基于ASP點(diǎn)NET的Web安全性評(píng)估、設(shè)計(jì)與實(shí)現(xiàn)-舜答辯

1、 1基于 ASP.NET 的 Web 安全性評(píng)估、設(shè)計(jì)與實(shí)現(xiàn) 指導(dǎo)教師姓名： 學(xué) 科 專 業(yè) 名 稱：軟件工程學(xué) 生 所 屬 學(xué) 院：軟件學(xué)院論 文 答 辯 日 期：2014年6月華南理工大學(xué)本科學(xué)位論文2華南理工大學(xué)本科學(xué)位論文論文背景 2014年4月，名為“心臟出血”的重大安全漏洞被曝光。2013年8月，國(guó)內(nèi)大批快捷酒店訂房記錄被泄漏。 2012年9月，鐵道部訂票網(wǎng)站被傳出存在大量高危險(xiǎn)的漏洞。2011年12月，CSDN的安全系統(tǒng)遭受黑客攻擊，600萬的用戶信息被泄漏。. 如何正確的評(píng)估上線網(wǎng)站的安全性，設(shè)計(jì)針對(duì)網(wǎng)站合理的安全策略戰(zhàn)術(shù)的重要性實(shí)在不言而喻。華南理工大學(xué)本科學(xué)位論文3華南理工

2、大學(xué)本科學(xué)位論文論文框架 緒論 OWASP top 10漏洞檢測(cè) OWASP風(fēng)險(xiǎn)評(píng)估 ATAM權(quán)衡分析 安全戰(zhàn)術(shù)設(shè)計(jì) 戰(zhàn)術(shù)模擬檢測(cè)華南理工大學(xué)本科學(xué)位論文4華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞1）網(wǎng)站簡(jiǎn)介 數(shù)字創(chuàng)新加油站是一個(gè)集信息發(fā)布和項(xiàng)目管理于一體的網(wǎng)站華南理工大學(xué)本科學(xué)位論文5華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞2） 工具說明 HP WebInspect是一款易用、精確的Web應(yīng)用安全評(píng)估軟件。 NetSparker一款綜合型的時(shí)刻更新web應(yīng)用安全漏洞掃描工具。3） OWASP （Open Web Application Security Project）是一個(gè)提供有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的

3、公正的信息組織，該組織提供的OWASP top10 （Web應(yīng)用十大風(fēng)險(xiǎn)）是基于OWASP所調(diào)查的上百個(gè)公司數(shù)千個(gè)應(yīng)用中發(fā)現(xiàn)的超過約50萬個(gè)漏洞總結(jié)得出的。華南理工大學(xué)本科學(xué)位論文6華南理工大學(xué)本科學(xué)位論文分析漏洞A1 注入 Injection 該網(wǎng)站存在的注入問題主要為SQL注入。 程序把用戶輸入的一部分字符串直接用在了sql語句的拼接上，導(dǎo)致了用戶可以控制sql語句，比如加入非法行為（delete等）、繞過用戶或密碼驗(yàn)證等） 例如 String query = SELECT * FROM Details WHERE Did= + request.getParameter(id) +; 如果

4、攻擊者在瀏覽器上修改id參數(shù)，url?id= or 1=1 ，那么查詢的意義就會(huì)被改變，將返回?cái)?shù)據(jù)庫所有Details數(shù)據(jù)，而不僅僅是指定id的數(shù)據(jù)。華南理工大學(xué)本科學(xué)位論文7華南理工大學(xué)本科學(xué)位論文分析漏洞 在登錄界面，輸入從未使用的登錄名Smith，輸入密碼ORns=ns華南理工大學(xué)本科學(xué)位論文8華南理工大學(xué)本科學(xué)位論文分析漏洞 該用戶已被鎖定，即從未注冊(cè)和使用的賬戶在參數(shù)設(shè)定后成為了擁有賬戶的狀態(tài)，SQL注入問題存在華南理工大學(xué)本科學(xué)位論文9華南理工大學(xué)本科學(xué)位論文風(fēng)險(xiǎn)評(píng)估 SQL注入問題1 漏洞被利用的可能性分析華南理工大學(xué)本科學(xué)位論文10華南理工大學(xué)本科學(xué)位論文風(fēng)險(xiǎn)評(píng)估 SQL注入問

5、題1 漏洞影響后果分析風(fēng)險(xiǎn)嚴(yán)重程度華南理工大學(xué)本科學(xué)位論文11華南理工大學(xué)本科學(xué)位論文 在對(duì)自動(dòng)工具不方便檢測(cè)的部分進(jìn)行手動(dòng)功能性檢測(cè)之后，對(duì)所有漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，分析評(píng)估結(jié)果，發(fā)現(xiàn)網(wǎng)站漏洞基本屬于常見而又危險(xiǎn)的，逐一修復(fù)會(huì)非常麻煩，且可能引發(fā)深層原因，于是深度分析，猜想：網(wǎng)站的軟件結(jié)構(gòu)無法滿足網(wǎng)站安全性需求，所以進(jìn)行ATAM權(quán)衡分析驗(yàn)證猜想。ATAM Architecture Tradeoff Analysis Method(構(gòu)架權(quán)衡分析方法），這是評(píng)價(jià)應(yīng)用的軟件架構(gòu)的一種綜合性方法分為四個(gè)階段和9個(gè)步驟。華南理工大學(xué)本科學(xué)位論文12華南理工大學(xué)本科學(xué)位論文第1階段 第5步 屬性效用樹華南理

6、工大學(xué)本科學(xué)位論文13華南理工大學(xué)本科學(xué)位論文華南理工大學(xué)本科學(xué)位論文14華南理工大學(xué)本科學(xué)位論文戰(zhàn)術(shù)設(shè)計(jì)確認(rèn)第三章的猜想，從而設(shè)計(jì)完善的安全戰(zhàn)術(shù)，首先網(wǎng)站存在的安全問題如下。sql注入問題管理員界面管理網(wǎng)站或者用戶管理文檔的時(shí)候存在不安全的對(duì)象直接引用需要解決參數(shù)編碼解碼問題功能級(jí)別訪問控制缺失 用戶登錄傳輸問題https防范XSS攻擊可對(duì)客戶輸入的數(shù)據(jù)類型和長(zhǎng)度進(jìn)行嚴(yán)格驗(yàn)證一些不符合安全需求的控件或方法關(guān)閉CSRF漏洞 修復(fù)上傳重復(fù)問題攻擊或非法操作中修復(fù)的安全戰(zhàn)術(shù)：監(jiān)控用戶（和管理員）操作，增加日志審計(jì)模塊。另外建立項(xiàng)目文檔管理機(jī)制。身份多重邏輯修復(fù)，還有高峰訪問處理華南理工大學(xué)本科學(xué)位

7、論文15華南理工大學(xué)本科學(xué)位論文安全架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)使用ASP.Net MVC+Spring.Net 進(jìn)行網(wǎng)站重構(gòu)華南理工大學(xué)本科學(xué)位論文16華南理工大學(xué)本科學(xué)位論文利用AOP思想 添加系統(tǒng)日志模塊。加入通知器和攔截類。修復(fù)其他漏洞，包括關(guān)閉不安全的控件和http方法，使用https傳輸和數(shù)據(jù)庫連接池，加入XSS過濾方法，SQL參數(shù)化等等華南理工大學(xué)本科學(xué)位論文17華南理工大學(xué)本科學(xué)位論文戰(zhàn)術(shù)檢測(cè)1）MVC檢測(cè) 對(duì)簡(jiǎn)單的MVC網(wǎng)站進(jìn)行檢測(cè)，驗(yàn)證其可以解決功能性訪問控制缺失問題華南理工大學(xué)本科學(xué)位論文18華南理工大學(xué)本科學(xué)位論文2） 在原網(wǎng)站代碼上安照安全戰(zhàn)術(shù)進(jìn)行非重構(gòu)部分的修改，檢測(cè)結(jié)果 原有的一些漏洞（如安全配置錯(cuò)誤autocomplete控件等）被修復(fù)了，在新檢測(cè)的結(jié)果中，可能存在的參數(shù)緩沖區(qū)問題可以設(shè)置過濾器來解決，其他的漏洞，則根據(jù)需要再討論決定是否修復(fù)和使用何種方案修復(fù)。華南理工大學(xué)本科學(xué)位論文19華南理工大學(xué)本科學(xué)位論文3） Tower檢測(cè) 與同類經(jīng)典網(wǎng)站進(jìn)行檢測(cè)對(duì)比（首先，確認(rèn)該行為合法性），Tower.im是彩程設(shè)計(jì)下的平臺(tái)，彩成設(shè)計(jì)委托了烏云平臺(tái)進(jìn)行公開安全檢測(cè)。對(duì)比證實(shí)，雖然