隨著互聯(lián)網(wǎng)絡(luò)不斷擴(kuò)容,移動(dòng)互聯(lián)技術(shù)不斷普及,在操作系統(tǒng)和客戶終端日趨多元化的今天,傳統(tǒng)類型的應(yīng)用軟件因?yàn)槠鋵?duì)于操作系統(tǒng)的高度依賴而漸漸淡出市場(chǎng)。而B(niǎo)rowser/Server架構(gòu)（簡(jiǎn)稱B/S架構(gòu)）的Web應(yīng)用以其免安裝、低維護(hù)的巨大優(yōu)勢(shì)占據(jù)主導(dǎo)優(yōu)勢(shì),取而代之成為主流。但與此同時(shí),如何有效保證Web應(yīng)用的安全也成為一個(gè)重要的課題。論文研究了如何根據(jù)OWASP提出作用于應(yīng)用層的參考方案,為歷史悠久、結(jié)構(gòu)復(fù)雜的大規(guī)模企業(yè)級(jí)Web應(yīng)用選擇并實(shí)施主動(dòng)防御的安全方案的全過(guò)程。論文一共分六章,首先研究了企業(yè)級(jí)Web應(yīng)用安全策略的特點(diǎn),接著深入分析了各種安全威脅的原理和主動(dòng)防御參考方案,并根據(jù)項(xiàng)目產(chǎn)品的特性與生命周期尋找出合適的檢測(cè)方案和檢測(cè)工具,之后在檢測(cè)方案實(shí)施后根據(jù)所發(fā)現(xiàn)的安全漏洞建立起有效的主動(dòng)防御機(jī)制,最后記錄了順利通過(guò)驗(yàn)證的過(guò)程。方案實(shí)施后順利通過(guò)產(chǎn)品安全性測(cè)試并且上線。主動(dòng)防御的安全性方案實(shí)施后,不但保護(hù)了客戶的敏感數(shù)據(jù),提高了項(xiàng)目產(chǎn)品的安全性,也能夠防范絕大多數(shù)的安全性攻擊,滿足了Web應(yīng)用的安全性需求。本文的研究成果對(duì)針對(duì)大規(guī)模Web應(yīng)用的具體情況量身訂制和實(shí)施主動(dòng)防御的安全性方案具... 

【文章來(lái)源】：西安電子科技大學(xué)陜西省 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：78 頁(yè)

【學(xué)位級(jí)別】：碩士

【文章目錄】：
摘要
Abstract
第一章 緒論
    1.1 研究背景
    1.2 國(guó)內(nèi)外Web應(yīng)用安全研究現(xiàn)狀
        1.2.1 Web安全的發(fā)展歷程
        1.2.2 國(guó)內(nèi)外Web安全現(xiàn)狀
        1.2.3 Web安全技術(shù)研究現(xiàn)狀
    1.3 課題的研究意義
    1.4 本文主要工作
第二章 Web應(yīng)用威脅性風(fēng)險(xiǎn)分析
    2.1 Web應(yīng)用的結(jié)構(gòu)
        2.1.1 Web應(yīng)用的概念
        2.1.2 Web應(yīng)用安全風(fēng)險(xiǎn)的核心與關(guān)鍵因素
    2.2 OWASP TOP 102010簡(jiǎn)介
        2.2.1 攻擊原理分析和主動(dòng)防御參考方案。
第三章 企業(yè)級(jí)Web應(yīng)用主動(dòng)防御安全機(jī)制的設(shè)計(jì)和分析
    3.1 RS項(xiàng)目安全現(xiàn)狀的調(diào)查
    3.2 設(shè)計(jì)檢測(cè)方案需遵循的原則
    3.3 幾種備選檢測(cè)手段優(yōu)劣分析
    3.4 輔助測(cè)試工具的研究
    3.5 檢測(cè)方案的選擇與實(shí)施
        3.5.1 檢測(cè)方案的選擇
        3.5.2 人工訪談的實(shí)施
        3.5.3 代碼審查的實(shí)施
        3.5.4 滲透測(cè)試的實(shí)施
    3.6 測(cè)試結(jié)果與漏洞分析
第四章 企業(yè)級(jí)Web應(yīng)用主動(dòng)防御安全機(jī)制的實(shí)現(xiàn)
    4.1 針對(duì)SQL注入的主動(dòng)防御方案設(shè)計(jì)
    4.2 針對(duì)沒(méi)有限制的URL訪問(wèn)的主動(dòng)防御方案設(shè)計(jì)
    4.3 針對(duì)跨站腳本的主動(dòng)防御方案設(shè)計(jì)
    4.4 信息泄露的主動(dòng)防御方案設(shè)計(jì)
    4.5 未驗(yàn)證的重定向和轉(zhuǎn)發(fā)的主動(dòng)防御方案設(shè)計(jì)
    4.6 傳輸層保護(hù)不足的主動(dòng)防御方案設(shè)計(jì)
    4.7 不安全的加密存儲(chǔ)的主動(dòng)防御方案設(shè)計(jì)
    4.8 跨站請(qǐng)求偽造的主動(dòng)防御方案設(shè)計(jì)
第五章 企業(yè)級(jí)Web應(yīng)用主動(dòng)防御安全機(jī)制的驗(yàn)證
    5.1 對(duì)主動(dòng)防御安全機(jī)制的實(shí)施進(jìn)行驗(yàn)證的目的
    5.2 驗(yàn)證方法的選擇
    5.3 主動(dòng)防御安全方案的驗(yàn)證結(jié)果
第六章 結(jié)論
致謝
參考文獻(xiàn)
附錄
    附錄A. ASVS-V2: Session Management Verification Requirements
    附錄B.ASVS-V3: Access Control Verification Requirements
    附錄C. 歷年OWASP TOP 10數(shù)據(jù)
    附錄D. 代碼安全審查的詳細(xì)檢查點(diǎn)列表
    附錄E. RS項(xiàng)目實(shí)施滲透測(cè)試的項(xiàng)目列表


【參考文獻(xiàn)】：
期刊論文
[1]網(wǎng)絡(luò)安全檢測(cè)的理論和實(shí)踐(二)[J]. 卿斯?jié)h.  計(jì)算機(jī)系統(tǒng)應(yīng)用. 2001(12)



本文編號(hào)：3072620