基于敏感路徑參數(shù)的Java Web漏洞檢測技術(shù)研究.pdf

1、隨著現(xiàn)代信息技術(shù)的高速發(fā)展，Web應(yīng)用程序及其相關(guān)技術(shù)被廣泛使用，并且迅速占領(lǐng)主導(dǎo)地位。Java Web應(yīng)用程序作為B/S框架的一種，得到了廣泛的使用。當(dāng)然，在其為廣大開發(fā)者及用戶帶來方便的同時(shí)，隨之而來的也包括了一系列的安全問題。根據(jù)數(shù)據(jù)統(tǒng)計(jì)，在當(dāng)前的各類網(wǎng)絡(luò)攻擊事件中，利用Web應(yīng)用程序本身存在的安全漏洞而對該應(yīng)用程序進(jìn)行惡意攻擊的發(fā)生概率越來越高。這些攻擊行為為用戶本身、企業(yè)以及其他相關(guān)之人帶來巨大的損失，其中包括精神損失、名譽(yù)損

2、失以及財(cái)產(chǎn)損失等等，使得人們的合法權(quán)益受到嚴(yán)重威脅。所以，Web漏洞檢測受到越來越多的國內(nèi)外研究學(xué)者和開發(fā)人員的關(guān)注。
　　本文在分析國內(nèi)外研究現(xiàn)狀的基礎(chǔ)之上，采用基于代碼分析、查找敏感路徑參數(shù)的方法，專門針對Java Web應(yīng)用程序中的文件上傳漏洞、遠(yuǎn)程命令執(zhí)行漏洞以及SQL注入漏洞檢測技術(shù)進(jìn)行了分析研究，并實(shí)現(xiàn)了針對上述三種漏洞的Java Web應(yīng)用程序安全漏洞靜態(tài)代碼檢測系統(tǒng)。本文利用開源工具ANTRL對源代碼進(jìn)行解析，生成

3、AST樹。并且采用反向檢測的方法來查找敏感路徑，以提高系統(tǒng)效率。另外，本文提出了一種較為合理的過濾集合與過濾完備集的匹配規(guī)則，從而提高了系統(tǒng)檢測結(jié)果的準(zhǔn)確性。
　　為了能夠更好的驗(yàn)證本文所設(shè)計(jì)并實(shí)現(xiàn)的系統(tǒng)的正確性與實(shí)用性，本文采用比較完整的、項(xiàng)目組自行開發(fā)的Java Web應(yīng)用程序作為目標(biāo)系統(tǒng)，對本文所設(shè)計(jì)的Java Web漏洞檢測系統(tǒng)進(jìn)行檢測。實(shí)驗(yàn)結(jié)果表明，本文所設(shè)計(jì)并實(shí)現(xiàn)的系統(tǒng)可以有效的檢測到Java Web目標(biāo)系統(tǒng)中存在的S