【摘要】：隨著互聯(lián)網(wǎng)的普及和Web開發(fā)技術(shù)的興起與發(fā)展,Web應(yīng)用程序已成為最重要的互聯(lián)網(wǎng)應(yīng)用之一,在各領(lǐng)域承載了舉足輕重的作用。Web應(yīng)用程序的安全問題得到了研究界及工業(yè)界的廣泛關(guān)注。Web應(yīng)用程序的安全漏洞是攻防雙方最為重要的戰(zhàn)場,如何有效識別Web應(yīng)用程序中的安全漏洞,即漏洞檢測,是Web安全領(lǐng)域的核心問題。根據(jù)是否運(yùn)行被檢測的程序,可將漏洞檢測技術(shù)分為靜態(tài)漏洞檢測技術(shù)和動態(tài)漏洞檢測技術(shù)。靜態(tài)漏洞檢測技術(shù)及動態(tài)漏洞檢測技術(shù)均面臨諸多挑戰(zhàn)。靜態(tài)漏洞檢測技術(shù)通常誤報率高,提高靜態(tài)漏洞檢測精確度的同時,保證方法的性能,是靜態(tài)漏洞檢測面臨的關(guān)鍵挑戰(zhàn)之一。靜態(tài)漏洞檢測通常運(yùn)用程序分析技術(shù),發(fā)現(xiàn)Web應(yīng)用程序的安全問題。然而,由于Web應(yīng)用程序所具有的特性,使得傳統(tǒng)的程序分析技術(shù)無法直接被使用進(jìn)行靜態(tài)漏洞檢測�；谀：郎y試的動態(tài)漏洞檢測技術(shù)具有誤報率低的優(yōu)勢。但是,由于輸入向量的隨機(jī)性,模糊測試的代碼覆蓋率低,難以發(fā)現(xiàn)程序中深藏的漏洞�；诨旌蠄�(zhí)行的測試輸入生成方法能夠提高模糊測試的代碼覆蓋率。然而,現(xiàn)代Web應(yīng)用程序邏輯復(fù)雜、規(guī)模龐大,混合執(zhí)行在遍歷可達(dá)執(zhí)行路徑時,面臨路徑爆炸問題。本文圍繞Web應(yīng)用程序靜態(tài)漏洞檢測與動態(tài)漏洞檢測面臨的問題與挑戰(zhàn),結(jié)合Web應(yīng)用程序的特性,重點(diǎn)研究了Web應(yīng)用程序局部調(diào)用圖生成、輸入驗(yàn)證漏洞檢測及混合執(zhí)行中的路徑搜索等關(guān)鍵技術(shù)。本文主要貢獻(xiàn)如下：1.為支持靜態(tài)漏洞檢測中的過程間分析,針對全程序分析效率低和Web應(yīng)用程序庫代碼缺失的問題,本文提出了一種Web應(yīng)用程序局部調(diào)用圖生成方法。該方法的分析對象為Web應(yīng)用程序的應(yīng)用部分代碼、應(yīng)用部分所引用的庫部分代碼中方法的簽名、類的域和類層次結(jié)構(gòu)。首先,使用混合堆模型對程序中的內(nèi)存位置進(jìn)行抽象,區(qū)分應(yīng)用部分及庫部分的抽象內(nèi)存位置。然后,利用規(guī)則對與指針相關(guān)的應(yīng)用部分和庫部分交互行為進(jìn)行建模,推斷庫部分代碼的指針信息。最后,為庫部分維護(hù)指針指向集合,利用該集合解析庫回調(diào)邊,并限制回流進(jìn)入應(yīng)用部分指針指向集合的抽象對象。實(shí)驗(yàn)結(jié)果表明,該方法的運(yùn)行時間分別比werroes和Spark快4.9倍和13.7倍,同時能在一定程度上保證局部調(diào)用圖的完整性和精確性。2.針對靜態(tài)漏洞檢測誤報率高的問題,本文提出了一種基于靜態(tài)信息流跟蹤技術(shù)的輸入驗(yàn)證漏洞檢測方法。首先,集成指針分析,識別程序中堆內(nèi)數(shù)據(jù)的依賴關(guān)系以及變量之間的別名關(guān)系。然后,通過過程內(nèi)數(shù)據(jù)流分析計算程序中方法的數(shù)據(jù)依賴關(guān)系摘要,提高過程間分析的效率。最后,提出雙向數(shù)據(jù)流分析技術(shù)來靜態(tài)跟蹤信息流,縮短污點(diǎn)數(shù)據(jù)傳播路徑長度。本文在開源靜態(tài)代碼分析工具FindBugs上實(shí)現(xiàn)該方法,并在基準(zhǔn)程序SecuriBench上對該方法進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明,該方法在不明顯降低靜態(tài)漏洞檢測方法性能的前提下,提高了輸入驗(yàn)證漏洞的檢測精確度。3.針對混合執(zhí)行的路徑爆炸問題,本文提出了一種混合執(zhí)行中的路徑搜索策略。該搜索策略對被測試程序各個分支的代碼覆蓋率進(jìn)行實(shí)時估算,并選擇覆蓋率最低的分支繼續(xù)探索執(zhí)行。實(shí)驗(yàn)結(jié)果表明,該路徑搜索策略能夠有效緩解混合執(zhí)行的路徑爆炸問題,為提高基于模糊測試的動態(tài)漏洞檢測技術(shù)的代碼覆蓋率提供支持。
[Abstract]:With the popularization of the Internet and the rise and development of the Web development technology, the Web application has become one of the most important Internet applications, and plays a very important role in all fields. The security of Web application has been widely concerned by the research and industry. The security hole of Web application is the most important battlefield of the defense and defense, and how to effectively identify the security holes in the Web application, that is, the detection of the vulnerability, is the core problem in the field of Web security. According to whether the detected program is to be run, the vulnerability detection technology can be divided into a static vulnerability detection technology and a dynamic vulnerability detection technology. The static vulnerability detection technology and the dynamic vulnerability detection technology face many challenges. The technique of static vulnerability detection is usually too high to improve the accuracy of the static hole detection, and the performance of the method is one of the key challenges to the detection of the static vulnerability. The static vulnerability detection usually uses the program analysis technique to find the security problem of the Web application. However, due to the nature of the Web application, traditional program analysis techniques cannot be used directly for static vulnerability detection. The dynamic vulnerability detection technology based on the fuzzy test has the advantage of low error rate. However, due to the randomness of the input vector, the code coverage of the fuzzy test is low, and it is difficult to find a hidden vulnerability in the program. The test input generation method based on the hybrid execution can improve the code coverage of the fuzzy test. However, the modern Web application logic is complex, large in scale, and is faced with the problem of path explosion when traversing up to the execution path. In this paper, the problems and challenges facing the detection and dynamic vulnerability detection of the Web application are discussed, and the key technologies such as the local call graph generation, the input verification vulnerability detection and the path search in the mixed execution of the Web application are studied. The main contribution of this paper is as follows:1. In order to support the process-to-process analysis in the static vulnerability detection, the paper presents a local call graph generation method for Web application aiming at the problem of low efficiency of all-program analysis and the missing of the Web application library code. The analysis object of this method is the application part code of the Web application, the signature of the method in the library part code referenced by the application part, the domain of the class and the class hierarchy. First, the memory location in the program is abstracted by using the mixed-stack model, and the abstract memory location of the application part and the library part is distinguished. Then, using the rule to model the interaction behavior of the application part and the library related to the pointer, and the pointer information of the library part code is deduced. Finally, a pointer to the collection is maintained for the library portion, the library callback edge is parsed using the set, and the abstract object that returns to the application portion pointer to the set is limited. The experimental results show that the operation time of the method is 4.9 times and 13.7 times faster than that of werroes and Spark, and the integrity and accuracy of the local call graph can be guaranteed to a certain extent. In this paper, an input verification vulnerability detection method based on static information flow tracking technology is presented in this paper. First, an integrated pointer analysis is used to identify the dependency of the data in the heap and the alias relationship between the variables. And then, the data dependency relation summary of the method in the program is analyzed through the data flow in the process, and the efficiency of the inter-process analysis is improved. Finally, a two-way data flow analysis technique is proposed to keep track of information flow and shorten the path length of the spot data. This paper implements this method on the open source static code analysis tool FindBugs and verifies the method on the reference program SecuriBench. The experimental results show that the method can improve the detection accuracy of the input verification vulnerability without significantly reducing the performance of the static hole detection method. In order to solve the problem of the path explosion, a path search strategy is proposed in this paper. The search strategy estimates the code coverage of each branch of the test program in real time, and selects the branch with the lowest coverage to continue to explore the execution. The experimental results show that the route search strategy can effectively mitigate the path explosion problem of the hybrid execution and support the code coverage of the dynamic vulnerability detection technology based on the fuzzy test.
【學(xué)位授予單位】：浙江大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李廣洲,丁金芳,鄧海山;基于Web的化學(xué)計算機(jī)化自適應(yīng)測驗(yàn)系統(tǒng)的實(shí)現(xiàn)[J];計算機(jī)與應(yīng)用化學(xué);2002年05期

2 趙松林;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];微型機(jī)與應(yīng)用;2003年08期

3 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠(yuǎn)程分析工具集中的應(yīng)用[J];儀器儀表用戶;2004年02期

4 嚴(yán)毅,唐天兵,寧葵;Web服務(wù)實(shí)現(xiàn)開放式的企業(yè)應(yīng)用集成[J];廣西大學(xué)學(xué)報(自然科學(xué)版);2005年03期

5 邵文田;;去除使用Web服務(wù)尋找適當(dāng)?shù)某绦蝽椖縖J];電腦迷;2007年15期

6 宋平;;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];福建電腦;2007年10期

7 鄒丹;;基于Web服務(wù)的醫(yī)院信息管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J];大眾科技;2007年06期

8 彭玉華;;基于Web的學(xué)生信息管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J];民營科技;2010年09期

9 陳波;師惠忠;;一種新型Web應(yīng)用安全漏洞統(tǒng)一描述語言[J];小型微型計算機(jī)系統(tǒng);2011年10期

10 ;借會獻(xiàn)技——國際軟件博覽會中心議題web計算及應(yīng)用[J];每周電腦報;1997年43期

相關(guān)會議論文 前10條

1 劉正濤;毛宇光;應(yīng)毅;;基于Web服務(wù)的分布式Web應(yīng)用框架研究[A];第一屆全國Web信息系統(tǒng)及其應(yīng)用會議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國計算機(jī)網(wǎng)絡(luò)應(yīng)用年會論文集（2001）[C];2001年

3 王衛(wèi);;基于Web的數(shù)據(jù)庫應(yīng)用[A];第十八屆中國（天津）’2004IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會議論文集[C];2004年

4 張默;廖湖聲;杜金蓮;;基于Web服務(wù)的開放式地理信息系統(tǒng)的研究[A];2006年全國開放式分布與并行計算機(jī)學(xué)術(shù)會議論文集（三）[C];2006年

5 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項目管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)[A];第十四屆中國科協(xié)年會第5分會場：綠色船舶與海洋裝備創(chuàng)新發(fā)展及產(chǎn)業(yè)化論壇論文集[C];2012年

6 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項目管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)[A];2012年MIS/S&A學(xué)術(shù)交流會議論文集[C];2012年

7 李勤;;基于WEB的計算機(jī)模擬病例考試系統(tǒng)在全科醫(yī)師培訓(xùn)實(shí)踐能力測試中應(yīng)用研究[A];2012年浙江省全科醫(yī)學(xué)學(xué)術(shù)年會論文匯編[C];2012年

8 黃海林;孫向陽;;基于Web的大學(xué)物理試題管理系統(tǒng)的設(shè)計[A];湖北省物理學(xué)會、武漢物理學(xué)會成立70周年慶典暨2002年學(xué)術(shù)年會論文集[C];2002年

9 于莉莉;張毅;;基于Web的人力資源管理系統(tǒng)研究與設(shè)計[A];2008全國制造業(yè)信息化標(biāo)準(zhǔn)化論壇論文集[C];2008年

10 李中華;;企業(yè)Web應(yīng)用安全威脅與防護(hù)[A];創(chuàng)新·融合·發(fā)展——創(chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

相關(guān)重要報紙文章 前10條

1 本報記者 劉繼安;準(zhǔn)備好了嗎？WEB教師[N];中國教育報;2001年

2 張承東;Web智能考核廣告[N];網(wǎng)絡(luò)世界;2009年

3 科訊;WEB教師——一個全新職業(yè)的透析[N];科技日報;2001年

4 王雅麗;博客社區(qū)齊上陣 銀行借Web 2.0拉攏未來客戶[N];中國計算機(jī)報;2008年

5 本報記者 黃智軍;Web應(yīng)用呼喚新型安全系統(tǒng)[N];計算機(jī)世界;2009年

6 居易;WEB教師熱門起來[N];組織人事報;2001年

7 本報記者 趙曉濤;四問“Web防御與云安全”[N];網(wǎng)絡(luò)世界;2008年

8 本報記者 徐恒;手機(jī)瀏覽器：競爭不斷加劇 Web大勢所趨[N];中國電子報;2009年

9 電腦商報記者 張戈;Web應(yīng)用安全正當(dāng)時[N];電腦商報;2010年

10 李晨;Web應(yīng)用安全應(yīng)貫穿生命周期[N];人民郵電;2009年

相關(guān)博士學(xué)位論文 前10條

1 萬志遠(yuǎn);Web應(yīng)用程序漏洞檢測關(guān)鍵技術(shù)研究[D];浙江大學(xué);2014年

2 孫慧峰;基于協(xié)同過濾的個性化Web推薦[D];北京郵電大學(xué);2012年

3 何儒漢;Web圖像的多模融合檢索研究[D];華中科技大學(xué);2007年

4 張建武;面向Web應(yīng)用的安全評測技術(shù)研究[D];北京郵電大學(xué);2012年

5 龍慧云;基于進(jìn)程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

6 孫濤;面向市場情報分析的Web實(shí)體事件融合問題研究[D];山東大學(xué);2014年

7 謝琪;基于協(xié)同過濾與QoS的個性化Web服務(wù)推薦研究[D];重慶大學(xué);2012年

8 劉方方;Web服務(wù)合成與可用性的若干關(guān)鍵技術(shù)研究[D];復(fù)旦大學(xué);2007年

9 劉曉光;網(wǎng)絡(luò)化制造中Web服務(wù)自動組合的若干關(guān)鍵技術(shù)研究[D];上海交通大學(xué);2008年

10 劉國奇;面向領(lǐng)域QoS約束的Web服務(wù)選取方法[D];東北大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 李林蓉;基于Restful和OSGI的Web應(yīng)用轉(zhuǎn)換容器的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

2 陳彬彬;基于QoS隨機(jī)性的Web服務(wù)質(zhì)量偏離監(jiān)測方法研究與實(shí)現(xiàn)[D];昆明理工大學(xué);2015年

3 徐超;機(jī)頂盒中基于Web交互方式的設(shè)計與實(shí)現(xiàn)[D];西南交通大學(xué);2015年

4 張銳;基于Web技術(shù)下的出差管理系統(tǒng)[D];西安工業(yè)大學(xué);2015年

5 游維;基于Rest的Web業(yè)務(wù)系統(tǒng)日志采集與分析系統(tǒng)的研究與開發(fā)[D];山東大學(xué);2015年

6 陶瑩昌;基于Web的校園二手圖書拍賣平臺的設(shè)計與實(shí)現(xiàn)[D];西華師范大學(xué);2015年

7 周贏;基于WEB的績效管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

8 宋平亮;基于MongoDB的航道數(shù)據(jù)Web服務(wù)研究[D];大連海事大學(xué);2015年

9 汪洋;基于web的普通話新聞檢索技術(shù)研究[D];電子科技大學(xué);2014年

10 吳朝云;基于eyeOS的Web操作系統(tǒng)云存儲研究[D];電子科技大學(xué);2014年

，

本文編號：2507515