軟件開發(fā)生命周期內(nèi)Web應(yīng)用安全保障技術(shù)的研究與應(yīng)用.pdf

1、越來越多的企業(yè)和機構(gòu)采用Web應(yīng)用來實現(xiàn)各種業(yè)務(wù)的信息化，可是由于Web本身的開放性，不可控性等特點，Web應(yīng)用的安全問題層出不窮，已經(jīng)達(dá)到網(wǎng)絡(luò)安全問題總量的70％，Web應(yīng)用安全已成為信息安全的重要領(lǐng)域。而從軟件開發(fā)的生命周期出發(fā)，去消除Web應(yīng)用的安全漏洞，是Web應(yīng)用安全的主要方向和趨勢，也是一種從根本上控制風(fēng)險的辦法。
　　 本文正是從軟件開發(fā)生命周期的角度出發(fā)，按照“細(xì)節(jié)中發(fā)現(xiàn)漏洞，架構(gòu)上解決問題，流程中控制風(fēng)險”的思

2、路，對Web應(yīng)用安全的關(guān)鍵技術(shù)進(jìn)行了深入的探討和實踐，解決了一些技術(shù)在具體應(yīng)用中的不足：
　　 1．總結(jié)了Web應(yīng)用安全的測試工具，安全漏洞和開發(fā)技術(shù)的現(xiàn)狀。
　　 2．通過對代碼漏洞的深入分析和擴展定義，提出了一套針對代碼注入漏洞的測試方法，經(jīng)過實驗證明，該方法能夠減少測試用例的數(shù)量。對安全測試工具進(jìn)行再開發(fā)和擴展，提高了測試的范圍和正確率。
　　 3．建立統(tǒng)一的身份管理機制和認(rèn)證模塊，從而能夠方便地管理身份信