隨著互聯(lián)網(wǎng)絡不斷擴容,移動互聯(lián)技術不斷普及,在操作系統(tǒng)和客戶終端日趨多元化的今天,傳統(tǒng)類型的應用軟件因為其對于操作系統(tǒng)的高度依賴而漸漸淡出市場。而Browser/Server架構（簡稱B/S架構）的Web應用以其免安裝、低維護的巨大優(yōu)勢占據(jù)主導優(yōu)勢,取而代之成為主流。但與此同時,如何有效保證Web應用的安全也成為一個重要的課題。論文研究了如何根據(jù)OWASP提出作用于應用層的參考方案,為歷史悠久、結構復雜的大規(guī)模企業(yè)級Web應用選擇并實施主動防御的安全方案的全過程。論文一共分六章,首先研究了企業(yè)級Web應用安全策略的特點,接著深入分析了各種安全威脅的原理和主動防御參考方案,并根據(jù)項目產(chǎn)品的特性與生命周期尋找出合適的檢測方案和檢測工具,之后在檢測方案實施后根據(jù)所發(fā)現(xiàn)的安全漏洞建立起有效的主動防御機制,最后記錄了順利通過驗證的過程。方案實施后順利通過產(chǎn)品安全性測試并且上線。主動防御的安全性方案實施后,不但保護了客戶的敏感數(shù)據(jù),提高了項目產(chǎn)品的安全性,也能夠防范絕大多數(shù)的安全性攻擊,滿足了Web應用的安全性需求。本文的研究成果對針對大規(guī)模Web應用的具體情況量身訂制和實施主動防御的安全性方案具... 

【文章來源】：西安電子科技大學陜西省 211工程院校 教育部直屬院校

【文章頁數(shù)】：78 頁

【學位級別】：碩士

【文章目錄】：
摘要
Abstract
第一章 緒論
    1.1 研究背景
    1.2 國內(nèi)外Web應用安全研究現(xiàn)狀
        1.2.1 Web安全的發(fā)展歷程
        1.2.2 國內(nèi)外Web安全現(xiàn)狀
        1.2.3 Web安全技術研究現(xiàn)狀
    1.3 課題的研究意義
    1.4 本文主要工作
第二章 Web應用威脅性風險分析
    2.1 Web應用的結構
        2.1.1 Web應用的概念
        2.1.2 Web應用安全風險的核心與關鍵因素
    2.2 OWASP TOP 102010簡介
        2.2.1 攻擊原理分析和主動防御參考方案。
第三章 企業(yè)級Web應用主動防御安全機制的設計和分析
    3.1 RS項目安全現(xiàn)狀的調(diào)查
    3.2 設計檢測方案需遵循的原則
    3.3 幾種備選檢測手段優(yōu)劣分析
    3.4 輔助測試工具的研究
    3.5 檢測方案的選擇與實施
        3.5.1 檢測方案的選擇
        3.5.2 人工訪談的實施
        3.5.3 代碼審查的實施
        3.5.4 滲透測試的實施
    3.6 測試結果與漏洞分析
第四章 企業(yè)級Web應用主動防御安全機制的實現(xiàn)
    4.1 針對SQL注入的主動防御方案設計
    4.2 針對沒有限制的URL訪問的主動防御方案設計
    4.3 針對跨站腳本的主動防御方案設計
    4.4 信息泄露的主動防御方案設計
    4.5 未驗證的重定向和轉發(fā)的主動防御方案設計
    4.6 傳輸層保護不足的主動防御方案設計
    4.7 不安全的加密存儲的主動防御方案設計
    4.8 跨站請求偽造的主動防御方案設計
第五章 企業(yè)級Web應用主動防御安全機制的驗證
    5.1 對主動防御安全機制的實施進行驗證的目的
    5.2 驗證方法的選擇
    5.3 主動防御安全方案的驗證結果
第六章 結論
致謝
參考文獻
附錄
    附錄A. ASVS-V2: Session Management Verification Requirements
    附錄B.ASVS-V3: Access Control Verification Requirements
    附錄C. 歷年OWASP TOP 10數(shù)據(jù)
    附錄D. 代碼安全審查的詳細檢查點列表
    附錄E. RS項目實施滲透測試的項目列表


【參考文獻】：
期刊論文
[1]網(wǎng)絡安全檢測的理論和實踐(二)[J]. 卿斯?jié)h.  計算機系統(tǒng)應用. 2001(12)



本文編號：3072620