PHP Web應(yīng)用程序開發(fā)中漏洞消減技術(shù)研究.pdf

1、ResearchofVulnerabilityReductionTechnologyforPHPWebApplicationDevelopmentADissertationSubmittedtoNanjingNormalUniversityFortheAcademicDegreeofMasterofEngineeringBYLongchengLinSupervisedbyAssociateProfessorBoChenSchoolofC

2、omputerScienceandTechnologyNanjingNormalUniversityApril2014摘要摘要當(dāng)前網(wǎng)絡(luò)空間博弈日益復(fù)雜和嚴(yán)峻，安全漏洞的消減成為國家層面信息對抗的需求。web設(shè)計(jì)和開發(fā)中存在的安全漏洞是黑客的主要目標(biāo)，漏洞被利用所造成的損失日益嚴(yán)重。PHP是一種非常流行的Web開發(fā)語言，應(yīng)用PHP語言開發(fā)的Web應(yīng)用中往往存在著驚人的漏洞，因此，消減PHPWreb應(yīng)用開發(fā)中的安全漏洞成為～項(xiàng)極其重要的工作

3、。本文介紹了Web應(yīng)用與PHP安全漏洞的相關(guān)概念，總結(jié)了目前Web應(yīng)用中的十大安全威脅，并應(yīng)用W曲安全漏洞測試分析工具DVWA在代碼層分析了跨站腳本、SQL注入、文件包含及命令執(zhí)行等四種主要PHP漏洞的成因以及利用漏洞進(jìn)行攻擊的方法。本文在分析已有軟件安全開發(fā)模型的基礎(chǔ)上，以漏洞的生命周期為主線，以漏洞消減為目的，從開發(fā)者和管理者兩個(gè)角度，提出了Web應(yīng)用開發(fā)漏洞消減模型，介紹了漏洞消減過程中不同方面的策略和方法。接下來重點(diǎn)對模型中的安

4、全需求建模和安全編碼技術(shù)進(jìn)行了研究。我們將工程化的威脅分析方法和形式化的UMLSec建模方法相結(jié)合，提出了基于UMLSec的PHPWeb安全需求建?？蚣埽⒁杂脩舻卿浤K安全需求建模為例，從口令生成、口令輸入、口令傳輸、口令存儲、口令找回、口令修改及口令狀態(tài)等多方面進(jìn)行威脅分析，建立安全需求模型，對模型的一致性進(jìn)行驗(yàn)證。這種在設(shè)計(jì)階段對Web應(yīng)用安全漏洞進(jìn)行消減的方法，既能準(zhǔn)確、詳盡地描述PHPW曲應(yīng)用軟件的安全需求，又便于開發(fā)者理解和

5、掌握，以提高安全需求分析的效率和質(zhì)量，從而在設(shè)計(jì)階段就對Web應(yīng)用安全漏洞進(jìn)行有效消減。我們還將代碼檢測的一部分工作引入編碼階段，設(shè)計(jì)并實(shí)現(xiàn)了基于Eclipse的PHPWeb漏洞消減插件工具PVDetector(PHPVulnerabilityDetector)。介紹了漏洞消減插件的結(jié)構(gòu)及模塊功能，分析了安全檢測模塊中污點(diǎn)檢測過程，并給出了插件的具體實(shí)現(xiàn)方法，最后對插件的功能進(jìn)行了測試。實(shí)驗(yàn)結(jié)果表面，本文給出的這種漏洞消減插件工具在編碼