web应用程序安全框架分析和实现计算机应用专业论文.docxVIP

filrl filrl l l l ll l JI i iilll J I iiJ Y204870 1 浙江大学硕士学位论文 摘要 摘要 计算机网络的发展推动了Web应用程序的长足进步，当越来越多的企业选择 把自己的服务以网络的方式推广的时候，Web应用程序的安全问题也随之而来。 开放网络程序组织OWASP每年召开计算机安全会议，讨论当年在Web应用程序 安全突出的问题，各个著名的IT公司诸如Google，IBM，微软等悉数参加，可 见产业界已经对Web应用程序的安全问题足够重视。根据OWASP2010年发布的 年度10大漏洞报告来看，Web应用程序最普遍的漏洞就是SQL注入和跨站脚本 攻击，造成这两大漏洞最直接的原因是因为Web应用程序缺少有效的输入验证机 制，使得攻击者可以把带有脚本的语言注入到普通程序中，造成危害。由于SQL 注入和跨站脚本本身在代码中出现的次数可能非常频繁，涉及几乎所有主流的前 台开发框架，这使得程序开发人员很难有针对性的开发一套行之有效的安全框架 来保护自己的程序。而本文则针对这一问题，总结了漏洞的原理和分类，先提出 针对SQL注入和跨站脚本安全框架开发的诸如，使用明确的安全模型，集中验证， 简易API等的普适原则，再在这些原则的基础上提出自己的实现。Web开发者可 以使用本文的框架实现对现有程序的无缝连接，从而一方面保证了开发的简便 性，另一方面保证了程序的安全性。 另外一种类型的高频漏洞诸如攻击用户会话和不安全的引用对象等都源于 Web程序本身的访问控制框架不够完善，使得某些用户跨越了自己的权限级别执 行了不该执行的操作，访问到不该访问的数据。访问控制框架的研究其实由来已 久，访问控制模型也由自主访问控制模型(DAC)，强制访问控制模型(MAC)，演 变成现在主流的基于角色的访问控制(RJ≥AC)。虽然RBAC在理论模型上有着很 好的优势，但是在实际应用过程中，尤其是在针对某些大型金融系统应用的时候 往往会产生某些误区，比如多层次的ILBAC框架功能上应该如何划分等，之前也 很少有文章针对这个层次做明确的定义。本文针对这一困难，列举了一个在实际 使用的大型金融系统中构造三层R．BAC框架的过程，明确了每层的概念，功能和 构造方式，最后提出实现．最后本文希望通过对OWASP中漏洞的有针对性的解 决，可以让Web应用程序在安全框架的解决方案上有更多更好的思路。 关键词： SQL注入，跨站脚本，输入验证，访问控制，基于角色的访问控 制框架 浙江大学硕士学位论文 浙江大学硕士学位论文 Abstract Abstract The development of computer networks promotes considerable progress of Web applications．In the meantime，the security problem follows as the widespread use of network enterprise service．The Open Web Application Security Project(OWASP)hold conference tO discuss outstanding security issues every year．The leading IT companies such as Google，mM，and Microsoft all take part，which shows sufficient attention of the industry tO Web application security issues．Aecor According tO the 20 1 0 Annual Top 1 0 Vulnerabilities Report,SQL Injection and Cross-Site Scripting(XSS)is most common vulnerabilities，which caused directly by the lack of effective input validation mechanism，allowing script language injected into the general program by attacker．But it’S hard for