現今網頁應用程式應用相較於過去更加複雜，因此產生漏洞可能性也越大，本研究透過IBM的網頁應用程式弱點掃描軟體AppScan，針對淡江大學學術單位一、二級與一級行政單位，進行網頁應用程式的弱點掃描，研究目的有二，其一，透過弱點掃描之報告經過歸納整理後，找出學校內網頁應用程式最主要的弱點。其二，針對校內各單位目前之網頁應用程式弱點，提出網頁應用程式之弱點改善建議。
    本研究採用OWASP 2010十大弱點分類，與AppScan的弱點分類對照，針對校內的網頁應用程式弱點進行歸納整理，並利用AppScan的掃描報告，將AppScan所提出的弱點改善建議提供給各單位，讓各單位了解本身的網頁應用程式弱點概況，也在改善網頁應用程式弱點時能有依據。
    本研究發現目前淡江大學校內網頁應用程式弱點，以OWASP 2010十大弱點分類排名前四名依序為注入弱點風險(Injection)、遭破壞的鑑別與連線管理(Broken Authentication and Session Management)、跨站請求偽造(Cross Site Request Forgery)與跨腳本攻擊(Cross Site Scripting(XSS))，此四種弱點佔了校內網頁應用程式弱點超過89%。因此若針對此四種網頁應用程式弱點改善，將能有效改善校內網頁應用程式的安全。

The web applications today use more complex, resulting the safety problem in a greater danger. In this study, by IBM’s web application vulnerability detection software AppScan, we aim at the Tamkang University primary and secondary academic unit and primary administrative unit to do our web application scanning. There are two purposes in this study. First, by the report of the vulnerability detection, we can identify the major weakness of web applications in Tamkang University. Second, improve the existing weakness of web applications in Tamkang University.
In this study, we contrast the OWASP 2010 Top Ten weakness with AppScan's vulnerability classification. Found Tamkang University campus to the current the OWASP rank the top four in order to inject, Broken authentication and session management, Cross site request forgery and Cross site scripting four weaknesses.For this four weaknesses to improve, we can effectively improve the safety of the campus web applications.

目錄
中文提要	I
英文提要	III
目錄	IV
表目錄	VI
圖目錄	VII
第壹章    緒論	1
      第一節    研究背景與動機	1
      第二節    研究目的	2
      第三節    研究範圍	3
      第四節    研究架構	4
第貳章    文獻探討	6
      第一節    網頁應用程式弱點定義	6
      第二節    OWASP 2010 十大弱點	6
      第三節    網頁應用程式之威脅	10
      第四節    校園網頁應用程式弱點研究	12
第參章    研究方法與過程	14
      第一節    研究對象	14
      第二節    研究工具	14
      第三節    問卷設計	16
      第四節    研究方法與過程	17
第肆章    研究結果與分析	18
      第一節    校園網頁應用程式之弱點分析	18
      第二節    OWASP十大弱點與AppScan弱點對照	21
      第三節    各學院與行政單位弱點分析	27
      第四節    主要研究發現	29
第伍章    結論	34
      第一節    結論	34
      第二節    改善建議	35
      第三節    未來研究建議	36
參考文獻	38
附錄一    網頁應用程式高風險弱點改善建議	42
附錄二    個案學校各單位網頁應用程式掃描執行表	53
附錄三    個案學校各單位各級風險個數統計表狀況	57
表目錄
表2-1    WASC威脅分類	10
表2-2    姚依君與蔡震天研究之OWASP TOP 10 2007排名之比較	13
表4-1    個案學校風險個數表	18
表4-2    高風險數量百分比	19
表4-3    高風險數前三名	20
表4-4    各單位網頁建置情況	21
表4-5    OWASP TOP 10 2010名稱表	22
表4-6    OWASP TOP 10 2010與AppScan對照表	22
表4-7    個案學校OWASP TOP 10 2010排名	26
表4-8    OWASP TOP 10 2010各單位風險數量排名	27
表4-9    OWASP高風險弱點前四名數量與百分比表	28
表4-10   測試單位數量與高風險弱點數量表	29
表4-11   本研究與姚依君、蔡震天研究比較	31
表4-12   標準樣版網頁應用程式高風險改善表	33
 
圖目錄
圖1-1    研究架構	5
圖2-1    SQL注入(SQL Injection)修補範例一	11
圖2-2    SQL注入(SQL Injection)修補範例二	12
圖2-3    SQL注入(SQL Injection)修補範例三	12
圖2-4    跨網站Scripting(Cross Site Scripting)修補範例一	13
圖2-5    跨網站Scripting(Cross Site Scripting)修補範例二	13
圖3-1    研究方法與過程	17

參考文獻
中文文獻：
[1]IBM- Web應用程式零漏洞方案-Taiwan，http://www-01.ibm.com/software/tw/promotion/rational/appscan119.html，上網日期：2011年11月20日。
[2] Jack Wu, OWASP Top 10 2010版初探網站資安風險管理- 如何透過源碼檢測與網站應用系統防火牆控制風險等級，http://armorize-cht.blogspot.com/2009/11/owasp-top10-2010.html，上網日期：2012年1月3日。
[3] Taiwan-OWASP, https://www.owasp.org/index.php/Taiwan，上網日期：2011年10月17日。
[4]TWNIC@NTUST網路應用安全知識庫，伺服端安全:3-4檢測與分析方法:最新弱點公布網站，http://knowledge.twisc.ntust.edu.tw/doku.php?id=3伺服端安全:3-4檢測與分析方法:最新弱點公布網站，上網日期：2011年12月27日。
[5]大紀元，http://www.epochtimes.com/b5/8/6/25/n2168156.htm，上網日期：2012年2月1日。
[6]台灣網路資訊中心(TWNIC)，<2011 台灣無線網路使用調查報告出爐>，2011年10月。
[7]行政院研究發展考核委員會，<99年個人家戶數位落差調查報告>，2010年11月。
[8]行政院科技顧問組，<2010資通安全政策白皮書>，2010年。
[9]行政院國家資通安全會報技術服務中心，<97年度Web應用程式安全參考指引V.2>，網址：http://www.giscc.org.tw/downloadFile.php?dispatch=download&sn=108，上網日期：2009年10月2號。
[10]行政院國家資通安全會報技術服務中心，<99年度Web應用程式安全參考指引V2.0>，2010年12月。
[11]東海數位學堂，http://blog.yam.com/taso_tkb/article/35070350，上網日期 2012年2月1日。
[12]姚依君，《網頁應用程式攻擊之研究−以個案學校為例》資訊管理學系暨研究所，碩士論文，2010年。  
[13]張智翔，中央研究院計算中心，通訊電子報，《淺談網路應用程式安全（一）》，http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1288，上網日期：2011年11月23日。
[14]倪秋立，《SQL Injection範例探討與可使用之防範方法》，科技教育課程改革與發展學術研討會論文集，2008期，頁39-45，2009年9月1日。
[15]淡江大學，<淡水校園簡介>，網址：http://foreign.tku.edu.tw/chinese/campus-tamsui.asp，上網日期：2011年11月19日。
[16]翁浩正，中央研究院計算中心，通訊電子報，《淺談網路應用程式安全（二）》，http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1917，上網日期：2011年11月23日。
[17]蔡震天，《網頁應用程式原始碼弱點分析之研究─以個案學校為例》資訊管理學系暨研究所，碩士論文，2010年。
[18]增加網路應用程式安全性 Improve web application security，http://brooky.cc/2011/05/18/improve-web-application-security/，上網日期：2012年1月16日。
英文文獻：
[19]Chris Anley, Advanced SQL Injection In SQL Server Applications., http://www.ngssoftware.com, accessed 2012/1/3.
[20]Mark Curphey , Rudolph Araujo , “Web Application Security
Assessment Tools”, Security & Privacy, IEEE, Vol. 4 , pp. 32-41, Aug. 2006.
[21] Mohammed H. Abu Hamada., “Client Side Action Against Cross Site Scripting Attacks”, Islamic University Faculty of Information Technology, Degree of Master in Information Technology, 2012.
[22] Philipp, Vogt., Florian, Nentwich., Nenad, Jovanovic., Engin, Kirda., Christopher, Kruegel., and Giovanni, Vigna., “Cross-Site Scripting Prevention with Dynamic Data Tainting and Static Analysis”, In Proceedings of 14th Annual Network and Distributed System Security Symposium (NDSS 2007), 2007.
[23] Kate Riley, IST–Infrastructure Services, Protect your web applications from common threats, http://inews.berkeley.edu/articles/Aug-Sep2010/web-app-vulnerabilities,accessed 2012/1/17
[24] OWASP, Command Injection,  https://www.owasp.org/index.php/Command_Injection,accessed 2011/12/18.
[25] OWASP, Cross-Site Scripting, https://www.owasp.org/index.php/Cross-site_Scripting_(XSS), accessed 2011/12/26.
[26] OWASP, Cross-Site Request Forgery (CSRF), https://www.owasp.org/index.php/CSRF, accessed 2011/12/26.
[27] OWASP TOP10-2010, http://www.owasp.org/index.php/Top_10,accessed 2011/12/5.
[28] OWASP Top 10 (2010 release candidate 1),  http://www.slideshare.net/jeremiahgrossman/owasp-top-10-2010-release-candidate, accessed 2011/12/12.
[29] Practical Web Application Vulnerability Assessment, http://www.michaelboman.org/books/practical-web-application-vulnerability-assessment, accessed 2012/1/15.
[30] Shiuh-Jeng Wang., Yao-Han Chang., Hung-Jui Ke., Wen-Shenq Juang .,“Digital Evidence Seizure in Network Intrusions against Cyber-crime on
Internet Systems, ”Journal of Computers Vol.18, No.4,pp.69-78, 2008.
[31] Steven, Cook., “A Web Developer’s Guide to Cross-Site Scripting”, SANS Institute 2003, January 11, 2003.
[32] Wikipedia, Application Security., http://en.wikipedia.org/wiki/Application_security, accessed 2012/1/17.
[33] Wikipedia, Web Application., http://en.wikipedia.org/wiki/Web_application, accessed 2012/1/17.