基于 ASP點NET 的 Web 安全性評估、設(shè)計與實現(xiàn)-舜答辯PPT

1、 1基于 ASP.NET 的 Web 安全性評估、設(shè)計與實現(xiàn) 指導(dǎo)教師姓名： 學(xué) 科 專 業(yè) 名 稱：軟件工程學(xué) 生 所 屬 學(xué) 院：軟件學(xué)院論 文 答 辯 日 期：2014年6月華南理工大學(xué)本科學(xué)位論文2華南理工大學(xué)本科學(xué)位論文論文背景 2014年4月，名為“心臟出血”的重大安全漏洞被曝光。2013年8月，國內(nèi)大批快捷酒店訂房記錄被泄漏。 2012年9月，鐵道部訂票網(wǎng)站被傳出存在大量高危險的漏洞。2011年12月，CSDN的安全系統(tǒng)遭受黑客攻擊，600萬的用戶信息被泄漏。. 如何正確的評估上線網(wǎng)站的安全性，設(shè)計針對網(wǎng)站合理的安全策略戰(zhàn)術(shù)的重要性實在不言而喻。華南理工大學(xué)本科學(xué)位論文3華南理工

2、大學(xué)本科學(xué)位論文論文框架 緒論 OWASP top 10漏洞檢測 OWASP風(fēng)險評估 ATAM權(quán)衡分析 安全戰(zhàn)術(shù)設(shè)計 戰(zhàn)術(shù)模擬檢測華南理工大學(xué)本科學(xué)位論文4華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞1）網(wǎng)站簡介 數(shù)字創(chuàng)新加油站是一個集信息發(fā)布和項目管理于一體的網(wǎng)站華南理工大學(xué)本科學(xué)位論文5華南理工大學(xué)本科學(xué)位論文發(fā)現(xiàn)漏洞2） 工具說明 HP WebInspect是一款易用、精確的Web應(yīng)用安全評估軟件。 NetSparker一款綜合型的時刻更新web應(yīng)用安全漏洞掃描工具。3） OWASP （Open Web Application Security Project）是一個提供有關(guān)計算機和互聯(lián)網(wǎng)應(yīng)用程序的

3、公正的信息組織，該組織提供的OWASP top10 （Web應(yīng)用十大風(fēng)險）是基于OWASP所調(diào)查的上百個公司數(shù)千個應(yīng)用中發(fā)現(xiàn)的超過約50萬個漏洞總結(jié)得出的。華南理工大學(xué)本科學(xué)位論文6華南理工大學(xué)本科學(xué)位論文分析漏洞A1 注入 Injection 該網(wǎng)站存在的注入問題主要為SQL注入。 程序把用戶輸入的一部分字符串直接用在了sql語句的拼接上，導(dǎo)致了用戶可以控制sql語句，比如加入非法行為（delete等）、繞過用戶或密碼驗證等） 例如 String query = SELECT * FROM Details WHERE Did= + request.getParameter(id) +; 如果

4、攻擊者在瀏覽器上修改id參數(shù)，url?id= or 1=1 ，那么查詢的意義就會被改變，將返回數(shù)據(jù)庫所有Details數(shù)據(jù)，而不僅僅是指定id的數(shù)據(jù)。華南理工大學(xué)本科學(xué)位論文7華南理工大學(xué)本科學(xué)位論文分析漏洞 在登錄界面，輸入從未使用的登錄名Smith，輸入密碼ORns=ns華南理工大學(xué)本科學(xué)位論文8華南理工大學(xué)本科學(xué)位論文分析漏洞 該用戶已被鎖定，即從未注冊和使用的賬戶在參數(shù)設(shè)定后成為了擁有賬戶的狀態(tài)，SQL注入問題存在華南理工大學(xué)本科學(xué)位論文9華南理工大學(xué)本科學(xué)位論文風(fēng)險評估 SQL注入問題1 攻擊者因素 漏洞因素技能要求成功攻擊后帶來的收益所需權(quán)限，機會或成本所需角色攻擊者發(fā)現(xiàn)該漏洞的難

5、度利用該漏洞的難度該漏洞流行程度攻擊者入侵被察覺的可能性初級技術(shù)能力可能有回報無需成本和權(quán)限 匿名互聯(lián)網(wǎng)用戶 容易 可利用自動化測試工具眾所周知沒有日志記錄 3 4 9 9 7 9 9 9 （3+4+9+9+7+9+9+9）/8 =7.375（高） 漏洞被利用的可能性分析華南理工大學(xué)本科學(xué)位論文10華南理工大學(xué)本科學(xué)位論文風(fēng)險評估 SQL注入問題1 漏洞影響后果分析 技術(shù)影響 業(yè)務(wù)影響損失其保密性損失其完整性損失其可用性損失其問責(zé)性財產(chǎn)方面損失名譽損失帶來影響的不合規(guī)操作程度隱私侵犯少量非敏感信息泄露 少量數(shù)據(jù)遭破壞 少量非重要服務(wù)遭中斷 完全匿名 小于修復(fù)漏洞成本 很小的損失 明顯的違反 非

6、常少人信息泄漏 2 1 1 9 1 1 5 1 （2+1+1+9+1+1+5+1）/8=2.625（低） 風(fēng)險嚴(yán)重程度 漏洞影響 中等 漏洞被利用可能性風(fēng)險嚴(yán)重程度華南理工大學(xué)本科學(xué)位論文11華南理工大學(xué)本科學(xué)位論文 在對自動工具不方便檢測的部分進行手動功能性檢測之后，對所有漏洞進行風(fēng)險評估，分析評估結(jié)果，發(fā)現(xiàn)網(wǎng)站漏洞基本屬于常見而又危險的，逐一修復(fù)會非常麻煩，且可能引發(fā)深層原因，于是深度分析，猜想：網(wǎng)站的軟件結(jié)構(gòu)無法滿足網(wǎng)站安全性需求，所以進行ATAM權(quán)衡分析驗證猜想。ATAM Architecture Tradeoff Analysis Method(構(gòu)架權(quán)衡分析方法），這是評價應(yīng)用的軟件

7、架構(gòu)的一種綜合性方法分為四個階段和9個步驟。 階段 活動 參與人員 時間 0 關(guān)系和準(zhǔn)備項目決策人，評估小組負(fù)責(zé)人 2 1 部分評估評估小組，項目決策人 1 2 全體評估涉眾和評估小組 2 3 后續(xù)評估小組和客戶 1華南理工大學(xué)本科學(xué)位論文12華南理工大學(xué)本科學(xué)位論文第1階段 第5步 屬性效用樹 質(zhì)量屬性 屬性求精 場景 易用性 頁面導(dǎo)航網(wǎng)站游客可以很快的發(fā)現(xiàn)需要了解信息的界面跳轉(zhuǎn)（M,L）A1 操作易用網(wǎng)站用戶可以迅速找到文檔管理界面對項目進行管理（H,L）A2網(wǎng)站管理員可以便捷的進行網(wǎng)站管理方面的工作（H,L）A3 安全性 身份認(rèn)證對進行登錄的用戶進行賬號和密碼驗證（H,M）A4 授權(quán)對獲

8、得權(quán)限的用戶允許相應(yīng)的操作（管理員權(quán)限或者項目經(jīng)理權(quán)限）（H，M）A5 機密性客戶的資料和網(wǎng)站數(shù)據(jù)不可被非法請求訪問到（H，H）A6完整性當(dāng)數(shù)據(jù)被訪問的時候，必須保證數(shù)據(jù)庫內(nèi)的數(shù)據(jù)及顯示的內(nèi)容是完整的（H，H）A7 不可否認(rèn)性用戶對項目管理的操作（甚至管理員的操作）會留有記錄（H，M）A8 高效性 等待時間用戶在項目管理操作的時候，刪除下載類操作必須立即響應(yīng)（1s內(nèi)），上傳操作的時候則需時刻反應(yīng)上傳進度，管理員網(wǎng)站管理時提交的操作也必須立即響應(yīng)（M，M）A9 可維護性（可修改性） 網(wǎng)站管理為了方便信息發(fā)布，系統(tǒng)必須為管理員提供后臺管理界面可對網(wǎng)站發(fā)布的信息進行修改（M，H）A10華南理工大學(xué)本

9、科學(xué)位論文13華南理工大學(xué)本科學(xué)位論文場景號：A6場景：客戶的資料和網(wǎng)站數(shù)據(jù)不可被非法請求訪問到屬性安全性環(huán)境運行時的機密性刺激非法請求提交訪問網(wǎng)站數(shù)據(jù)庫數(shù)據(jù)響應(yīng)非法請求被禁止架構(gòu)決策敏感點 權(quán)衡點 有風(fēng)險決策無風(fēng)險決策身份認(rèn)證S1 N1ASP.NETS2T1R1 推理 認(rèn)證機制不失為一種保護機密性的有效措施，但是網(wǎng)站存在的缺少功能層面的訪問控制會使網(wǎng)站機密性存在風(fēng)險架構(gòu)圖華南理工大學(xué)本科學(xué)位論文14華南理工大學(xué)本科學(xué)位論文戰(zhàn)術(shù)設(shè)計確認(rèn)第三章的猜想，從而設(shè)計完善的安全戰(zhàn)術(shù)，首先網(wǎng)站存在的安全問題如下。sql注入問題管理員界面管理網(wǎng)站或者用戶管理文檔的時候存在不安全的對象直接引用需要解決參數(shù)編碼

10、解碼問題功能級別訪問控制缺失 用戶登錄傳輸問題https防范XSS攻擊可對客戶輸入的數(shù)據(jù)類型和長度進行嚴(yán)格驗證一些不符合安全需求的控件或方法關(guān)閉CSRF漏洞 修復(fù)上傳重復(fù)問題攻擊或非法操作中修復(fù)的安全戰(zhàn)術(shù)：監(jiān)控用戶（和管理員）操作，增加日志審計模塊。另外建立項目文檔管理機制。身份多重邏輯修復(fù)，還有高峰訪問處理華南理工大學(xué)本科學(xué)位論文15華南理工大學(xué)本科學(xué)位論文安全架構(gòu)設(shè)計與實現(xiàn)使用ASP.Net MVC+Spring.Net 進行網(wǎng)站重構(gòu)華南理工大學(xué)本科學(xué)位論文16華南理工大學(xué)本科學(xué)位論文利用AOP思想 添加系統(tǒng)日志模塊。加入通知器和攔截類。修復(fù)其他漏洞，包括關(guān)閉不安全的控件和http方法，使

11、用https傳輸和數(shù)據(jù)庫連接池，加入XSS過濾方法，SQL參數(shù)化等等華南理工大學(xué)本科學(xué)位論文17華南理工大學(xué)本科學(xué)位論文戰(zhàn)術(shù)檢測1）MVC檢測 對簡單的MVC網(wǎng)站進行檢測，驗證其可以解決功能性訪問控制缺失問題華南理工大學(xué)本科學(xué)位論文18華南理工大學(xué)本科學(xué)位論文2） 在原網(wǎng)站代碼上安照安全戰(zhàn)術(shù)進行非重構(gòu)部分的修改，檢測結(jié)果 原有的一些漏洞（如安全配置錯誤autocomplete控件等）被修復(fù)了，在新檢測的結(jié)果中，可能存在的參數(shù)緩沖區(qū)問題可以設(shè)置過濾器來解決，其他的漏洞，則根據(jù)需要再討論決定是否修復(fù)和使用何種方案修復(fù)。華南理工大學(xué)本科學(xué)位論文19華南理工大學(xué)本科學(xué)位論文3） Tower檢測 與同類經(jīng)典網(wǎng)站進行檢測對比（首先，確認(rèn)