淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-2507201209093000
中文論文名稱 校園網頁應用程式安全之研究-以淡江大學為例
英文論文名稱 A study of campus web application security-a case study of Tamkang University
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 100
學期 2
出版年 101
研究生中文姓名 詹益璋
研究生英文姓名 Yi-Chang Chan
學號 699630470
學位類別 碩士
語文別 中文
口試日期 2012-05-26
論文頁數 62頁
口試委員 指導教授-黃明達
委員-楊欣哲
委員-連志誠
委員-游佳萍
中文關鍵字 網頁應用程式弱點  OWASP  校園資訊安全  網頁應用程式安全 
英文關鍵字 Web application vulnerabilities  Information Security of Campus  OWASP  Web application security 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 現今網頁應用程式應用相較於過去更加複雜,因此產生漏洞可能性也越大,本研究透過IBM的網頁應用程式弱點掃描軟體AppScan,針對淡江大學學術單位一、二級與一級行政單位,進行網頁應用程式的弱點掃描,研究目的有二,其一,透過弱點掃描之報告經過歸納整理後,找出學校內網頁應用程式最主要的弱點。其二,針對校內各單位目前之網頁應用程式弱點,提出網頁應用程式之弱點改善建議。
本研究採用OWASP 2010十大弱點分類,與AppScan的弱點分類對照,針對校內的網頁應用程式弱點進行歸納整理,並利用AppScan的掃描報告,將AppScan所提出的弱點改善建議提供給各單位,讓各單位了解本身的網頁應用程式弱點概況,也在改善網頁應用程式弱點時能有依據。
本研究發現目前淡江大學校內網頁應用程式弱點,以OWASP 2010十大弱點分類排名前四名依序為注入弱點風險(Injection)、遭破壞的鑑別與連線管理(Broken Authentication and Session Management)、跨站請求偽造(Cross Site Request Forgery)與跨腳本攻擊(Cross Site Scripting(XSS)),此四種弱點佔了校內網頁應用程式弱點超過89%。因此若針對此四種網頁應用程式弱點改善,將能有效改善校內網頁應用程式的安全。
英文摘要 The web applications today use more complex, resulting the safety problem in a greater danger. In this study, by IBM’s web application vulnerability detection software AppScan, we aim at the Tamkang University primary and secondary academic unit and primary administrative unit to do our web application scanning. There are two purposes in this study. First, by the report of the vulnerability detection, we can identify the major weakness of web applications in Tamkang University. Second, improve the existing weakness of web applications in Tamkang University.
In this study, we contrast the OWASP 2010 Top Ten weakness with AppScan's vulnerability classification. Found Tamkang University campus to the current the OWASP rank the top four in order to inject, Broken authentication and session management, Cross site request forgery and Cross site scripting four weaknesses.For this four weaknesses to improve, we can effectively improve the safety of the campus web applications.
論文目次 目錄
中文提要 I
英文提要 III
目錄 IV
表目錄 VI
圖目錄 VII
第壹章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 2
第三節 研究範圍 3
第四節 研究架構 4
第貳章 文獻探討 6
第一節 網頁應用程式弱點定義 6
第二節 OWASP 2010 十大弱點 6
第三節 網頁應用程式之威脅 10
第四節 校園網頁應用程式弱點研究 12
第參章 研究方法與過程 14
第一節 研究對象 14
第二節 研究工具 14
第三節 問卷設計 16
第四節 研究方法與過程 17
第肆章 研究結果與分析 18
第一節 校園網頁應用程式之弱點分析 18
第二節 OWASP十大弱點與AppScan弱點對照 21
第三節 各學院與行政單位弱點分析 27
第四節 主要研究發現 29
第伍章 結論 34
第一節 結論 34
第二節 改善建議 35
第三節 未來研究建議 36
參考文獻 38
附錄一 網頁應用程式高風險弱點改善建議 42
附錄二 個案學校各單位網頁應用程式掃描執行表 53
附錄三 個案學校各單位各級風險個數統計表狀況 57
表目錄
表2-1 WASC威脅分類 10
表2-2 姚依君與蔡震天研究之OWASP TOP 10 2007排名之比較 13
表4-1 個案學校風險個數表 18
表4-2 高風險數量百分比 19
表4-3 高風險數前三名 20
表4-4 各單位網頁建置情況 21
表4-5 OWASP TOP 10 2010名稱表 22
表4-6 OWASP TOP 10 2010與AppScan對照表 22
表4-7 個案學校OWASP TOP 10 2010排名 26
表4-8 OWASP TOP 10 2010各單位風險數量排名 27
表4-9 OWASP高風險弱點前四名數量與百分比表 28
表4-10 測試單位數量與高風險弱點數量表 29
表4-11 本研究與姚依君、蔡震天研究比較 31
表4-12 標準樣版網頁應用程式高風險改善表 33

圖目錄
圖1-1 研究架構 5
圖2-1 SQL注入(SQL Injection)修補範例一 11
圖2-2 SQL注入(SQL Injection)修補範例二 12
圖2-3 SQL注入(SQL Injection)修補範例三 12
圖2-4 跨網站Scripting(Cross Site Scripting)修補範例一 13
圖2-5 跨網站Scripting(Cross Site Scripting)修補範例二 13
圖3-1 研究方法與過程 17

參考文獻 參考文獻
中文文獻:
[1]IBM- Web應用程式零漏洞方案-Taiwan,http://www-01.ibm.com/software/tw/promotion/rational/appscan119.html,上網日期:2011年11月20日。
[2] Jack Wu, OWASP Top 10 2010版初探網站資安風險管理- 如何透過源碼檢測與網站應用系統防火牆控制風險等級,http://armorize-cht.blogspot.com/2009/11/owasp-top10-2010.html,上網日期:2012年1月3日。
[3] Taiwan-OWASP, https://www.owasp.org/index.php/Taiwan,上網日期:2011年10月17日。
[4]TWNIC@NTUST網路應用安全知識庫,伺服端安全:3-4檢測與分析方法:最新弱點公布網站,http://knowledge.twisc.ntust.edu.tw/doku.php?id=3伺服端安全:3-4檢測與分析方法:最新弱點公布網站,上網日期:2011年12月27日。
[5]大紀元,http://www.epochtimes.com/b5/8/6/25/n2168156.htm,上網日期:2012年2月1日。
[6]台灣網路資訊中心(TWNIC),<2011 台灣無線網路使用調查報告出爐>,2011年10月。
[7]行政院研究發展考核委員會,<99年個人家戶數位落差調查報告>,2010年11月。
[8]行政院科技顧問組,<2010資通安全政策白皮書>,2010年。
[9]行政院國家資通安全會報技術服務中心,<97年度Web應用程式安全參考指引V.2>,網址:http://www.giscc.org.tw/downloadFile.php?dispatch=download&sn=108,上網日期:2009年10月2號。
[10]行政院國家資通安全會報技術服務中心,<99年度Web應用程式安全參考指引V2.0>,2010年12月。
[11]東海數位學堂,http://blog.yam.com/taso_tkb/article/35070350,上網日期 2012年2月1日。
[12]姚依君,《網頁應用程式攻擊之研究−以個案學校為例》資訊管理學系暨研究所,碩士論文,2010年。
[13]張智翔,中央研究院計算中心,通訊電子報,《淺談網路應用程式安全(一)》,http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1288,上網日期:2011年11月23日。
[14]倪秋立,《SQL Injection範例探討與可使用之防範方法》,科技教育課程改革與發展學術研討會論文集,2008期,頁39-45,2009年9月1日。
[15]淡江大學,<淡水校園簡介>,網址:http://foreign.tku.edu.tw/chinese/campus-tamsui.asp,上網日期:2011年11月19日。
[16]翁浩正,中央研究院計算中心,通訊電子報,《淺談網路應用程式安全(二)》,http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1917,上網日期:2011年11月23日。
[17]蔡震天,《網頁應用程式原始碼弱點分析之研究─以個案學校為例》資訊管理學系暨研究所,碩士論文,2010年。
[18]增加網路應用程式安全性 Improve web application security,http://brooky.cc/2011/05/18/improve-web-application-security/,上網日期:2012年1月16日。
英文文獻:
[19]Chris Anley, Advanced SQL Injection In SQL Server Applications., http://www.ngssoftware.com, accessed 2012/1/3.
[20]Mark Curphey , Rudolph Araujo , “Web Application Security
Assessment Tools”, Security & Privacy, IEEE, Vol. 4 , pp. 32-41, Aug. 2006.
[21] Mohammed H. Abu Hamada., “Client Side Action Against Cross Site Scripting Attacks”, Islamic University Faculty of Information Technology, Degree of Master in Information Technology, 2012.
[22] Philipp, Vogt., Florian, Nentwich., Nenad, Jovanovic., Engin, Kirda., Christopher, Kruegel., and Giovanni, Vigna., “Cross-Site Scripting Prevention with Dynamic Data Tainting and Static Analysis”, In Proceedings of 14th Annual Network and Distributed System Security Symposium (NDSS 2007), 2007.
[23] Kate Riley, IST–Infrastructure Services, Protect your web applications from common threats, http://inews.berkeley.edu/articles/Aug-Sep2010/web-app-vulnerabilities,accessed 2012/1/17
[24] OWASP, Command Injection, https://www.owasp.org/index.php/Command_Injection,accessed 2011/12/18.
[25] OWASP, Cross-Site Scripting, https://www.owasp.org/index.php/Cross-site_Scripting_(XSS), accessed 2011/12/26.
[26] OWASP, Cross-Site Request Forgery (CSRF), https://www.owasp.org/index.php/CSRF, accessed 2011/12/26.
[27] OWASP TOP10-2010, http://www.owasp.org/index.php/Top_10,accessed 2011/12/5.
[28] OWASP Top 10 (2010 release candidate 1), http://www.slideshare.net/jeremiahgrossman/owasp-top-10-2010-release-candidate, accessed 2011/12/12.
[29] Practical Web Application Vulnerability Assessment, http://www.michaelboman.org/books/practical-web-application-vulnerability-assessment, accessed 2012/1/15.
[30] Shiuh-Jeng Wang., Yao-Han Chang., Hung-Jui Ke., Wen-Shenq Juang .,“Digital Evidence Seizure in Network Intrusions against Cyber-crime on
Internet Systems, ”Journal of Computers Vol.18, No.4,pp.69-78, 2008.
[31] Steven, Cook., “A Web Developer’s Guide to Cross-Site Scripting”, SANS Institute 2003, January 11, 2003.
[32] Wikipedia, Application Security., http://en.wikipedia.org/wiki/Application_security, accessed 2012/1/17.
[33] Wikipedia, Web Application., http://en.wikipedia.org/wiki/Web_application, accessed 2012/1/17.
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2012-07-31公開。
  • 同意授權瀏覽/列印電子全文服務,於2012-07-31起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信