基于Web的工程管理軟件的軟件安全設計與實現.pdf

1、隨著互聯網技術的快速發(fā)展,Web系統(tǒng)得到了廣泛的使用,與人們生活息息相關的Web站點呈現爆發(fā)式增長。不僅如此,基于Web的管理系統(tǒng)也不斷被企業(yè)所使用,為企業(yè)提供了在線辦公的便利,有效地提高了企業(yè)的管理效率。但基于B/S架構的Web系統(tǒng)由于其開放性和HTTP通信協(xié)議的無狀態(tài)性,使其面臨極大的安全威脅,越來越多的Web站點都曾受到過黑客的攻擊,所以Web系統(tǒng)的安全研究如今顯得尤為重要。訪問控制以及SQL防注入在Web系統(tǒng)的安全研究中占據非常

2、重要的位置,已成為Web系統(tǒng)安全研究的兩個主要方向。本論文以Web系統(tǒng)安全為課題對象,重點研究訪問控制和SQL防注入的設計及實現方法。
　　在訪問控制方面,本論文先介紹訪問控制的概念、基本原理、常用的訪問控制技術及其優(yōu)缺點,然后重點分析 RBAC96訪問控制模型,分析模型特點、模型應用范圍。本論文在 RBAC96模型分析的基礎上,針對該 RBAC模型的局限性,提出了一種改進型的RBAC模型——可代理RBAC模型,這一訪問控制模型可

3、以讓角色在用戶間適當的轉移。最后,本論文結合具體的Web系統(tǒng)在訪問控制方面的安全需求,采用了一種基于可代理 RBAC模型的三層訪問控制方案,并且在ASP.NET的開發(fā)平臺上,結合SQL Server數據庫的使用,實現該三層的訪問控制方案。
　　在SQL防注入方面,本論文先介紹SQL注入攻擊的基本概念,然后分析SQL注入攻擊的特點、主流的攻擊方式和常用的攻擊流程。在深入理解SQL注入攻擊原理的基礎上,本論文還重點分析基于ISAPI技

4、術的SQL防注入方法。本論文將ISAPI程序與傳統(tǒng)的CGI程序進行對比,分析ISAPI技術的技術特點、技術優(yōu)勢,明確ISAPI技術所能解決的問題。最后,本論文結合具體的Web系統(tǒng)在SQL防注入方面的安全需求,采用了一種基于ISAPI Filter技術的SQL注入攻擊防火墻方案,并且借助MFC類庫的支持,結合VC++開發(fā)工具的使用,實現了該SQL防注入方案,成功開發(fā)出了一種專用的SQL注入攻擊防火墻,并以動態(tài)鏈接庫的形式將其加載到網站服務