【摘要】：近年來(lái),網(wǎng)絡(luò)安全事件層出不窮,網(wǎng)絡(luò)安全受到廣泛關(guān)注。SQL注入和跨站腳本(XSS)是目前比較流行且危害性較大的安全問題。攻擊者可以結(jié)合多種攻擊手段對(duì)Web應(yīng)用進(jìn)行攻擊,這將造成用戶隱私被披露甚至財(cái)產(chǎn)損失等問題。常見的檢測(cè)檢測(cè)方法包括靜態(tài)分析和動(dòng)態(tài)監(jiān)測(cè)方法。動(dòng)態(tài)監(jiān)測(cè)工具掃描速度不能定位到造成漏洞的具體代碼,且漏報(bào)率高。靜態(tài)分析工具可以找到特定的代碼,但誤報(bào)率高。它們都各自有局限性。本文提出一個(gè)結(jié)合靜態(tài)分析和動(dòng)態(tài)監(jiān)測(cè)的缺陷定位方法檢測(cè)Java應(yīng)用程序的缺陷。在靜態(tài)分析部分,采用基于克隆的上下文敏感的別名分析技術(shù)對(duì)程序進(jìn)行抽象分析,并針對(duì)未驗(yàn)證輸入漏洞編寫對(duì)應(yīng)的缺陷模式規(guī)則,采用反向污點(diǎn)分析技術(shù)進(jìn)行污點(diǎn)分析。在動(dòng)態(tài)檢測(cè)部分,利用靜態(tài)分析結(jié)果,生成攻擊向量對(duì)程序進(jìn)行模擬攻擊,監(jiān)控程序運(yùn)行信息并最終確定缺陷是否存在。文本對(duì)Webgoat、Bodgeit等開源項(xiàng)目進(jìn)行實(shí)驗(yàn)和測(cè)試,實(shí)驗(yàn)結(jié)果表明,系統(tǒng)可以能夠有效檢測(cè)的目標(biāo)程序的SQL注入和XSS攻擊漏洞,誤報(bào)率低,驗(yàn)證了模型的有效性,取得了很好的效果。
【圖文】：

直接跟容器中的環(huán)境變量交互。逡逑Ｊ２ＥＥ中，一些符合某種規(guī)范的類組合在一起就構(gòu)成了組件，可以實(shí)現(xiàn)某些逡逑特定的功能。Ｊ２ＥＥ使用多層分布式的應(yīng)用模型，通常分為四層，參見圖２－１。組逡逑件根據(jù)自身所在的層，會(huì)被部署到不同的機(jī)器上［１７，１８１。逡逑Ｚ７Ｔ．邋｜丨客戶ｐ邐客戶糊逡逑ＨＴＭＬ頁(yè)而邐一Ｊ逡逑ＪＳＰ頁(yè)而邐ｆｅｂ層逡逑，丨~柷鋜>』邐Ｊ２ＥＩＩ逡逑服務(wù)器逡逑—Ｅ，ｓｒ邋１；業(yè)務(wù)層逡逑數(shù)據(jù)庫(kù)丨：ＥＩＳＳ］邋ｍｉ逡逑圖２－１邋Ｊ２ＥＥ四層結(jié)構(gòu)逡逑客戶層包含運(yùn)行在客戶端機(jī)器上的客戶端應(yīng)用程序和Ａｇｌｅｔｓ組件，客戶層逡逑組件分為兩種方式，Ｗｅｂ方式和應(yīng)用程序方式，本文針對(duì)Ｗｅｂ方式進(jìn)行漏洞挖逡逑掘；逡逑Ｗｅｂ層包含運(yùn)行在Ｊ２ＥＥ服務(wù)器上的Ｗｅｂ層組件，包括Ｓｅｒｖｌｅｔ、ＪＳＰ和ＪＳＦ；逡逑業(yè)務(wù)層包含運(yùn)行在Ｊ２ＥＥ服務(wù)器上的業(yè)務(wù)邏輯層Ｅｎｔｅｒｐｒｉｓｅ邋Ｊａｖａ邋Ｂｅａｎｓ（ＥＪＢ）逡逑組件，主要包含３種企業(yè)級(jí)的ｂｅａｎ：實(shí)體ｂｅａｎ、會(huì)話ｂｅａｎ、和消息驅(qū)動(dòng)ｂｅａｎ；逡逑ＥＩＳ邋層卩Ｊ＂以是邋ＤＢ邋或者一個(gè)企業(yè)信息系統(tǒng)（Ｅｎｔｅｒｐｒｉｓｅ邋ｉｎｆｏｒｍａｔｉｏｎ邋ｓｙｓｔｅｍ

北京郵電大學(xué)工程碩士學(xué)位論文第五章Ｊａｖａ邋ｗｅｂ應(yīng)用程序動(dòng)態(tài)缺陷檢測(cè)技術(shù)逡逑第四章設(shè)計(jì)了一種基于克隆的上下文敏感的別名分析技術(shù)，對(duì)Ｊａｖａ靜態(tài)分析，，得到缺陷報(bào)告和污點(diǎn)的傳播路徑。但是，靜態(tài)分析的缺點(diǎn)確，誤報(bào)率低。而動(dòng)態(tài)監(jiān)測(cè)是具體的執(zhí)行代碼，誤報(bào)率低。故本文把動(dòng)態(tài)監(jiān)測(cè)技術(shù)相結(jié)合，本章具體介紹動(dòng)態(tài)監(jiān)測(cè)部分。逡逑文借助靜態(tài)分析報(bào)告中的污點(diǎn)信息和污點(diǎn)路徑作為輸入，生成測(cè)試?yán)貌鍢兜姆绞竭M(jìn)行污點(diǎn)跟蹤，最終得到程序真是存在的安全漏洞。分的框架圖如下所示。逡逑
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP312.2;TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前3條

1 趙云山;宮云戰(zhàn);周傲;王前;周虹伯;;靜態(tài)缺陷檢測(cè)中的誤報(bào)消除技術(shù)研究[J];計(jì)算機(jī)研究與發(fā)展;2012年09期

2 黃強(qiáng);曾慶凱;;基于信息流策略的污點(diǎn)傳播分析及動(dòng)態(tài)驗(yàn)證[J];軟件學(xué)報(bào);2011年09期

3 張硯秋,陳川,何明德;基于MVC設(shè)計(jì)模式構(gòu)筑JSP/Servlet+EJB的Web應(yīng)用[J];計(jì)算機(jī)工程;2001年11期

相關(guān)碩士學(xué)位論文 前6條

1 周軒;面向Jimple語(yǔ)言的基于依賴的污點(diǎn)分析方法設(shè)計(jì)與實(shí)現(xiàn)[D];江西師范大學(xué);2015年

2 韋存堂;SQL注入與XSS攻擊自動(dòng)化檢測(cè)關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2015年

3 劉為;基于模糊測(cè)試的XSS漏洞檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D];湖南大學(xué);2010年

4 黃奕;基于模糊測(cè)試的軟件安全漏洞發(fā)掘技術(shù)研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2010年

5 牛婷芝;一種Java源代碼安全分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];北京郵電大學(xué);2009年

6 沈壽忠;基于網(wǎng)絡(luò)爬蟲的SQL注入與XSS漏洞挖掘[D];西安電子科技大學(xué);2009年

本文編號(hào)：2537237