【摘要】：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,Web應用項目的不斷推廣和使用,Web應用的復雜度也在隨著提高。為了適應云計算、大數(shù)據(jù)等新技術(shù)的需求,Web系統(tǒng)架構(gòu)變得越來越復雜,同時也就帶來了很多潛在的安全隱患。目前導致軟件缺陷存在的主要原因是大多數(shù)開發(fā)人員將關(guān)注點放在了業(yè)務實現(xiàn)上,而忽略了編寫安全代碼的重要性。如果能在開發(fā)階段對軟件代碼進行檢測,及時修正代碼中存在的安全缺陷,那么惡意攻擊者的可乘之機就會大幅減少。隨著JavaEE的迅速發(fā)展,Web開源框架得到推廣,安全性和保密性較高的大型企業(yè)多是基于JavaEE進行軟件開發(fā)。所以本文對Java Web應用的源碼缺陷檢測技術(shù)進行研究與實現(xiàn)具有一定的現(xiàn)實意義。本文對當前Java Web應用架構(gòu)進行分析,著重研究了服務器端Java構(gòu)件的原理和應用場景,包括JSP,Java Servlet和JavaBean。對于Web應用中的高危漏洞SQL注入和XSS跨站腳本攻擊的原理和防范進行了深入研究。在源碼靜態(tài)分析部分,創(chuàng)新性地提出了一種雙向污點傳播分析方法,提高靜態(tài)分析準確性的同時還能夠獲取污點數(shù)據(jù)的傳播路徑。在程序動態(tài)檢測部分,創(chuàng)新性地提出了利用靜態(tài)分析得出的污點傳播路徑和污點引入點程序切片信息來指導測試用例生成和監(jiān)測代碼植入的方法。并且在深入研究java web應用缺陷檢測技術(shù)的基礎上開發(fā)實現(xiàn)了一個針對Java Web應用的源碼缺陷檢測系統(tǒng)JavaChecker,實驗結(jié)果表明本文提出的缺陷檢測技術(shù)能有效的提高結(jié)果準確率。
[Abstract]:With the development of Internet technology, the complexity of using Web applications is increasing with the development of Web application projects. In order to adapt to cloud computing, big data and other new technologies are becoming more and more complex, and also bring a lot of potential security risks. The main reason for software defects is that most developers focus on business implementation and ignore the importance of writing secure code. If the software code can be detected in the development stage and the security defects in the code can be corrected in time, the opportunities for malicious attackers will be greatly reduced. With the rapid development of JavaEE, most of the large enterprises with high security and security are based on JavaEE. Therefore, the research and implementation of Java Web application source code defect detection technology has certain practical significance. This paper analyzes the current Java Web application architecture, and focuses on the principle and application scenario of server-side Java components, including JSP Java Servlet and Java Bean. The principle and prevention of high risk vulnerability SQL injection and XSS cross-site script attack in Web application are studied in this paper. In the part of static analysis of source code, a bidirectional stain propagation analysis method is proposed, which can improve the accuracy of static analysis and obtain the propagation path of stain data at the same time. In the part of program dynamic detection, a new method is proposed to guide test case generation and monitor code implantation by using the static analysis of the stain propagation path and the introduction of spot program slicing information. Based on the deep research of java web application defect detection technology, a source code defect detection system for Java Web application, Java Checker, is developed. The experimental results show that the proposed defect detection technology can effectively improve the accuracy of the results.
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP393.09

【參考文獻】

相關(guān)期刊論文 前9條

1 萬志遠;周波;;基于靜態(tài)信息流跟蹤的輸入驗證漏洞檢測方法[J];浙江大學學報(工學版);2015年04期

2 賈文超;汪永益;施凡;常超;;基于動態(tài)污點傳播模型的DOM XSS漏洞檢測[J];計算機應用研究;2014年07期

3 何炎祥;吳偉;陳勇;徐超;;基于SMT求解器的路徑敏感程序驗證[J];軟件學報;2012年10期

4 樊振宇;;深入理解SERVLET和JSP原理[J];電腦知識與技術(shù);2011年11期

5 田素貞;趙康;;Servlet的工作原理及部署的分析與應用[J];清遠職業(yè)技術(shù)學院學報;2010年03期

6 張矚熹;王懷民;;基于AOP的軟件運行軌跡捕獲技術(shù)研究與實現(xiàn)[J];計算機應用;2008年05期

7 楊世江,李晉西;Java Web構(gòu)件開發(fā)及在監(jiān)測系統(tǒng)中的應用[J];計算機應用;2004年S2期

8 李慧賢,劉堅;數(shù)據(jù)流分析方法[J];計算機工程與應用;2003年13期

9 林惠民,張文輝;模型檢測:理論、方法與應用[J];電子學報;2002年S1期

相關(guān)博士學位論文 前3條

1 王瑞;基于SAT的符號化模型檢驗技術(shù)研究[D];國防科學技術(shù)大學;2014年

2 陳廳;動態(tài)程序分析技術(shù)在軟件安全領域的研究[D];電子科技大學;2013年

3 張立勇;軟件源代碼安全分析研究[D];西安電子科技大學;2011年

相關(guān)碩士學位論文 前10條

1 曹黎波;Web應用的漏洞檢測與防范技術(shù)研究[D];中國礦業(yè)大學;2015年

2 曾祥飛;面向J2EE程序的動態(tài)污點分析方法研究與實現(xiàn)[D];江西師范大學;2015年

3 龍寶蓮;J2EE平臺下的web應用缺陷的靜態(tài)檢測技術(shù)研究[D];北京郵電大學;2015年

4 李政;基于模糊測試的Web應用漏洞發(fā)掘技術(shù)研究與實現(xiàn)[D];北京理工大學;2015年

5 路艷華;Web應用漏洞檢測系統(tǒng)研究與設計[D];西安電子科技大學;2014年

6 王歡;靜動態(tài)結(jié)合的安全漏洞檢測方法研究[D];華中科技大學;2014年

7 栗國斌;基于灰盒測試的Web應用程序安全漏洞檢測[D];北京化工大學;2013年

8 梁北海;基于污點分析的Java Web程序脆弱性檢測方法研究[D];華中科技大學;2013年

9 姜曙光;基于符號執(zhí)行的Web安全檢測系統(tǒng)的研究與實現(xiàn)[D];湖南大學;2012年

10 趙迎釗;基于靜態(tài)分析的代碼安全缺陷檢測系統(tǒng)[D];電子科技大學;2012年

，

本文編號：2198707