基于Web的工程管理軟件的軟件安全設(shè)計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,Web系統(tǒng)得到了廣泛的使用,與人們生活息息相關(guān)的Web站點呈現(xiàn)爆發(fā)式增長。不僅如此,基于Web的管理系統(tǒng)也不斷被企業(yè)所使用,為企業(yè)提供了在線辦公的便利,有效地提高了企業(yè)的管理效率。但基于B/S架構(gòu)的Web系統(tǒng)由于其開放性和HTTP通信協(xié)議的無狀態(tài)性,使其面臨極大的安全威脅,越來越多的Web站點都曾受到過黑客的攻擊,所以Web系統(tǒng)的安全研究如今顯得尤為重要。訪問控制以及SQL防注入在Web系統(tǒng)的安全研究中占據(jù)非常

2、重要的位置,已成為Web系統(tǒng)安全研究的兩個主要方向。本論文以Web系統(tǒng)安全為課題對象,重點研究訪問控制和SQL防注入的設(shè)計及實現(xiàn)方法。
　　在訪問控制方面,本論文先介紹訪問控制的概念、基本原理、常用的訪問控制技術(shù)及其優(yōu)缺點,然后重點分析 RBAC96訪問控制模型,分析模型特點、模型應(yīng)用范圍。本論文在 RBAC96模型分析的基礎(chǔ)上,針對該 RBAC模型的局限性,提出了一種改進型的RBAC模型——可代理RBAC模型,這一訪問控制模型可

3、以讓角色在用戶間適當?shù)霓D(zhuǎn)移。最后,本論文結(jié)合具體的Web系統(tǒng)在訪問控制方面的安全需求,采用了一種基于可代理 RBAC模型的三層訪問控制方案,并且在ASP.NET的開發(fā)平臺上,結(jié)合SQL Server數(shù)據(jù)庫的使用,實現(xiàn)該三層的訪問控制方案。
　　在SQL防注入方面,本論文先介紹SQL注入攻擊的基本概念,然后分析SQL注入攻擊的特點、主流的攻擊方式和常用的攻擊流程。在深入理解SQL注入攻擊原理的基礎(chǔ)上,本論文還重點分析基于ISAPI技

4、術(shù)的SQL防注入方法。本論文將ISAPI程序與傳統(tǒng)的CGI程序進行對比,分析ISAPI技術(shù)的技術(shù)特點、技術(shù)優(yōu)勢,明確ISAPI技術(shù)所能解決的問題。最后,本論文結(jié)合具體的Web系統(tǒng)在SQL防注入方面的安全需求,采用了一種基于ISAPI Filter技術(shù)的SQL注入攻擊防火墻方案,并且借助MFC類庫的支持,結(jié)合VC++開發(fā)工具的使用,實現(xiàn)了該SQL防注入方案,成功開發(fā)出了一種專用的SQL注入攻擊防火墻,并以動態(tài)鏈接庫的形式將其加載到網(wǎng)站服務(wù)