Web SQLIA漏洞的靜態(tài)污點(diǎn)分析和動(dòng)態(tài)驗(yàn)證研究與實(shí)現(xiàn)
發(fā)布時(shí)間:2023-11-24 19:33
污點(diǎn)分析,作為一種信息流分析的實(shí)現(xiàn)形式,建立來自不可信方法和參數(shù)的值是否可以流動(dòng)進(jìn)入安全敏感操作的分析模型,以此來找到Web應(yīng)用中潛在的安全漏洞。污點(diǎn)分析分為靜態(tài)污點(diǎn)分析和動(dòng)態(tài)污點(diǎn)分析,可以發(fā)現(xiàn)很多Web應(yīng)用程序中的常見漏洞,比如:SQL注入、XSS攻擊,因而受到研究界和業(yè)界的廣泛關(guān)注。結(jié)合靜態(tài)分析與動(dòng)態(tài)驗(yàn)證,本文提出了一種基于中間代碼級(jí)的SQLIA漏洞的檢測(cè)和驗(yàn)證的解決方案。首先將Web應(yīng)用程序的Java和Jsp源代碼轉(zhuǎn)換成統(tǒng)一的中間代碼形式-Jimple,接著通過全局靜態(tài)分析獲取程序的Source集合和Sink集合,然后將Source分為原生和非原生兩類,并將非原生Source映射至對(duì)應(yīng)的原生Source,保證了Source的可靠性。接著結(jié)合同方法、Request、Session和方法調(diào)用信息,初步判定Source和Sink之間的潛在執(zhí)行路徑,有效地排除了不可能的執(zhí)行路徑,很好地避免了路徑爆炸問題。然后對(duì)相應(yīng)的Source、Sink之間的路徑集合進(jìn)行活躍變量分析,通過活躍變量的污點(diǎn)傳播來確定對(duì)應(yīng)路徑。同時(shí),完成了靜態(tài)污點(diǎn)分析的自動(dòng)化分析工具TASAT。最后基于動(dòng)態(tài)插樁和動(dòng)態(tài)污點(diǎn)傳播...
【文章頁數(shù)】:70 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
Abstract
1 緒論
1.1 課題研究背景與意義
1.2 國內(nèi)外研究現(xiàn)狀
1.3 本文的主要研究內(nèi)容及貢獻(xiàn)
1.4 論文組織結(jié)構(gòu)
2 相關(guān)技術(shù)介紹
2.1 Soot框架介紹
2.2 污點(diǎn)分析
2.3 SQL注入
2.4 Selenium工具
3 靜態(tài)分析相關(guān)方法及原型工具
3.1 靜態(tài)分析流程概述
3.2 獲得輔助信息
3.3 原生Source的判斷及轉(zhuǎn)換
3.4 基于四重關(guān)系匹配Source、Sink對(duì)
3.5 污點(diǎn)傳播規(guī)則的定義及活躍變量分析
3.6 原型工具TASAT的設(shè)計(jì)
4 動(dòng)態(tài)驗(yàn)證相關(guān)方法
4.1 動(dòng)態(tài)插樁
4.2 自動(dòng)化執(zhí)行驗(yàn)證
4.3 sanitize處理
5 實(shí)驗(yàn)結(jié)果及分析
6 總結(jié)與展望
參考文獻(xiàn)
致謝
在讀期間公開發(fā)表論文(著)及科研情況
本文編號(hào):3866453
【文章頁數(shù)】:70 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
Abstract
1 緒論
1.1 課題研究背景與意義
1.2 國內(nèi)外研究現(xiàn)狀
1.3 本文的主要研究內(nèi)容及貢獻(xiàn)
1.4 論文組織結(jié)構(gòu)
2 相關(guān)技術(shù)介紹
2.1 Soot框架介紹
2.2 污點(diǎn)分析
2.3 SQL注入
2.4 Selenium工具
3 靜態(tài)分析相關(guān)方法及原型工具
3.1 靜態(tài)分析流程概述
3.2 獲得輔助信息
3.3 原生Source的判斷及轉(zhuǎn)換
3.4 基于四重關(guān)系匹配Source、Sink對(duì)
3.5 污點(diǎn)傳播規(guī)則的定義及活躍變量分析
3.6 原型工具TASAT的設(shè)計(jì)
4 動(dòng)態(tài)驗(yàn)證相關(guān)方法
4.1 動(dòng)態(tài)插樁
4.2 自動(dòng)化執(zhí)行驗(yàn)證
4.3 sanitize處理
5 實(shí)驗(yàn)結(jié)果及分析
6 總結(jié)與展望
參考文獻(xiàn)
致謝
在讀期間公開發(fā)表論文(著)及科研情況
本文編號(hào):3866453
本文鏈接:http://www.wukwdryxk.cn/shoufeilunwen/xixikjs/3866453.html
最近更新
教材專著