学位论文 > 优秀研究生学位论文题录展示
软件开发生命周期内Web应用安全保障技术的研究与应用
作 者: 朱辉
导 师: 李善平
学 校: 浙江大学
专 业: 计算机应用
关键词: Web应用安全 安全测试 安全开发流程 代码漏洞
分类号: TP311.52
类 型: 硕士论文
年 份: 2010年
下 载: 72次
引 用: 1次
阅 读: 论文下载
内容摘要
越来越多的企业和机构采用Web应用来实现各种业务的信息化,可是由于Web本身的开放性,不可控性等特点,Web应用的安全问题层出不穷,已经达到网络安全问题总量的70%,Web应用安全已成为信息安全的重要领域。而从软件开发的生命周期出发,去消除Web应用的安全漏洞,是Web应用安全的主要方向和趋势,也是一种从根本上控制风险的办法。本文正是从软件开发生命周期的角度出发,按照“细节中发现漏洞,架构上解决问题,流程中控制风险”的思路,对Web应用安全的关键技术进行了深入的探讨和实践,解决了一些技术在具体应用中的不足:1.总结了Web应用安全的测试工具,安全漏洞和开发技术的现状。2.通过对代码漏洞的深入分析和扩展定义,提出了一套针对代码注入漏洞的测试方法,经过实验证明,该方法能够减少测试用例的数量。对安全测试工具进行再开发和扩展,提高了测试的范围和正确率。3.建立统一的身份管理机制和认证模块,从而能够方便地管理身份信息的存储和访问。并且在认证模块中设计和实现了日志模块,便于审计访问信息。4.在前两项工作的基础上,制定并实践了针对Web应用软件安全开发流程:对Web应用的安全需求分析和安全架构审计做了规范;对安全开发中的权限控制模块做了抽象设计,使之能重复使用;总结一套安全测试流程,通过使用改进的测试方法和工具,有效地完成整个测试工作。
|
全文目录
摘要 3-4 Abstract 4-9 第1章 绪论 9-13 1.1 课题背景 9-11 1.1.1 Web应用的安全性需求 9 1.1.2 在软件开发周期内保障Web应用安全的意义 9-10 1.1.3 Web应用安全概述 10-11 1.2 研究内容 11-12 1.3 本文组织结构 12-13 第2章 Web应用安全相关技术 13-29 2.1 Web应用结构和特点 13-17 2.1.1 Web的基础技术和概念 13-15 2.1.2 Web应用的结构和开发技术 15-16 2.1.3 Web应用安全问题的根本原因 16-17 2.2 Web应用安全测试工具 17-19 2.3 Web应用代码安全漏洞 19-23 2.3.1 代码注入漏洞 19-21 2.3.2 认证授权和功能逻辑漏洞 21-22 2.3.3 泄密漏洞 22 2.3.4 审计漏洞 22-23 2.4 Web应用安全开发技术 23-28 2.4.1 认证和授权 23-24 2.4.2 数据过滤 24-26 2.4.3 加密 26 2.4.4 审计 26-27 2.4.5 ESAPI 27-28 2.5 本章小结 28-29 第3章 针对Web应用代码安全漏洞的测试方法 29-43 3.1 针对代码注入漏洞和功能权限漏洞的测试方法 29-39 3.1.1 代码注入漏洞的测试方法 29-38 3.1.2 功能逻辑漏洞的测试方法 38-39 3.2 测试工具的扩展 39-42 3.3 本章小结 42-43 第4章 建立统一的身份管理和认证模式 43-57 4.1 企业身份信息的同步 43-49 4.1.1 身份信息同步需求 43-44 4.1.2 原有组织架构与技术选型 44-45 4.1.3 同步方案的设计与实施 45-49 4.2 统一的身份信息访问模块 49-56 4.2.1 模块整体架构 49-53 4.2.2 日志模块设计 53-56 4.3 本章小结 56-57 第5章 Web应用软件安全开发流程的制定和实践 57-66 5.1 安全需求分析与架构审计 57-59 5.2 设计和开发安全 59-61 5.3 安全测试 61-65 5.4 本章小结 65-66 第6章 总结与展望 66-68 6.1 论文主要工作及贡献 66-67 6.2 未来工作展望 67-68 参考文献 68-70 攻读硕士学位期间主要的研究成果 70-71 致谢 71
|
相似论文
- 内蒙古中小学考试系统的设计与实现,TP311.52
- 基于动态污点分析的状态协议实现软件模糊测试方法研究,TP311.52
- Web应用安全漏洞扫描工具的设计与实现,TP393.08
- WEB应用安全漏洞挖掘的研究与实现,TP393.08
- 基于风险评估的渗透测试方案的研究与实施,TP393.08
- 基于安全标记的Web应用访问控制技术研究,TP393.08
- Web应用安全分析器的研究与实现,TP393.08
- Web应用安全漏洞测试工具Punks的设计与实现,TP393.08
- WEB应用安全测试评估系统的研究与实现,TP393.08
- WEB服务器加速系统设计,TP393.05
- Web应用安全研究,TP393.08
- 一种Web应用安全增强方案的设计与实现,TP393.08
- 基于通信维护任务管理系统的Web安全程序设计,TP393.08
- 软件安全开发关键技术的研究和实现,TP311.52
- 联网教育收费及实时监控信息系统的安全设计与实现,TP393.08
- Web应用系统测试有效性的研究与应用,TP311.10
- 基于静态源码分析的多线程死锁检测方法研究,TP311.53
- 基于安全契约的测试方法及其实现,TP311.52
- 敏捷软件开发中软件测试的研究与实施,TP311.52
- SIP协议安全性测试研究与实现,TN915.04
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 程序设计、软件工程 > 软件工程 > 软件开发
© 2012 www.xueweilunwen.com
|