发生了这种情况。如何正确的评估上线网站的安全性,设计针对网站合理的安全策略战术的重要性实在不言而喻。 对于国外而言,目前互联网上有大量的好用的安全检测工具,不仅仅是开源的如Nikto,Watabo和OWASP组织提供的系列工具,还有大型的商业性工
12、具如HPInspect,Netsparker等。这类工具在不断地被研究和进步成为网站开发人员评估网站安全设计网站安全战术的重要组成。在整个互联网世界,WEB安全的研究凭借以往的研究成果和设计的工具发展越来越便捷,而WEB安全研究的发展更带动了安全工具和战术的优化和普及(HPWebInspect新版本已经到了10.0)。 工具的发展只是窥探本体发展的一小部分“视图”,的不仅仅是工具,对于安全漏洞的本质研究,针对不断涌现的新的安全问题,国内外的学者和组织不断地钻研与交流学习(如互联网安全大会,OWASP会议等)不断提出了新的安全战术和解决方案,从而使问题得到解决维护互联网的稳定和安全。 而国内,乌
13、云漏洞平台是一个2010年建立的位于厂商和安全研究组之间的安全问题反馈平台,在对安全问题进行研究与处理的同时也给广大的安全爱好者提供了学习与交流的环境,吸引了众多安全团队在该平台发布信息及交流。乌云平台发布的主要漏洞包括携同网源代码包可下载,游久网口令漏洞,百度主站反射型XSS,太平洋网络文件下载漏洞,搜狐邮箱存储型XSS,腾讯微云存储等。 虽然乌云平台有大量专业的安全研究人员,但是平台才发展不到五年,对于国内WEB安全问题和机制的重要性没有得到大部分人正确认识的现状,很多优秀的安全检测工具仅仅只被少部分专业安全人士熟悉,这些安全工具在国内少有人研究,甚至连使用方法都很难在互联网上找到。所以这
14、更加形成了一个微妙的恶性循环。所以WEB安全的重要性和检测工具的普及还需要我们进一步努力。 1.3 研究内容和意义 目前国内有不少关于WEB安全的研究的文献,只是笼统地说明常见的几个漏洞和解决方法,这种方法实施起来其实因为不同的部署以及未能针对具体系统和开发环境所以很难完成任务,而且对于网站如何检测漏洞,对于网站存在的各方面漏洞如何有效合理地针对和解决都没有描述。本课题希望通过针对一个具体的案例ASP.NET网站 (数字创新加油站)进行规范化的安全评估,利用一些知名的工具(HPWebInspect,Netspaker)找出网站存在的主要漏洞,并使用OWASP量化评估方法和ATAM权衡分析法针对风险和架构进行客观
