軟件安全實驗

1、軟件工程專業(yè)類課程實驗報告課程名稱：軟件安全技術學院：信息與軟件工程學院專業(yè)：軟件技術學生姓名及學號： 楊川疆 2011222010018指導教師：郭建東評分：日期： 2014年12 月 26 日電 子 科 技 大 學實 驗 報 告1、 實驗名稱： TAM2應用試驗2、 實驗時間和地點2014 年12 月 6 日 ； 4學時 ； 實驗樓303 3、 實驗目的了解微軟公司TAM2.0的主要功能，初步掌握其基本使用技術，掌握利用該軟件進行軟件安全分析的方法，掌握軟件安全系統(tǒng)分析的基本內容。4、 實驗設備與環(huán)境1) 基本環(huán)境要求計算機實驗室，40臺以上計算機。2) 最低設備要求硬盤：10G以上；內存

2、：512M以上；CPU：INTEL，訊馳或酷睿平臺3) 系統(tǒng)平臺要求WINDOWS XP以上。4) 軟件、硬件及相應工具要求TAM2.0以上版本。5、 實驗內容及要求1) 實驗基礎（必要的基礎知識） TAM的全稱是Microsoft Application Security Threat Analysis & Modeling（威脅分析與建模），其主要功能是識別威脅，并針對所定義的系統(tǒng)，定義安全策略。 利用TAM生成安全模型包括三個步驟的過程。l 首先，定義應用程序的環(huán)境。l 其次，在應用程序的頂層環(huán)境中建模。l 第三，衡量與每個危險伴隨的風險。 當完成上述三個步驟后，通過TAM的分析

3、，可視化和報告，形成系統(tǒng)的安全威脅模型。 TAM能夠基于用戶提供的已知的知識，自動生成潛在的威脅報告。同樣的，TAM也能夠通過用戶提供的知識，通過訪問控制矩陣，數(shù)據(jù)流圖和信任流圖等構建安全的產品，并給出用戶化的報告。目前為止，TAM仍然是一個發(fā)展中的軟件，但是其主要的理念，體現(xiàn)了當前軟件安全研究中的重要概念。2) 實驗注意事項要求實驗中，對系統(tǒng)的需求和架構建立盡量完整，這樣有利于得到更多的結論。 6、 實驗步驟1) 安裝TAMv2.1.2，并熟悉其界面，主要過程如下：n 圖5-1，同意該軟件用戶協(xié)議，下一步；圖 5-1n 圖5-2，選擇安裝路徑，下一步；圖 5-2n 圖5-3，正在安裝，下一步

4、；圖5-3n 圖5-4，安裝成功，打開軟件。圖 5-42) 定義軟件需求 此次我用于威脅建模的軟件是在線圖書管理系統(tǒng)，在此將圖書借閱管理系統(tǒng)定義為在學校范圍內使用的管理系統(tǒng)，因此涉及到的使用者是學生、教師及超級管理員，并不包括社會人員。 在線圖書借閱管理系統(tǒng)是為了使學生與教師能夠通過自助而非人工等待圖書管理員的幫助的方式完成借閱圖書等事宜，大大的提高了借閱圖書的效率，減輕了圖書管理員的負擔。n 定義業(yè)務目標 業(yè)務目標包括兩方面：圖書管理信息化，如圖5-5，圖書借閱自主化，如圖5-6。圖 5-5圖 5-6n 定義數(shù)據(jù) 數(shù)據(jù)有：借閱者信息，如圖5-7；超級管理員信息，如圖5-8；圖書信息，如圖5-

5、9；預定圖書信息，如圖5-10；借閱信息，如圖5-11；網(wǎng)頁表單，如圖5-12。詳細信息如下。圖 5-7圖 5-8圖 5-9圖 5-10圖 5-11圖 5-12n 定義應用用例 應用用例有：登錄用例、修改密碼用例、查詢圖書用例、超時處理用例、續(xù)借圖書用例、借閱圖書用例、預定圖書用例、歸還圖書用例、添加有效用戶、刪除有效用戶、編輯圖書信息用例、編輯用戶信息用例等。n 生成用例圖5-13為普通借閱者與超級管理員共同的操作。圖 5-13圖5-14 為普通借閱者的用例圖 5-14圖 5-15為超級管理員的用例圖 5-153) 定義程序架構n 定義部件 部件有數(shù)據(jù)庫、借閱圖書、預定圖書、歸還圖書、查詢圖

6、書、續(xù)借圖書、超期處理、登錄組件、添加用戶、刪除用戶、編輯用戶信息與編輯圖書信息，部件詳細信息如圖5-16： 圖 5-16n 定義服務角色服務角色分別為網(wǎng)站與數(shù)據(jù)庫。n 定義外部依賴 本軟件定義中無外部依賴。n 生成調用登錄用例調用如下圖。圖 5-17 修改密碼調用：圖 5-18 查詢圖書調用：圖 5-19 超時處理調用：圖 5-20續(xù)借圖書調用：圖 5-21借閱圖書調用：圖 5-22預定圖書調用：圖 5-23歸還圖書調用：圖 5-24添加有效用戶調用：圖 5-25刪除有效用戶調用：圖 5-26編輯圖書信息調用：圖 5-27編輯用戶信息調用：圖 5-284) 建立威脅模型n 產生威脅 通過To

7、ols工具欄的Generate Threats選項生成威脅模型，如圖5-41，5-42。圖 5-29圖 5-30n 主要威脅因素分析 主要的威脅因素有：緩沖區(qū)溢出、規(guī)范化、跨站點腳本、密碼分析攻擊、拒絕服務、重播攻擊、整數(shù)上溢或下溢、LDAP注入、中間人攻擊、網(wǎng)絡竊聽、點擊式攻擊、密碼強力攻擊、會話劫持、SQL注入、XML注入。n 報名性威脅自動生成的威脅如下圖：圖 5-31n 完整性威脅如下圖：圖 5-32n 可用性威脅如下圖：圖 5-335) 威脅衡量 我們通過TAM2得到了在線圖書管理系統(tǒng)的威脅列表，但是解決所有的威脅也許是不可行的，因此我們可以選擇那些可能會造成較大損失的威脅來解決，而

8、忽略掉可能性小的。 所以我們需要對威脅進行衡量，危險 = 發(fā)生的概率×潛在的損失，該公式表明，特定威脅造成的危險等于威脅發(fā)生的概率乘以潛在的損失，這表明了如果攻擊發(fā)生將會對系統(tǒng)造成的后果。我們可以通過DREAD威脅評價表來幫助我們衡量威脅，如下表：評價高（3）中（2）低（1）D潛在的損失攻擊者可以暗中破壞安全系統(tǒng)，獲取完全信任的授權，以管理員的身份運行程序，上傳內容。泄漏敏感信息泄露價值不高的信息R重現(xiàn)性攻擊每次可以重現(xiàn)，而且不需要時間間隔。攻擊每次可以重現(xiàn)，但只在一個時間間隔和一種特定的競爭條件下才能進行。攻擊很難重現(xiàn)，即使很了解安全漏洞。E可利用性編程新手在短時間內就可以進行這類

9、攻擊。熟練編程人員可以進行這類攻擊，然后重復進行這些步驟。這類攻擊需要非常老練的人員才能進行，并對每次攻擊都有深入的了解。A受影響的用戶所有的用戶，默認配置，主要客戶一些用戶，非默認配置極少的用戶，特點不明確，影響匿名用戶D可發(fā)現(xiàn)性公開解釋攻擊的信息?？梢栽谧畛Ｓ霉δ苤姓业降娜毕?，非常明顯。產品中很少使用部分的缺陷，只有少量的用戶可能遇到。判斷是否是惡意使用需要花費一些心機。錯誤不明顯，用戶不可能引起潛在的損失表 5-1詢問完上述問題后，計算給定威脅的值 (13)。結果范圍為 515。這樣您就可以將總分 1215 的威脅評價為高度危險，811 的威脅評價為中度危險，57 的威脅評價為低度危險。

10、下面對我們的威脅列表進行威脅評價。如下表：威脅DREAD總計得分緩沖區(qū)溢出122128中規(guī)范化113218中跨站點腳本3323314高密碼分析攻擊3213110中拒絕服務2233313高強迫瀏覽212229中格式字符串111111低重播攻擊2323212高整數(shù)溢出或下溢123118中LDAP注入2323212高中間人攻擊3322212高點擊式攻擊2321311中網(wǎng)絡竊聽3322212高密碼強力攻擊3223212高會話劫持2223312高SQL注入3333214高XML注入3232310中表 5-27、 實驗結果通過完善在線圖書管理系統(tǒng)的相關信息，我們得到了該系統(tǒng)的威脅模型，了解到該系統(tǒng)的漏洞與可能面臨的危險，在建模過程的現(xiàn)階段，已經(jīng)有了應用到特定應用程序方案的威脅列表。在建模過程的最后階段，要根據(jù)威脅造成的危險對其進行評價。這樣我們就能夠首先解決危險最大的威脅，然后再解決其他的威脅。實際上，解決所有找出的威脅也許在經(jīng)濟上是不可行的，所以我們可以進行決策忽略掉一些，因為它們發(fā)生的機會很小。即使發(fā)生，帶來的損失很小。8