Web應(yīng)用程序漏洞檢測關(guān)鍵技術(shù)研究.pdf_第1頁
已閱讀1頁,還剩113頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、隨著互聯(lián)網(wǎng)的普及和Web開發(fā)技術(shù)的興起與發(fā)展,Web應(yīng)用程序已成為最重要的互聯(lián)網(wǎng)應(yīng)用之一,在各領(lǐng)域承載了舉足輕重的作用。Web應(yīng)用程序的安全問題得到了研究界及工業(yè)界的廣泛關(guān)注。Web應(yīng)用程序的安全漏洞是攻防雙方最為重要的戰(zhàn)場,如何有效識別Web應(yīng)用程序中的安全漏洞,即漏洞檢測,是Web安全領(lǐng)域的核心問題。
  根據(jù)是否運(yùn)行被檢測的程序,可將漏洞檢測技術(shù)分為靜態(tài)漏洞檢測技術(shù)和動態(tài)漏洞檢測技術(shù)。靜態(tài)漏洞檢測技術(shù)及動態(tài)漏洞檢測技術(shù)均面臨

2、諸多挑戰(zhàn)。
  靜態(tài)漏洞檢測技術(shù)通常誤報率高,提高靜態(tài)漏洞檢測精確度的同時,保證方法的性能,是靜態(tài)漏洞檢測面臨的關(guān)鍵挑戰(zhàn)之一。靜態(tài)漏洞檢測通常運(yùn)用程序分析技術(shù),發(fā)現(xiàn)Web應(yīng)用程序的安全問題。然而,由于Web應(yīng)用程序所具有的特性,使得傳統(tǒng)的程序分析技術(shù)無法直接被使用進(jìn)行靜態(tài)漏洞檢測。
  基于模糊測試的動態(tài)漏洞檢測技術(shù)具有誤報率低的優(yōu)勢。但是,由于輸入向量的隨機(jī)性,模糊測試的代碼覆蓋率低,難以發(fā)現(xiàn)程序中深藏的漏洞?;诨旌蠄?zhí)行

3、的測試輸入生成方法能夠提高模糊測試的代碼覆蓋率。然而,現(xiàn)代Web應(yīng)用程序邏輯復(fù)雜、規(guī)模龐大,混合執(zhí)行在遍歷可達(dá)執(zhí)行路徑時,面臨路徑爆炸問題。
  本文圍繞Web應(yīng)用程序靜態(tài)漏洞檢測與動態(tài)漏洞檢測面臨的問題與挑戰(zhàn),結(jié)合Web應(yīng)用程序的特性,重點研究了Web應(yīng)用程序局部調(diào)用圖生成、輸入驗證漏洞檢測及混合執(zhí)行中的路徑搜索等關(guān)鍵技術(shù)。本文主要貢獻(xiàn)如下:
  1.為支持靜態(tài)漏洞檢測中的過程間分析,針對全程序分析效率低和Web應(yīng)用程序庫

4、代碼缺失的問題,本文提出了一種Web應(yīng)用程序局部調(diào)用圖生成方法。該方法的分析對象為Web應(yīng)用程序的應(yīng)用部分代碼、應(yīng)用部分所引用的庫部分代碼中方法的簽名、類的域和類層次結(jié)構(gòu)。首先,使用混合堆模型對程序中的內(nèi)存位置進(jìn)行抽象,區(qū)分應(yīng)用部分及庫部分的抽象內(nèi)存位置。然后,利用規(guī)則對與指針相關(guān)的應(yīng)用部分和庫部分交互行為進(jìn)行建模,推斷庫部分代碼的指針信息。最后,為庫部分維護(hù)指針指向集合,利用該集合解析庫回調(diào)邊,并限制回流進(jìn)入應(yīng)用部分指針指向集合的抽象

5、對象。實驗結(jié)果表明,該方法的運(yùn)行時間分別比Averroes和Spark快4.9倍和13.7倍,同時能在一定程度上保證局部調(diào)用圖的完整性和精確性。
  2.針對靜態(tài)漏洞檢測誤報率高的問題,本文提出了一種基于靜態(tài)信息流跟蹤技術(shù)的輸入驗證漏洞檢測方法。首先,集成指針分析,識別程序中堆內(nèi)數(shù)據(jù)的依賴關(guān)系以及變量之間的別名關(guān)系。然后,通過過程內(nèi)數(shù)據(jù)流分析計算程序中方法的數(shù)據(jù)依賴關(guān)系摘要,提高過程間分析的效率。最后,提出雙向數(shù)據(jù)流分析技術(shù)來靜態(tài)

6、跟蹤信息流,縮短污點數(shù)據(jù)傳播路徑長度。本文在開源靜態(tài)代碼分析工具FindBugs上實現(xiàn)該方法,并在基準(zhǔn)程序SecuriBench上對該方法進(jìn)行驗證。實驗結(jié)果表明,該方法在不明顯降低靜態(tài)漏洞檢測方法性能的前提下,提高了輸入驗證漏洞的檢測精確度。
  3.針對混合執(zhí)行的路徑爆炸問題,本文提出了一種混合執(zhí)行中的路徑搜索策略。該搜索策略對被測試程序各個分支的代碼覆蓋率進(jìn)行實時估算,并選擇覆蓋率最低的分支繼續(xù)探索執(zhí)行。實驗結(jié)果表明,該路徑搜

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論