基OWASP安全方案在复杂企业级Web应用中的实施
发布时间:2021-03-09 09:00
随着互联网络不断扩容,移动互联技术不断普及,在操作系统和客户终端日趋多元化的今天,传统类型的应用软件因为其对于操作系统的高度依赖而渐渐淡出市场。而Browser/Server架构(简称B/S架构)的Web应用以其免安装、低维护的巨大优势占据主导优势,取而代之成为主流。但与此同时,如何有效保证Web应用的安全也成为一个重要的课题。论文研究了如何根据OWASP提出作用于应用层的参考方案,为历史悠久、结构复杂的大规模企业级Web应用选择并实施主动防御的安全方案的全过程。论文一共分六章,首先研究了企业级Web应用安全策略的特点,接着深入分析了各种安全威胁的原理和主动防御参考方案,并根据项目产品的特性与生命周期寻找出合适的检测方案和检测工具,之后在检测方案实施后根据所发现的安全漏洞建立起有效的主动防御机制,最后记录了顺利通过验证的过程。方案实施后顺利通过产品安全性测试并且上线。主动防御的安全性方案实施后,不但保护了客户的敏感数据,提高了项目产品的安全性,也能够防范绝大多数的安全性攻击,满足了Web应用的安全性需求。本文的研究成果对针对大规模Web应用的具体情况量身订制和实施主动防御的安全性方案具...
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景
1.2 国内外Web应用安全研究现状
1.2.1 Web安全的发展历程
1.2.2 国内外Web安全现状
1.2.3 Web安全技术研究现状
1.3 课题的研究意义
1.4 本文主要工作
第二章 Web应用威胁性风险分析
2.1 Web应用的结构
2.1.1 Web应用的概念
2.1.2 Web应用安全风险的核心与关键因素
2.2 OWASP TOP 102010简介
2.2.1 攻击原理分析和主动防御参考方案。
第三章 企业级Web应用主动防御安全机制的设计和分析
3.1 RS项目安全现状的调查
3.2 设计检测方案需遵循的原则
3.3 几种备选检测手段优劣分析
3.4 辅助测试工具的研究
3.5 检测方案的选择与实施
3.5.1 检测方案的选择
3.5.2 人工访谈的实施
3.5.3 代码审查的实施
3.5.4 渗透测试的实施
3.6 测试结果与漏洞分析
第四章 企业级Web应用主动防御安全机制的实现
4.1 针对SQL注入的主动防御方案设计
4.2 针对没有限制的URL访问的主动防御方案设计
4.3 针对跨站脚本的主动防御方案设计
4.4 信息泄露的主动防御方案设计
4.5 未验证的重定向和转发的主动防御方案设计
4.6 传输层保护不足的主动防御方案设计
4.7 不安全的加密存储的主动防御方案设计
4.8 跨站请求伪造的主动防御方案设计
第五章 企业级Web应用主动防御安全机制的验证
5.1 对主动防御安全机制的实施进行验证的目的
5.2 验证方法的选择
5.3 主动防御安全方案的验证结果
第六章 结论
致谢
参考文献
附录
附录A. ASVS-V2: Session Management Verification Requirements
附录B.ASVS-V3: Access Control Verification Requirements
附录C. 历年OWASP TOP 10数据
附录D. 代码安全审查的详细检查点列表
附录E. RS项目实施渗透测试的项目列表
【参考文献】:
期刊论文
[1]网络安全检测的理论和实践(二)[J]. 卿斯汉. 计算机系统应用. 2001(12)
本文编号:3072620
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:78 页
【学位级别】:硕士
【文章目录】:
摘要
Abstract
第一章 绪论
1.1 研究背景
1.2 国内外Web应用安全研究现状
1.2.1 Web安全的发展历程
1.2.2 国内外Web安全现状
1.2.3 Web安全技术研究现状
1.3 课题的研究意义
1.4 本文主要工作
第二章 Web应用威胁性风险分析
2.1 Web应用的结构
2.1.1 Web应用的概念
2.1.2 Web应用安全风险的核心与关键因素
2.2 OWASP TOP 102010简介
2.2.1 攻击原理分析和主动防御参考方案。
第三章 企业级Web应用主动防御安全机制的设计和分析
3.1 RS项目安全现状的调查
3.2 设计检测方案需遵循的原则
3.3 几种备选检测手段优劣分析
3.4 辅助测试工具的研究
3.5 检测方案的选择与实施
3.5.1 检测方案的选择
3.5.2 人工访谈的实施
3.5.3 代码审查的实施
3.5.4 渗透测试的实施
3.6 测试结果与漏洞分析
第四章 企业级Web应用主动防御安全机制的实现
4.1 针对SQL注入的主动防御方案设计
4.2 针对没有限制的URL访问的主动防御方案设计
4.3 针对跨站脚本的主动防御方案设计
4.4 信息泄露的主动防御方案设计
4.5 未验证的重定向和转发的主动防御方案设计
4.6 传输层保护不足的主动防御方案设计
4.7 不安全的加密存储的主动防御方案设计
4.8 跨站请求伪造的主动防御方案设计
第五章 企业级Web应用主动防御安全机制的验证
5.1 对主动防御安全机制的实施进行验证的目的
5.2 验证方法的选择
5.3 主动防御安全方案的验证结果
第六章 结论
致谢
参考文献
附录
附录A. ASVS-V2: Session Management Verification Requirements
附录B.ASVS-V3: Access Control Verification Requirements
附录C. 历年OWASP TOP 10数据
附录D. 代码安全审查的详细检查点列表
附录E. RS项目实施渗透测试的项目列表
【参考文献】:
期刊论文
[1]网络安全检测的理论和实践(二)[J]. 卿斯汉. 计算机系统应用. 2001(12)
本文编号:3072620
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3072620.html