本文關(guān)鍵詞：面向J2EE程序的動(dòng)態(tài)污點(diǎn)分析方法研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著Web 2.0的出現(xiàn),社交網(wǎng)絡(luò)和電子商務(wù)使得信息共享越來(lái)越高,企業(yè)信息化的過(guò)程中各種應(yīng)用都架設(shè)在Web平臺(tái)上,Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注,接踵而至的就是Web安全威脅的凸顯,最為常見(jiàn)的Web漏洞有跨站腳本攻擊、SQL注入漏洞等。這些漏洞都是由于外部輸入未驗(yàn)證引發(fā)的,屬于WEB程序注入漏洞,污點(diǎn)分析可有效定位此類漏洞。本文提出一種基于對(duì)象跟蹤的動(dòng)態(tài)分析方法,與現(xiàn)有動(dòng)態(tài)方法跟蹤字符和字符串對(duì)象不同,可以追蹤所有可能被污染的Java對(duì)象,類型包含了字符串類型、字節(jié)類型、輸入輸出流類型等等。方法應(yīng)用對(duì)象哈希值表示污點(diǎn)對(duì)象,定義方法節(jié)點(diǎn)和方法坐標(biāo)記錄污點(diǎn)傳播時(shí)的程序位置,支持污點(diǎn)傳播路徑追蹤,針對(duì)Java流對(duì)象裝飾模式提出流家族污點(diǎn)傳播分析。方法設(shè)計(jì)一種語(yǔ)言規(guī)范對(duì)Java類庫(kù)中污點(diǎn)傳播相關(guān)的方法集合以及用戶自定義方法建模,按照污點(diǎn)引入、傳播、驗(yàn)證和使用對(duì)方法集分類后設(shè)計(jì)和形式化定義各類方法的污點(diǎn)傳播語(yǔ)義。根據(jù)污點(diǎn)傳播策略和語(yǔ)言規(guī)范,實(shí)現(xiàn)了基于對(duì)象跟蹤的漏洞掃描原型系統(tǒng),原型系統(tǒng)在SOOT平臺(tái)實(shí)現(xiàn)對(duì)J2EE源碼或字節(jié)碼插樁框架,使用靜態(tài)分析計(jì)算可達(dá)方法集以減少插樁規(guī)模,對(duì)真實(shí)網(wǎng)站的測(cè)試結(jié)果表明該系統(tǒng)可有效發(fā)現(xiàn)注入漏洞。
【關(guān)鍵詞】：動(dòng)態(tài)污點(diǎn)分析 污點(diǎn)傳播 對(duì)象跟蹤 SOOT 漏洞分析
【學(xué)位授予單位】：江西師范大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP311.52
【目錄】：

• 摘要3-4
• Abstract4-7
• 1 引言7-11
• 1.1 研究背景與意義7-8
• 1.2 研究現(xiàn)狀8-9
• 1.3 主要研究?jī)?nèi)容9-10
• 1.4 論文組織結(jié)構(gòu)10-11
• 2 相關(guān)技術(shù)11-21
• 2.1 外部輸入引發(fā)的漏洞技術(shù)研究11-14
• 2.1.1 注入攻擊漏洞11-12
• 2.1.2 跨站腳本12-13
• 2.1.3 跨站請(qǐng)求偽造13-14
• 2.2 動(dòng)態(tài)污點(diǎn)分析14-16
• 2.2.1 動(dòng)態(tài)污點(diǎn)分析原理14
• 2.2.2 動(dòng)態(tài)污點(diǎn)分析現(xiàn)狀14-15
• 2.2.3 現(xiàn)有技術(shù)的不足15-16
• 2.3 SOOT代碼分析框架16-21
• 2.3.1 SOOT代碼分析框架概述16-19
• 2.3.3 SOOT執(zhí)行19-21
• 3 基于對(duì)象跟蹤的方法21-28
• 3.1 污點(diǎn)信息表示21-23
• 3.2 污點(diǎn)傳播分析23-28
• 3.2.1 傳播方法定義23-25
• 3.2.2 污點(diǎn)傳播策略25-27
• 3.2.3 污點(diǎn)傳播路徑追蹤27-28
• 4 原型系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)28-42
• 4.1 系統(tǒng)設(shè)計(jì)28-29
• 4.1.1 系統(tǒng)體系結(jié)構(gòu)圖28-29
• 4.1.2 系統(tǒng)模塊劃分29
• 4.2 模塊設(shè)計(jì)29-34
• 4.2.1 動(dòng)態(tài)插樁模塊設(shè)計(jì)29-30
• 4.2.2 污點(diǎn)信息的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)30-32
• 4.2.3 插樁方法設(shè)計(jì)32-33
• 4.2.4 污點(diǎn)追蹤算法設(shè)計(jì)33
• 4.2.5 流家族傳播算法設(shè)計(jì)33-34
• 4.3 原型實(shí)現(xiàn)34-42
• 4.3.1 動(dòng)態(tài)插樁模塊實(shí)現(xiàn)34-38
• 4.3.2 動(dòng)態(tài)污點(diǎn)分析模塊的實(shí)現(xiàn)38-42
• 5 實(shí)驗(yàn)與評(píng)估42-46
• 6 結(jié)論46-47
• 參考文獻(xiàn)47-51
• 致謝51-53
• 在讀期間公開(kāi)發(fā)表論文（著）及科研情況53

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 郭君紅;李躍飛;白成剛;蔡開(kāi)元;;飛行控制軟件測(cè)試中插樁技術(shù)的優(yōu)化方法[J];計(jì)算機(jī)工程;2010年04期

2 王克朝;李兵;王甜甜;陳京浩;;基于插樁技術(shù)的程序譜構(gòu)建方法[J];科學(xué)技術(shù)與工程;2014年18期

3 張昱;袁麗娜;;即時(shí)編譯器輔助的垃圾收集中的插樁算法研究[J];小型微型計(jì)算機(jī)系統(tǒng);2010年04期

4 王軼;蔣同海;董軍;周喜;;基于路徑覆蓋插樁的可執(zhí)行代碼測(cè)試工具實(shí)現(xiàn)[J];計(jì)算機(jī)工程;2012年05期

5 申麗軍;邢玲;馬衛(wèi)東;彭磊;;基于插樁的硬件虛擬化測(cè)試驅(qū)動(dòng)設(shè)計(jì)[J];計(jì)算機(jī)測(cè)量與控制;2013年02期

6 蘇銘,宋宗宇,王華;多計(jì)算機(jī)的自動(dòng)插樁與監(jiān)測(cè)系統(tǒng)[J];計(jì)算機(jī)工程與應(yīng)用;2002年04期

7 高峰青;王曉軍;;基于分支插樁的改進(jìn)型評(píng)價(jià)模型及其應(yīng)用[J];計(jì)算機(jī)技術(shù)與發(fā)展;2012年10期

8 殷賢亮;丁寧;;基于插樁技術(shù)的并行程序的重演方法[J];華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版);2006年09期

9 李躍飛;郭君紅;白成剛;蔡開(kāi)元;;飛行控制軟件測(cè)試中的插樁技術(shù)[J];北京航空航天大學(xué)學(xué)報(bào);2009年05期

10 代聲馨;洪玫;郭鑫宇;張鵬;祁琳瑩;;基于動(dòng)態(tài)插樁的程序分析工具的性能改進(jìn)[J];計(jì)算機(jī)應(yīng)用研究;2013年07期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前3條

1 劉劍濤;吳文峰;蔣寶凡;;自升式鉆井船插樁深度預(yù)測(cè)[A];2007年度海洋工程學(xué)術(shù)會(huì)議論文集[C];2007年

2 戴兵;段夢(mèng)蘭;;樁靴基礎(chǔ)自升式鉆井平臺(tái)在多層土插樁深度預(yù)測(cè)方法研究[A];第十五屆中國(guó)海洋（岸）工程學(xué)術(shù)討論會(huì)論文集(上)[C];2011年

3 蘇銘;王華;;基于C++及其擴(kuò)展語(yǔ)言的動(dòng)態(tài)剖析[A];計(jì)算機(jī)在土木工程中的應(yīng)用——第十屆全國(guó)工程設(shè)計(jì)計(jì)算機(jī)應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2000年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 李超琪;基于插樁行為的動(dòng)態(tài)檢測(cè)技術(shù)研究[D];西安電子科技大學(xué);2014年

2 曾祥飛;面向J2EE程序的動(dòng)態(tài)污點(diǎn)分析方法研究與實(shí)現(xiàn)[D];江西師范大學(xué);2015年

3 王鵬;自升式鉆井平臺(tái)插樁數(shù)值模擬研究[D];天津大學(xué);2012年

4 路翠;嵌入式軟件白盒測(cè)試中插樁技術(shù)的研究與應(yīng)用[D];北京工業(yè)大學(xué);2010年

5 劉玉東;通信軟件結(jié)構(gòu)測(cè)試關(guān)鍵技術(shù)的研究及插樁器實(shí)現(xiàn)[D];北京交通大學(xué);2008年

6 陶常飛;曹妃甸淺灘海洋工程地質(zhì)特征及插樁深度研究[D];中國(guó)海洋大學(xué);2008年

7 李勇;基于插樁技術(shù)的可視化操作系統(tǒng)虛擬實(shí)驗(yàn)室研究與實(shí)現(xiàn)[D];中南大學(xué);2010年

8 陶永晶;一種Java程序插樁語(yǔ)言及支撐工具[D];南京大學(xué);2012年

9 汪承佳;基于Java源代碼的動(dòng)態(tài)監(jiān)測(cè)技術(shù)研究[D];華中科技大學(xué);2013年

10 宋元鳳;基于逆向工程和插樁技術(shù)的軟件性能分析[D];電子科技大學(xué);2012年

  本文關(guān)鍵詞：面向J2EE程序的動(dòng)態(tài)污點(diǎn)分析方法研究與實(shí)現(xiàn)，，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：360047