| 摘要 | 第3-4页 |
| Abstract | 第4页 |
| 第一章 绪论 | 第7-13页 |
| 1.1 研究背景 | 第7-8页 |
| 1.2 国内外Web应用安全研究现状 | 第8-10页 |
| 1.2.1 Web安全的发展历程 | 第8-9页 |
| 1.2.2 国内外Web安全现状 | 第9页 |
| 1.2.3 Web安全技术研究现状 | 第9-10页 |
| 1.3 课题的研究意义 | 第10页 |
| 1.4 本文主要工作 | 第10-13页 |
| 第二章 Web应用威胁性风险分析 | 第13-31页 |
| 2.1 Web应用的结构 | 第13-15页 |
| 2.1.1 Web应用的概念 | 第13-14页 |
| 2.1.2 Web应用安全风险的核心与关键因素 | 第14-15页 |
| 2.2 OWASP TOP 102010简介 | 第15-31页 |
| 2.2.1 攻击原理分析和主动防御参考方案。 | 第16-31页 |
| 第三章 企业级Web应用主动防御安全机制的设计和分析 | 第31-49页 |
| 3.1 RS项目安全现状的调查 | 第31页 |
| 3.2 设计检测方案需遵循的原则 | 第31-33页 |
| 3.3 几种备选检测手段优劣分析 | 第33-36页 |
| 3.4 辅助测试工具的研究 | 第36-37页 |
| 3.5 检测方案的选择与实施 | 第37-39页 |
| 3.5.1 检测方案的选择 | 第38页 |
| 3.5.2 人工访谈的实施 | 第38页 |
| 3.5.3 代码审查的实施 | 第38页 |
| 3.5.4 渗透测试的实施 | 第38-39页 |
| 3.6 测试结果与漏洞分析 | 第39-49页 |
| 第四章 企业级Web应用主动防御安全机制的实现 | 第49-59页 |
| 4.1 针对SQL注入的主动防御方案设计 | 第49-51页 |
| 4.2 针对没有限制的URL访问的主动防御方案设计 | 第51-53页 |
| 4.3 针对跨站脚本的主动防御方案设计 | 第53-55页 |
| 4.4 信息泄露的主动防御方案设计 | 第55页 |
| 4.5 未验证的重定向和转发的主动防御方案设计 | 第55-56页 |
| 4.6 传输层保护不足的主动防御方案设计 | 第56-57页 |
| 4.7 不安全的加密存储的主动防御方案设计 | 第57页 |
| 4.8 跨站请求伪造的主动防御方案设计 | 第57-59页 |
| 第五章 企业级Web应用主动防御安全机制的验证 | 第59-61页 |
| 5.1 对主动防御安全机制的实施进行验证的目的 | 第59页 |
| 5.2 验证方法的选择 | 第59-60页 |
| 5.3 主动防御安全方案的验证结果 | 第60-61页 |
| 第六章 结论 | 第61-63页 |
| 致谢 | 第63-65页 |
| 参考文献 | 第65-67页 |
| 附录 | 第67-78页 |
| 附录A. ASVS-V2: Session Management Verification Requirements | 第67-69页 |
| 附录B.ASVS-V3: Access Control Verification Requirements | 第69-71页 |
| 附录C. 历年OWASP TOP 10数据 | 第71-73页 |
| 附录D. 代码安全审查的详细检查点列表 | 第73-76页 |
| 附录E. RS项目实施渗透测试的项目列表 | 第76-78页 |
