

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、隨著互聯(lián)網(wǎng)的普及和Web開發(fā)技術(shù)的興起與發(fā)展,Web應(yīng)用程序已成為最重要的互聯(lián)網(wǎng)應(yīng)用之一,在各領(lǐng)域承載了舉足輕重的作用。Web應(yīng)用程序的安全問題得到了研究界及工業(yè)界的廣泛關(guān)注。Web應(yīng)用程序的安全漏洞是攻防雙方最為重要的戰(zhàn)場,如何有效識別Web應(yīng)用程序中的安全漏洞,即漏洞檢測,是Web安全領(lǐng)域的核心問題。
根據(jù)是否運(yùn)行被檢測的程序,可將漏洞檢測技術(shù)分為靜態(tài)漏洞檢測技術(shù)和動態(tài)漏洞檢測技術(shù)。靜態(tài)漏洞檢測技術(shù)及動態(tài)漏洞檢測技術(shù)均面臨
2、諸多挑戰(zhàn)。
靜態(tài)漏洞檢測技術(shù)通常誤報率高,提高靜態(tài)漏洞檢測精確度的同時,保證方法的性能,是靜態(tài)漏洞檢測面臨的關(guān)鍵挑戰(zhàn)之一。靜態(tài)漏洞檢測通常運(yùn)用程序分析技術(shù),發(fā)現(xiàn)Web應(yīng)用程序的安全問題。然而,由于Web應(yīng)用程序所具有的特性,使得傳統(tǒng)的程序分析技術(shù)無法直接被使用進(jìn)行靜態(tài)漏洞檢測。
基于模糊測試的動態(tài)漏洞檢測技術(shù)具有誤報率低的優(yōu)勢。但是,由于輸入向量的隨機(jī)性,模糊測試的代碼覆蓋率低,難以發(fā)現(xiàn)程序中深藏的漏洞?;诨旌蠄?zhí)行
3、的測試輸入生成方法能夠提高模糊測試的代碼覆蓋率。然而,現(xiàn)代Web應(yīng)用程序邏輯復(fù)雜、規(guī)模龐大,混合執(zhí)行在遍歷可達(dá)執(zhí)行路徑時,面臨路徑爆炸問題。
本文圍繞Web應(yīng)用程序靜態(tài)漏洞檢測與動態(tài)漏洞檢測面臨的問題與挑戰(zhàn),結(jié)合Web應(yīng)用程序的特性,重點研究了Web應(yīng)用程序局部調(diào)用圖生成、輸入驗證漏洞檢測及混合執(zhí)行中的路徑搜索等關(guān)鍵技術(shù)。本文主要貢獻(xiàn)如下:
1.為支持靜態(tài)漏洞檢測中的過程間分析,針對全程序分析效率低和Web應(yīng)用程序庫
4、代碼缺失的問題,本文提出了一種Web應(yīng)用程序局部調(diào)用圖生成方法。該方法的分析對象為Web應(yīng)用程序的應(yīng)用部分代碼、應(yīng)用部分所引用的庫部分代碼中方法的簽名、類的域和類層次結(jié)構(gòu)。首先,使用混合堆模型對程序中的內(nèi)存位置進(jìn)行抽象,區(qū)分應(yīng)用部分及庫部分的抽象內(nèi)存位置。然后,利用規(guī)則對與指針相關(guān)的應(yīng)用部分和庫部分交互行為進(jìn)行建模,推斷庫部分代碼的指針信息。最后,為庫部分維護(hù)指針指向集合,利用該集合解析庫回調(diào)邊,并限制回流進(jìn)入應(yīng)用部分指針指向集合的抽象
5、對象。實驗結(jié)果表明,該方法的運(yùn)行時間分別比Averroes和Spark快4.9倍和13.7倍,同時能在一定程度上保證局部調(diào)用圖的完整性和精確性。
2.針對靜態(tài)漏洞檢測誤報率高的問題,本文提出了一種基于靜態(tài)信息流跟蹤技術(shù)的輸入驗證漏洞檢測方法。首先,集成指針分析,識別程序中堆內(nèi)數(shù)據(jù)的依賴關(guān)系以及變量之間的別名關(guān)系。然后,通過過程內(nèi)數(shù)據(jù)流分析計算程序中方法的數(shù)據(jù)依賴關(guān)系摘要,提高過程間分析的效率。最后,提出雙向數(shù)據(jù)流分析技術(shù)來靜態(tài)
6、跟蹤信息流,縮短污點數(shù)據(jù)傳播路徑長度。本文在開源靜態(tài)代碼分析工具FindBugs上實現(xiàn)該方法,并在基準(zhǔn)程序SecuriBench上對該方法進(jìn)行驗證。實驗結(jié)果表明,該方法在不明顯降低靜態(tài)漏洞檢測方法性能的前提下,提高了輸入驗證漏洞的檢測精確度。
3.針對混合執(zhí)行的路徑爆炸問題,本文提出了一種混合執(zhí)行中的路徑搜索策略。該搜索策略對被測試程序各個分支的代碼覆蓋率進(jìn)行實時估算,并選擇覆蓋率最低的分支繼續(xù)探索執(zhí)行。實驗結(jié)果表明,該路徑搜
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- Web應(yīng)用漏洞檢測關(guān)鍵技術(shù)研究.pdf
- PHP Web應(yīng)用程序開發(fā)中漏洞消減技術(shù)研究.pdf
- Ajax Web應(yīng)用程序的XSS漏洞檢測.pdf
- Android應(yīng)用程序惡意行為檢測關(guān)鍵技術(shù)研究.pdf
- Android應(yīng)用程序的隱私泄露檢測關(guān)鍵技術(shù)研究.pdf
- 軟件漏洞檢測關(guān)鍵技術(shù)研究.pdf
- web應(yīng)用程序安全漏洞挖掘的研究
- Web應(yīng)用程序安全漏洞挖掘的研究.pdf
- 基于灰盒測試的Web應(yīng)用程序安全漏洞檢測.pdf
- WEB應(yīng)用程序點擊劫持漏洞研究及防御方法.pdf
- 主動攻擊式Web應(yīng)用程序漏洞檢測系統(tǒng)設(shè)計與實現(xiàn).pdf
- Web應(yīng)用業(yè)務(wù)邏輯漏洞檢測技術(shù)研究.pdf
- C語言應(yīng)用程序的靜態(tài)漏洞檢測.pdf
- 基于模擬攻擊的Web應(yīng)用程序漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf
- Web應(yīng)用的漏洞檢測與防范技術(shù)研究.pdf
- PHP Web應(yīng)用程序安全性研究及安全漏洞檢測工具開發(fā).pdf
- 基于用戶會話的Web應(yīng)用程序測試技術(shù)研究.pdf
- Web應(yīng)用程序測試技術(shù)的研究.pdf
- 基于模型驅(qū)動的面向?qū)ο髴?yīng)用程序框架的關(guān)鍵技術(shù)研究.pdf
- Web應(yīng)用系統(tǒng)漏洞檢測技術(shù)研究與實現(xiàn).pdf
評論
0/150
提交評論