Web應(yīng)用程序漏洞檢測關(guān)鍵技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)的普及和Web開發(fā)技術(shù)的興起與發(fā)展，Web應(yīng)用程序已成為最重要的互聯(lián)網(wǎng)應(yīng)用之一，在各領(lǐng)域承載了舉足輕重的作用。Web應(yīng)用程序的安全問題得到了研究界及工業(yè)界的廣泛關(guān)注。Web應(yīng)用程序的安全漏洞是攻防雙方最為重要的戰(zhàn)場，如何有效識別Web應(yīng)用程序中的安全漏洞，即漏洞檢測，是Web安全領(lǐng)域的核心問題。
　　根據(jù)是否運(yùn)行被檢測的程序，可將漏洞檢測技術(shù)分為靜態(tài)漏洞檢測技術(shù)和動態(tài)漏洞檢測技術(shù)。靜態(tài)漏洞檢測技術(shù)及動態(tài)漏洞檢測技術(shù)均面臨

2、諸多挑戰(zhàn)。
　　靜態(tài)漏洞檢測技術(shù)通常誤報率高，提高靜態(tài)漏洞檢測精確度的同時，保證方法的性能，是靜態(tài)漏洞檢測面臨的關(guān)鍵挑戰(zhàn)之一。靜態(tài)漏洞檢測通常運(yùn)用程序分析技術(shù)，發(fā)現(xiàn)Web應(yīng)用程序的安全問題。然而，由于Web應(yīng)用程序所具有的特性，使得傳統(tǒng)的程序分析技術(shù)無法直接被使用進(jìn)行靜態(tài)漏洞檢測。
　　基于模糊測試的動態(tài)漏洞檢測技術(shù)具有誤報率低的優(yōu)勢。但是，由于輸入向量的隨機(jī)性，模糊測試的代碼覆蓋率低，難以發(fā)現(xiàn)程序中深藏的漏洞?；诨旌蠄?zhí)行

3、的測試輸入生成方法能夠提高模糊測試的代碼覆蓋率。然而，現(xiàn)代Web應(yīng)用程序邏輯復(fù)雜、規(guī)模龐大，混合執(zhí)行在遍歷可達(dá)執(zhí)行路徑時，面臨路徑爆炸問題。
　　本文圍繞Web應(yīng)用程序靜態(tài)漏洞檢測與動態(tài)漏洞檢測面臨的問題與挑戰(zhàn)，結(jié)合Web應(yīng)用程序的特性，重點研究了Web應(yīng)用程序局部調(diào)用圖生成、輸入驗證漏洞檢測及混合執(zhí)行中的路徑搜索等關(guān)鍵技術(shù)。本文主要貢獻(xiàn)如下:
　　1.為支持靜態(tài)漏洞檢測中的過程間分析，針對全程序分析效率低和Web應(yīng)用程序庫

4、代碼缺失的問題，本文提出了一種Web應(yīng)用程序局部調(diào)用圖生成方法。該方法的分析對象為Web應(yīng)用程序的應(yīng)用部分代碼、應(yīng)用部分所引用的庫部分代碼中方法的簽名、類的域和類層次結(jié)構(gòu)。首先，使用混合堆模型對程序中的內(nèi)存位置進(jìn)行抽象，區(qū)分應(yīng)用部分及庫部分的抽象內(nèi)存位置。然后，利用規(guī)則對與指針相關(guān)的應(yīng)用部分和庫部分交互行為進(jìn)行建模，推斷庫部分代碼的指針信息。最后，為庫部分維護(hù)指針指向集合，利用該集合解析庫回調(diào)邊，并限制回流進(jìn)入應(yīng)用部分指針指向集合的抽象

5、對象。實驗結(jié)果表明，該方法的運(yùn)行時間分別比Averroes和Spark快4.9倍和13.7倍，同時能在一定程度上保證局部調(diào)用圖的完整性和精確性。
　　2.針對靜態(tài)漏洞檢測誤報率高的問題，本文提出了一種基于靜態(tài)信息流跟蹤技術(shù)的輸入驗證漏洞檢測方法。首先，集成指針分析，識別程序中堆內(nèi)數(shù)據(jù)的依賴關(guān)系以及變量之間的別名關(guān)系。然后，通過過程內(nèi)數(shù)據(jù)流分析計算程序中方法的數(shù)據(jù)依賴關(guān)系摘要，提高過程間分析的效率。最后，提出雙向數(shù)據(jù)流分析技術(shù)來靜態(tài)

6、跟蹤信息流，縮短污點數(shù)據(jù)傳播路徑長度。本文在開源靜態(tài)代碼分析工具FindBugs上實現(xiàn)該方法，并在基準(zhǔn)程序SecuriBench上對該方法進(jìn)行驗證。實驗結(jié)果表明，該方法在不明顯降低靜態(tài)漏洞檢測方法性能的前提下，提高了輸入驗證漏洞的檢測精確度。
　　3.針對混合執(zhí)行的路徑爆炸問題，本文提出了一種混合執(zhí)行中的路徑搜索策略。該搜索策略對被測試程序各個分支的代碼覆蓋率進(jìn)行實時估算，并選擇覆蓋率最低的分支繼續(xù)探索執(zhí)行。實驗結(jié)果表明，該路徑搜