【摘要】：針對現(xiàn)有Web注入型脆弱性檢測方案大多只關(guān)注過濾型驗證而忽略檢查型驗證這一不足,提出污染驅(qū)動的切片方法。以污點分析指導(dǎo)具體的程序切片過程,能夠完整地提取程序中的兩種驗證操作;借助分步的、攻擊者視角的字符串分析對驗證操作的驗證能力進行評價分析,以更準確的檢測web注入型脆弱性。實現(xiàn)了一個原型系統(tǒng)Valer,實驗結(jié)果表明該方法有效降低了分析中的誤報率,具有實用價值。
[Abstract]:In view of the fact that most of the existing Web injection vulnerability detection schemes only focus on filter verification and ignore inspection verification, a pollution-driven slicing method is proposed. Using stain analysis to guide the process of program slicing, we can extract two kinds of verification operation in the program. A step-by-step, attacker-based string analysis is used to evaluate the verification capability of verification operations in order to detect web injection vulnerability more accurately. The experimental results of a prototype system Valer, show that this method can effectively reduce the false alarm rate in the analysis and has practical value.
【作者單位】： 南京大學(xué)計算機軟件新技術(shù)國家重點實驗室;南京大學(xué)計算機科學(xué)與技術(shù)系;
【基金】：國家自然科學(xué)基金項目(61170070) 國家科技支撐計劃基金項目(2012BAK26B01) 國家863高技術(shù)研究發(fā)展計劃基金項目(2011AA1A202)
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 劉小波,謝芊,李留英;應(yīng)用正則表達式在ASP.NET中實現(xiàn)優(yōu)化的輸入驗證方法[J];現(xiàn)代圖書情報技術(shù);2005年10期

2 陳圣儉;周永來;;用Struts創(chuàng)建安全的Web應(yīng)用[J];中國電力教育;2007年S1期

3 杜樹杰;;Web輸入驗證系統(tǒng)的對象化設(shè)計[J];計算機系統(tǒng)應(yīng)用;2006年11期

4 劉麗琳;岑柏滋;;淺析網(wǎng)站數(shù)據(jù)庫安全中的SQL注入及防范措施[J];和田師范�？茖W(xué)校學(xué)報;2007年01期

5 闞紅星;楊善林;袁f，

本文編號：2453710