




下載本文檔
版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、-軟件工程課程實(shí)驗(yàn)報(bào)告課程名稱:軟件安全技術(shù)大學(xué):信息軟件工程學(xué)院專業(yè)領(lǐng)域:軟件技術(shù)學(xué)生姓名和學(xué)校號(hào)碼:陽(yáng)川江2011220818導(dǎo)師:郭建東評(píng)分:日期:2014年12月26日電氣科學(xué)和技術(shù)如實(shí)報(bào)告1、實(shí)驗(yàn)名稱:TAM2應(yīng)用測(cè)試2、實(shí)驗(yàn)時(shí)間和地點(diǎn)2014年12月6日;4小時(shí);實(shí)驗(yàn)室建筑3033、實(shí)驗(yàn)?zāi)康牧私釳icrosoft的TAM2.0的主要功能,初步了解基本使用技能,了解如何使用軟件進(jìn)行軟件安全分析,以及軟件安全系統(tǒng)分析的基本內(nèi)容。4、實(shí)驗(yàn)設(shè)備和環(huán)境1)基本環(huán)境要求電腦實(shí)驗(yàn)室,40多臺(tái)電腦。2)最低設(shè)備要求硬盤:10G或更高,內(nèi)存:512M或更高,CPU:INTEL、jumbo或核心平臺(tái)3
2、)系統(tǒng)平臺(tái)要求WINDOWS XP或更高版本。4)軟件、硬件及其工具要求TAM2.0或更高版本。5、實(shí)驗(yàn)內(nèi)容和要求1)實(shí)驗(yàn)基礎(chǔ)(必要基礎(chǔ))TAM的全名是Microsoft application security threat analysis modeling,其主要功能是識(shí)別威脅并為定義的系統(tǒng)定義安全策略。使用TAM創(chuàng)建安全模型的過(guò)程包括三個(gè)步驟。l首先定義應(yīng)用程序的環(huán)境。l第二,在應(yīng)用程序的頂級(jí)環(huán)境中建模。第三,衡量與每個(gè)風(fēng)險(xiǎn)相關(guān)的風(fēng)險(xiǎn)。完成上述三個(gè)階段后,TAM的分析、可視化和報(bào)告將構(gòu)成系統(tǒng)的安全威脅模型。TAM可以根據(jù)您提供的已知知識(shí)自動(dòng)生成潛在威脅報(bào)告。同樣,TAM可以通過(guò)用戶提供
3、的知識(shí),通過(guò)訪問(wèn)控制矩陣、數(shù)據(jù)流程圖、信任流程圖等構(gòu)建安全產(chǎn)品并提供自定義報(bào)告。到目前為止,TAM仍在開(kāi)發(fā)中的軟件,但這是反映當(dāng)前軟件安全研究中重要概念的主要概念。2)實(shí)驗(yàn)注意事項(xiàng)需求實(shí)驗(yàn)通過(guò)盡可能完美地構(gòu)建系統(tǒng)的需求和體系結(jié)構(gòu),幫助得出更多的結(jié)論。6、實(shí)驗(yàn)階段1)安裝TAMv2.1.2并熟悉其界面后,主要過(guò)程如下:n圖5-1,接受軟件用戶協(xié)議,下一步;圖5-1n圖5-2,選擇安裝路徑,下一步;圖5-2n圖5-3,安裝中,下一步;圖5-3n圖5-4,安裝成功,打開(kāi)軟件。圖5-42)定義軟件要求這次用于威脅建模的軟件是將圖書貸款管理系統(tǒng)定義為整個(gè)學(xué)校使用的管理系統(tǒng)的在線圖書管理系統(tǒng),因此相關(guān)用戶
4、是學(xué)生、教師和超級(jí)管理員,不包括社會(huì)人員。在線圖書貸款管理系統(tǒng)為使學(xué)生和教師能夠通過(guò)自助而不是手動(dòng)圖書借閱等方式完成圖書貸款等,大大提高了圖書貸款的效率,減輕了圖書館員的負(fù)擔(dān)。 n定義業(yè)務(wù)目標(biāo)業(yè)務(wù)目標(biāo)包括兩個(gè)方面:圖5-5,圖書貸款自律化,圖5-6。圖5-5圖5-6 n定義數(shù)據(jù)數(shù)據(jù)包括:借款人信息,圖5-7;超級(jí)管理員信息,如圖5-8所示;圖5-9所示的書本信息;預(yù)定的圖書信息,如圖5-10所示;貸款信息,如圖5-11所示;圖5-12所示的web表單。詳細(xì)信息包括:圖5-7圖5-8圖5-9圖5-10圖5-11圖5-12 n定義應(yīng)用案例使用案例包括登錄使用案例、修改密碼使用案例、查看圖書使用案例
5、、超時(shí)處理使用案例、更新圖書使用案例、借閱圖書使用案例、預(yù)約圖書使用案例、返還圖書使用案例、添加有效用戶、刪除有效用戶、編輯圖書信息使用案例、編輯用戶信息使用案例等。 n生成使用案例圖5-13是常規(guī)借用者和超級(jí)管理員共享的操作。圖5-13圖5-14是典型借用者的使用示例圖5-14圖5-15是超級(jí)管理員的使用案例圖5-153)定義流程體系結(jié)構(gòu)定義n零件部件包括數(shù)據(jù)庫(kù)、圖書借閱、預(yù)約圖書、圖書返還、圖書查詢、圖書更新、延期處理、登錄組件、添加用戶、刪除用戶、編輯用戶信息和編輯圖書信息、部件詳細(xì)信息圖5-16:圖5-16 n服務(wù)角色定義服務(wù)角色分別是網(wǎng)站和數(shù)據(jù)庫(kù)。n定義外部從屬關(guān)系此軟件定義沒(méi)有外部
6、從屬關(guān)系。 n創(chuàng)建調(diào)用登錄用例調(diào)用如下圖所示。圖5-17修改密碼調(diào)用:圖5-18查詢圖書調(diào)用:圖5-19調(diào)用超時(shí)處理:圖5-20圖書更新調(diào)用:圖5-21圖書借閱調(diào)用:圖5-22預(yù)訂圖書調(diào)用:圖5-23圖書退貨調(diào)用:圖5-24添加有效的用戶調(diào)用:圖5-25刪除有效的使用者呼叫:圖5-26編輯圖書信息調(diào)用:圖5-27編輯使用者資訊呼叫:圖5-284)建立威脅模型n生成威脅通過(guò)Tools工具欄上的Generate Threats選項(xiàng)生成威脅模型,如圖5-41、5-42所示。圖5-29圖5-30n主要威脅因素分析主要威脅因素包括緩沖區(qū)溢出、規(guī)范化、站點(diǎn)間腳本、密碼分析攻擊、拒絕服務(wù)、重放攻擊、整數(shù)溢出
7、或溢出、LDAP注入、中介攻擊、網(wǎng)絡(luò)竊聽(tīng)、點(diǎn)擊攻擊、強(qiáng)密碼攻擊、會(huì)話劫持、SQL注入、XML注入。 n注冊(cè)威脅自動(dòng)生成的威脅如下圖所示。圖5-31n完整性威脅下圖:圖5-32n可用性威脅下圖:圖5-335)威脅度量通過(guò)TAM2獲得了在線圖書館管理系統(tǒng)中的威脅列表,但是解決所有威脅可能是不可能的,因此您可以選擇可能忽略潛在的小可能性,造成巨大損失的威脅。所以我們必須衡量威脅,風(fēng)險(xiǎn)=發(fā)生概率潛在損失,這個(gè)公式表明,特定威脅帶來(lái)的風(fēng)險(xiǎn)等于威脅發(fā)生的概率乘以潛在損失,這表明如果攻擊發(fā)生,系統(tǒng)會(huì)有什么后果。您可以使用DREAD威脅評(píng)估表格測(cè)量威脅,如下表所示。評(píng)價(jià)高(3)中間(2)低(1)d潛在損失攻擊
8、者可以秘密破壞安全系統(tǒng),獲得完全可靠的權(quán)限,以管理員身份運(yùn)行程序并上傳內(nèi)容。泄露敏感信息泄露價(jià)值不高的信息r再現(xiàn)性攻擊可以每次重現(xiàn),不需要時(shí)間間隔。攻擊每次都能再現(xiàn),但只能在一個(gè)時(shí)間間隔和某種特定的競(jìng)爭(zhēng)條件下進(jìn)行。攻擊即使知道安全漏洞,也很難再現(xiàn)。e可利用性編程初學(xué)者可以在短時(shí)間內(nèi)進(jìn)行這樣的攻擊。有經(jīng)驗(yàn)的程序員可以進(jìn)行這樣的攻擊,然后重復(fù)這些步驟。這種攻擊要有很老練的人員才能實(shí)施,每一次攻擊都深有體會(huì)。a受影響的用戶所有用戶、基本配置、主要客戶某些用戶,非默認(rèn)配置影響非常少的用戶、模糊的特性、匿名用戶d發(fā)現(xiàn)的可能性公開(kāi)解釋有關(guān)攻擊的信息。最常見(jiàn)的功能可以發(fā)現(xiàn)的缺陷非常明顯。產(chǎn)品中很少使用的缺陷
9、只能發(fā)生在少數(shù)用戶身上。判斷是否是惡用需要一些努力。如果錯(cuò)誤不明確,用戶將無(wú)法造成潛在損失表5-1在提出上述問(wèn)題后,計(jì)算給定威脅的值(13)。結(jié)果范圍為515。這可以將總分1215的威脅評(píng)估為非常危險(xiǎn),將811的威脅評(píng)估為正常風(fēng)險(xiǎn),將57的威脅評(píng)估為低風(fēng)險(xiǎn)。以下是對(duì)我們威脅列表的威脅評(píng)估。下表:威脅dread總計(jì)計(jì)分緩沖區(qū)溢出122128中規(guī)范化113218中站點(diǎn)間腳本3323314高密碼分析攻擊3213110中拒絕服務(wù)2233313高強(qiáng)行查找212229中格式字符串111111低重播攻擊2323212高整數(shù)溢出或底流123118中LDAP注入2323212高中間人攻擊3322212高一鍵攻擊2321311中網(wǎng)絡(luò)竊聽(tīng)3322212高密碼強(qiáng)力攻擊3223212高會(huì)話劫持2223312高注入SQL3333214高XML注入3232310中表5-27、實(shí)驗(yàn)結(jié)果改進(jìn)了有關(guān)在線圖書館管理系統(tǒng)的信息,獲得了該系統(tǒng)的威脅模型,確定了該系統(tǒng)的弱點(diǎn)和可能存在的風(fēng)險(xiǎn),并有在建模過(guò)程的現(xiàn)階段應(yīng)用于特定應(yīng)用方案的威脅列表。在塑型程序的最后階段,根據(jù)威脅產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行評(píng)估。那么我們可以先解決最危險(xiǎn)的威脅,然后解決其他威脅。實(shí)際上,解決所有已確定的威脅在經(jīng)濟(jì)上可能是不可能的,因此,通過(guò)決策可以忽略這一點(diǎn),因?yàn)榘l(fā)生的可能性很小。即使發(fā)生,損失也很小。8
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 遵化薪酬福利管理辦法
- 拆房項(xiàng)目現(xiàn)場(chǎng)管理辦法
- 西藏房屋租賃管理辦法
- 廣告文印采購(gòu)管理辦法
- 產(chǎn)品培訓(xùn)課件封面圖案
- 朗誦的培訓(xùn)的課件
- 腸梗阻內(nèi)科護(hù)理課件
- 肝癌患者護(hù)理課件
- 恩施清外初中數(shù)學(xué)試卷
- 電腦改數(shù)學(xué)試卷
- 拉丁美洲和加勒比地區(qū)投資環(huán)境評(píng)價(jià)報(bào)告 2025
- 北京市海淀區(qū)2023-2024學(xué)年高二下學(xué)期期末考試英語(yǔ)試卷(含答案)
- 2025鄉(xiāng)村干部考試試題及答案
- 《云南教育強(qiáng)省建設(shè)規(guī)劃綱要(2024-2035年)》解讀培訓(xùn)
- 棄土租地合同協(xié)議書
- TCEC691-2022故障錄波及行波測(cè)距一體化裝置技術(shù)規(guī)范
- 《抗生素分類課件》課件
- 高級(jí)衛(wèi)生專業(yè)技術(shù)資格-副高級(jí)(護(hù)理學(xué))真題庫(kù)-14
- 長(zhǎng)螺旋鉆孔灌注樁施工培訓(xùn)
- 歷史明清時(shí)期的科技與文化課件-2024-2025學(xué)年統(tǒng)編版七年級(jí)歷史下冊(cè)
- 爆破三員培訓(xùn)
評(píng)論
0/150
提交評(píng)論