Web應(yīng)用程序漏洞檢測(cè)關(guān)鍵技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)的普及和Web開發(fā)技術(shù)的興起與發(fā)展，Web應(yīng)用程序已成為最重要的互聯(lián)網(wǎng)應(yīng)用之一，在各領(lǐng)域承載了舉足輕重的作用。Web應(yīng)用程序的安全問題得到了研究界及工業(yè)界的廣泛關(guān)注。Web應(yīng)用程序的安全漏洞是攻防雙方最為重要的戰(zhàn)場(chǎng)，如何有效識(shí)別Web應(yīng)用程序中的安全漏洞，即漏洞檢測(cè)，是Web安全領(lǐng)域的核心問題。
　　根據(jù)是否運(yùn)行被檢測(cè)的程序，可將漏洞檢測(cè)技術(shù)分為靜態(tài)漏洞檢測(cè)技術(shù)和動(dòng)態(tài)漏洞檢測(cè)技術(shù)。靜態(tài)漏洞檢測(cè)技術(shù)及動(dòng)態(tài)漏洞檢測(cè)技術(shù)均面臨

2、諸多挑戰(zhàn)。
　　靜態(tài)漏洞檢測(cè)技術(shù)通常誤報(bào)率高，提高靜態(tài)漏洞檢測(cè)精確度的同時(shí)，保證方法的性能，是靜態(tài)漏洞檢測(cè)面臨的關(guān)鍵挑戰(zhàn)之一。靜態(tài)漏洞檢測(cè)通常運(yùn)用程序分析技術(shù)，發(fā)現(xiàn)Web應(yīng)用程序的安全問題。然而，由于Web應(yīng)用程序所具有的特性，使得傳統(tǒng)的程序分析技術(shù)無法直接被使用進(jìn)行靜態(tài)漏洞檢測(cè)。
　　基于模糊測(cè)試的動(dòng)態(tài)漏洞檢測(cè)技術(shù)具有誤報(bào)率低的優(yōu)勢(shì)。但是，由于輸入向量的隨機(jī)性，模糊測(cè)試的代碼覆蓋率低，難以發(fā)現(xiàn)程序中深藏的漏洞。基于混合執(zhí)行

3、的測(cè)試輸入生成方法能夠提高模糊測(cè)試的代碼覆蓋率。然而，現(xiàn)代Web應(yīng)用程序邏輯復(fù)雜、規(guī)模龐大，混合執(zhí)行在遍歷可達(dá)執(zhí)行路徑時(shí)，面臨路徑爆炸問題。
　　本文圍繞Web應(yīng)用程序靜態(tài)漏洞檢測(cè)與動(dòng)態(tài)漏洞檢測(cè)面臨的問題與挑戰(zhàn)，結(jié)合Web應(yīng)用程序的特性，重點(diǎn)研究了Web應(yīng)用程序局部調(diào)用圖生成、輸入驗(yàn)證漏洞檢測(cè)及混合執(zhí)行中的路徑搜索等關(guān)鍵技術(shù)。本文主要貢獻(xiàn)如下:
　　1.為支持靜態(tài)漏洞檢測(cè)中的過程間分析，針對(duì)全程序分析效率低和Web應(yīng)用程序庫

4、代碼缺失的問題，本文提出了一種Web應(yīng)用程序局部調(diào)用圖生成方法。該方法的分析對(duì)象為Web應(yīng)用程序的應(yīng)用部分代碼、應(yīng)用部分所引用的庫部分代碼中方法的簽名、類的域和類層次結(jié)構(gòu)。首先，使用混合堆模型對(duì)程序中的內(nèi)存位置進(jìn)行抽象，區(qū)分應(yīng)用部分及庫部分的抽象內(nèi)存位置。然后，利用規(guī)則對(duì)與指針相關(guān)的應(yīng)用部分和庫部分交互行為進(jìn)行建模，推斷庫部分代碼的指針信息。最后，為庫部分維護(hù)指針指向集合，利用該集合解析庫回調(diào)邊，并限制回流進(jìn)入應(yīng)用部分指針指向集合的抽象

5、對(duì)象。實(shí)驗(yàn)結(jié)果表明，該方法的運(yùn)行時(shí)間分別比Averroes和Spark快4.9倍和13.7倍，同時(shí)能在一定程度上保證局部調(diào)用圖的完整性和精確性。
　　2.針對(duì)靜態(tài)漏洞檢測(cè)誤報(bào)率高的問題，本文提出了一種基于靜態(tài)信息流跟蹤技術(shù)的輸入驗(yàn)證漏洞檢測(cè)方法。首先，集成指針分析，識(shí)別程序中堆內(nèi)數(shù)據(jù)的依賴關(guān)系以及變量之間的別名關(guān)系。然后，通過過程內(nèi)數(shù)據(jù)流分析計(jì)算程序中方法的數(shù)據(jù)依賴關(guān)系摘要，提高過程間分析的效率。最后，提出雙向數(shù)據(jù)流分析技術(shù)來靜態(tài)

6、跟蹤信息流，縮短污點(diǎn)數(shù)據(jù)傳播路徑長(zhǎng)度。本文在開源靜態(tài)代碼分析工具FindBugs上實(shí)現(xiàn)該方法，并在基準(zhǔn)程序SecuriBench上對(duì)該方法進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，該方法在不明顯降低靜態(tài)漏洞檢測(cè)方法性能的前提下，提高了輸入驗(yàn)證漏洞的檢測(cè)精確度。
　　3.針對(duì)混合執(zhí)行的路徑爆炸問題，本文提出了一種混合執(zhí)行中的路徑搜索策略。該搜索策略對(duì)被測(cè)試程序各個(gè)分支的代碼覆蓋率進(jìn)行實(shí)時(shí)估算，并選擇覆蓋率最低的分支繼續(xù)探索執(zhí)行。實(shí)驗(yàn)結(jié)果表明，該路徑搜