学位论文 > 优秀研究生学位论文题录展示

软件开发生命周期内Web应用安全保障技术的研究与应用

作 者: 朱辉
导 师: 李善平
学 校: 浙江大学
专 业: 计算机应用
关键词: Web应用安全 安全测试 安全开发流程 代码漏洞
分类号: TP311.52
类 型: 硕士论文
年 份: 2010年
下 载: 72次
引 用: 1次
阅 读: 论文下载
 

内容摘要


越来越多的企业和机构采用Web应用来实现各种业务的信息化,可是由于Web本身的开放性,不可控性等特点,Web应用的安全问题层出不穷,已经达到网络安全问题总量的70%,Web应用安全已成为信息安全的重要领域。而从软件开发的生命周期出发,去消除Web应用的安全漏洞,是Web应用安全的主要方向和趋势,也是一种从根本上控制风险的办法。本文正是从软件开发生命周期的角度出发,按照“细节中发现漏洞,架构上解决问题,流程中控制风险”的思路,对Web应用安全的关键技术进行了深入的探讨和实践,解决了一些技术在具体应用中的不足:1.总结了Web应用安全的测试工具,安全漏洞和开发技术的现状。2.通过对代码漏洞的深入分析和扩展定义,提出了一套针对代码注入漏洞的测试方法,经过实验证明,该方法能够减少测试用例的数量。对安全测试工具进行再开发和扩展,提高了测试的范围和正确率。3.建立统一的身份管理机制和认证模块,从而能够方便地管理身份信息的存储和访问。并且在认证模块中设计和实现了日志模块,便于审计访问信息。4.在前两项工作的基础上,制定并实践了针对Web应用软件安全开发流程:对Web应用的安全需求分析和安全架构审计做了规范;对安全开发中的权限控制模块做了抽象设计,使之能重复使用;总结一套安全测试流程,通过使用改进的测试方法和工具,有效地完成整个测试工作。

全文目录


摘要  3-4
Abstract  4-9
第1章 绪论  9-13
  1.1 课题背景  9-11
    1.1.1 Web应用的安全性需求  9
    1.1.2 在软件开发周期内保障Web应用安全的意义  9-10
    1.1.3 Web应用安全概述  10-11
  1.2 研究内容  11-12
  1.3 本文组织结构  12-13
第2章 Web应用安全相关技术  13-29
  2.1 Web应用结构和特点  13-17
    2.1.1 Web的基础技术和概念  13-15
    2.1.2 Web应用的结构和开发技术  15-16
    2.1.3 Web应用安全问题的根本原因  16-17
  2.2 Web应用安全测试工具  17-19
  2.3 Web应用代码安全漏洞  19-23
    2.3.1 代码注入漏洞  19-21
    2.3.2 认证授权和功能逻辑漏洞  21-22
    2.3.3 泄密漏洞  22
    2.3.4 审计漏洞  22-23
  2.4 Web应用安全开发技术  23-28
    2.4.1 认证和授权  23-24
    2.4.2 数据过滤  24-26
    2.4.3 加密  26
    2.4.4 审计  26-27
    2.4.5 ESAPI  27-28
  2.5 本章小结  28-29
第3章 针对Web应用代码安全漏洞的测试方法  29-43
  3.1 针对代码注入漏洞和功能权限漏洞的测试方法  29-39
    3.1.1 代码注入漏洞的测试方法  29-38
    3.1.2 功能逻辑漏洞的测试方法  38-39
  3.2 测试工具的扩展  39-42
  3.3 本章小结  42-43
第4章 建立统一的身份管理和认证模式  43-57
  4.1 企业身份信息的同步  43-49
    4.1.1 身份信息同步需求  43-44
    4.1.2 原有组织架构与技术选型  44-45
    4.1.3 同步方案的设计与实施  45-49
  4.2 统一的身份信息访问模块  49-56
    4.2.1 模块整体架构  49-53
    4.2.2 日志模块设计  53-56
  4.3 本章小结  56-57
第5章 Web应用软件安全开发流程的制定和实践  57-66
  5.1 安全需求分析与架构审计  57-59
  5.2 设计和开发安全  59-61
  5.3 安全测试  61-65
  5.4 本章小结  65-66
第6章 总结与展望  66-68
  6.1 论文主要工作及贡献  66-67
  6.2 未来工作展望  67-68
参考文献  68-70
攻读硕士学位期间主要的研究成果  70-71
致谢  71

相似论文

  1. 内蒙古中小学考试系统的设计与实现,TP311.52
  2. 基于动态污点分析的状态协议实现软件模糊测试方法研究,TP311.52
  3. Web应用安全漏洞扫描工具的设计与实现,TP393.08
  4. WEB应用安全漏洞挖掘的研究与实现,TP393.08
  5. 基于风险评估的渗透测试方案的研究与实施,TP393.08
  6. 基于安全标记的Web应用访问控制技术研究,TP393.08
  7. Web应用安全分析器的研究与实现,TP393.08
  8. Web应用安全漏洞测试工具Punks的设计与实现,TP393.08
  9. WEB应用安全测试评估系统的研究与实现,TP393.08
  10. WEB服务器加速系统设计,TP393.05
  11. Web应用安全研究,TP393.08
  12. 一种Web应用安全增强方案的设计与实现,TP393.08
  13. 基于通信维护任务管理系统的Web安全程序设计,TP393.08
  14. 软件安全开发关键技术的研究和实现,TP311.52
  15. 联网教育收费及实时监控信息系统的安全设计与实现,TP393.08
  16. Web应用系统测试有效性的研究与应用,TP311.10
  17. 基于静态源码分析的多线程死锁检测方法研究,TP311.53
  18. 基于安全契约的测试方法及其实现,TP311.52
  19. 敏捷软件开发中软件测试的研究与实施,TP311.52
  20. SIP协议安全性测试研究与实现,TN915.04

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 程序设计、软件工程 > 软件工程 > 软件开发
© 2012 www.xueweilunwen.com