【摘要】：針對現(xiàn)有Web注入型脆弱性檢測方案大多只關(guān)注過濾型驗(yàn)證而忽略檢查型驗(yàn)證這一不足,提出污染驅(qū)動(dòng)的切片方法。以污點(diǎn)分析指導(dǎo)具體的程序切片過程,能夠完整地提取程序中的兩種驗(yàn)證操作;借助分步的、攻擊者視角的字符串分析對驗(yàn)證操作的驗(yàn)證能力進(jìn)行評(píng)價(jià)分析,以更準(zhǔn)確的檢測web注入型脆弱性。實(shí)現(xiàn)了一個(gè)原型系統(tǒng)Valer,實(shí)驗(yàn)結(jié)果表明該方法有效降低了分析中的誤報(bào)率,具有實(shí)用價(jià)值。
[Abstract]:In view of the fact that most of the existing Web injection vulnerability detection schemes only focus on filter verification and ignore inspection verification, a pollution-driven slicing method is proposed. Using stain analysis to guide the process of program slicing, we can extract two kinds of verification operation in the program. A step-by-step, attacker-based string analysis is used to evaluate the verification capability of verification operations in order to detect web injection vulnerability more accurately. The experimental results of a prototype system Valer, show that this method can effectively reduce the false alarm rate in the analysis and has practical value.
【作者單位】： 南京大學(xué)計(jì)算機(jī)軟件新技術(shù)國家重點(diǎn)實(shí)驗(yàn)室;南京大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系;
【基金】：國家自然科學(xué)基金項(xiàng)目(61170070) 國家科技支撐計(jì)劃基金項(xiàng)目(2012BAK26B01) 國家863高技術(shù)研究發(fā)展計(jì)劃基金項(xiàng)目(2011AA1A202)
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 劉小波,謝芊,李留英;應(yīng)用正則表達(dá)式在ASP.NET中實(shí)現(xiàn)優(yōu)化的輸入驗(yàn)證方法[J];現(xiàn)代圖書情報(bào)技術(shù);2005年10期

2 陳圣儉;周永來;;用Struts創(chuàng)建安全的Web應(yīng)用[J];中國電力教育;2007年S1期

3 杜樹杰;;Web輸入驗(yàn)證系統(tǒng)的對象化設(shè)計(jì)[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2006年11期

4 劉麗琳;岑柏滋;;淺析網(wǎng)站數(shù)據(jù)庫安全中的SQL注入及防范措施[J];和田師范專科學(xué)校學(xué)報(bào);2007年01期

5 闞紅星;楊善林;袁f，

本文編號(hào)：2453710