学位论文 > 优秀研究生学位论文题录展示
基于OWASP的WEB应用安全防范技术的研究
作 者: 符泉麟
导 师: 曹健; 赵锐
学 校: 上海交通大学
专 业: 计算机技术
关键词: 漏洞检测 安全防范 安全培训 安全开发生命周期 OWASP
分类号: TP393.08
类 型: 硕士论文
年 份: 2013年
下 载: 52次
引 用: 0次
阅 读: 论文下载
内容摘要
Web应用发展迅速,但多数开发相关人员安全意识缺乏,导致Web应用漏洞百出。Wincor Nixdorf公司作为一个银行和零售业解决方案的提供者,由于针对群体的特殊性,所以客户对公司产品的安全性非常严格。为了迅速提高公司产品的安全质量,迫切需要一种完整解决方案来提高公司开发相关人员的安全意识和技能。本文详细地论述了企业Web应用的安全问题,通过OWASP风险评估方法,指出Web应用中最常见的安全漏洞,并在此基础上研究常见安全漏洞的检测和防范方法,提出Top10安全漏洞检测方法,并进一步地对OWASP提供的相关安全工具进行改进,形成对不同安全漏洞的解决方案,并搭建出Web安全培训平台。然后对项目管理中Web应用的安全问题进行总结和整理,最后与实际项目相结合并形成安全开发周期,使安全问题真正融入软件企业文化。本文研究工作的意义在于所得到的企业Web应用常见安全漏洞的检测和防范方法有助于加强企业软件的安全性。同时,本文提出的安全培训平台能有力促进开发相关人员的安全意识,并最终开拓创新提出符合软件企业发展的安全开发周期,这种从安全检测和防范技术到安全开发流程的整体解决方案对企业提高软件安全质量起到了决定性的作用。本文研究的成果有助于软件企业提高软件安全性,也为安全开发提供了指导,并在不断创新中优化企业的安全开发流程,使企业的竞争力和可信度得到提高。
|
全文目录
摘要 3-4 ABSTRACT 4-8 第一章 绪论 8-16 1.1 背景及问题的提出 8-11 1.2 国内外研究现状 11-14 1.2.1 国内研究现状 11-12 1.2.2 国外研究现状 12-14 1.3 研究的目标及其主要的内容 14 1.4 本文的组织结构及其章节编排 14-16 第二章 WEB应用中常见安全漏洞 16-28 2.1 OWASP风险评估方法 17-18 2.1.1 识别风险 17 2.1.2 考虑影响可能性的因素 17-18 2.1.3 考虑影响后果的因素 18 2.2 排名前十的安全漏洞 18-26 2.2.1 注入 18-20 2.2.2 跨站脚本 20 2.2.3 失效的身份认证和会话管理 20-21 2.2.4 不安全的直接对象引用 21-22 2.2.5 跨站请求伪造 22-23 2.2.6 安全配置错误 23 2.2.7 不安全的加密存储 23-24 2.2.8 没有限制URL访问 24-25 2.2.9 传输层保护不足 25 2.2.10 未验证的重定向和转发 25-26 2.3 其他需要注意的安全漏洞 26-27 2.4 本章小结 27-28 第三章 安全检测和防范技术的研究和优化 28-43 3.1 注入 28-30 3.2 跨站脚本 30-31 3.3 失效的身份认证和会话管理 31-32 3.4 不安全的直接对象引用 32-33 3.5 跨站请求伪造 33-37 3.6 安全配置错误 37-38 3.7 不安全的加密存储 38-39 3.8 没有限制URL访问 39-40 3.9 传输层保护不足 40-41 3.10 未验证的重定向和转发 41-42 3.11 本章小结 42-43 第四章 项目管理中的安全防范技术的研究和优化 43-60 4.1 需求分析阶段 45-46 4.2 设计阶段 46-50 4.3 开发阶段 50-53 4.4 测试阶段 53-58 4.5 部署发布阶段 58-59 4.7 本章小结 59-60 第五章 WEB应用安全防范技术的实际应用 60-79 5.1 建立安全防范技术培训平台 60-73 5.1.1 平台的目标 61-62 5.1.2 平台的搭建与使用 62-64 5.1.3 学习工具 64-66 5.1.4 自定义平台课程方法 66-69 5.1.5 安全课程精选 69-72 5.1.6 培训平台的应用效果 72-73 5.2 TMS项目中安全开发生命周期的运行 73-77 5.2.1 需求分析阶段 73-75 5.2.2 设计阶段 75 5.2.3 开发阶段 75 5.2.4 测试阶段 75-77 5.2.5 部署阶段 77 5.3 WEB应用安全防范技术的实际进程 77-78 5.4 本章小结 78-79 第六章 总结与展望 79-82 6.1 本文工作回顾 79-80 6.2 成果及意义 80 6.3 存在的问题及进一步的工作 80-82 参考文献 82-84 附录 符号说明 84-85 致谢 85-86 攻读学位期间发表的学术论文 86-89 附件 89
|
相似论文
- 矿山安全培训体系的构建及培训效果评估研究,TD791
- DNS安全检测技术研究,TP393.08
- 基于物联网的小区管理系统的设计与实现,TP391.44;TP315
- 煤矿矿井安全仿真系统软件设计及实现,TD79
- 智能建筑安全防范系统的评价指标体系研究,TU855
- 静态程序分析辅助的动态漏洞挖掘,TP311.53
- 面向数据流的优化聚类算法研究,TP311.13
- PLD安全性漏洞检测平台研究与实现,TN406
- 网络视频监控平台的分析与设计,TP393.09
- 基于渗透测试的网络安全评估技术研究,TP393.08
- 基于ZigBee的监狱安全防范系统的研究与设计,TP277
- 面向Web安全的漏洞检测系统的研究与实现,TP393.08
- 鄞州银行网上银行发展安全性问题研究,F832.2
- 安全防范系统的评价模式研究,X913
- 高校校园实时监控系统的研究,TP277
- 校园网络安全体系研究与部署,TP393.18
- 我国跨国并购产业安全防范体系的完善,D922.287
- 我国政府政务信息安全防范体系研究,D630
- 基于OVAL漏洞评估系统研究,TP393.08
- 广东白云学院东校区智能校园设计与实现,TP393.18
- 深圳A公司大安防发展战略分析报告,F279.26
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|