针对Java Web应用的源码缺陷检测技术研究与实现

发布时间：2018-08-23 10:01

【摘要】：随着互联网技术的不断发展,Web应用项目的不断推广和使用,Web应用的复杂度也在随着提高。为了适应云计算、大数据等新技术的需求,Web系统架构变得越来越复杂,同时也就带来了很多潜在的安全隐患。目前导致软件缺陷存在的主要原因是大多数开发人员将关注点放在了业务实现上,而忽略了编写安全代码的重要性。如果能在开发阶段对软件代码进行检测,及时修正代码中存在的安全缺陷,那么恶意攻击者的可乘之机就会大幅减少。随着JavaEE的迅速发展,Web开源框架得到推广,安全性和保密性较高的大型企业多是基于JavaEE进行软件开发。所以本文对Java Web应用的源码缺陷检测技术进行研究与实现具有一定的现实意义。本文对当前Java Web应用架构进行分析,着重研究了服务器端Java构件的原理和应用场景,包括JSP,Java Servlet和JavaBean。对于Web应用中的高危漏洞SQL注入和XSS跨站脚本攻击的原理和防范进行了深入研究。在源码静态分析部分,创新性地提出了一种双向污点传播分析方法,提高静态分析准确性的同时还能够获取污点数据的传播路径。在程序动态检测部分,创新性地提出了利用静态分析得出的污点传播路径和污点引入点程序切片信息来指导测试用例生成和监测代码植入的方法。并且在深入研究java web应用缺陷检测技术的基础上开发实现了一个针对Java Web应用的源码缺陷检测系统JavaChecker,实验结果表明本文提出的缺陷检测技术能有效的提高结果准确率。
[Abstract]:With the development of Internet technology, the complexity of using Web applications is increasing with the development of Web application projects. In order to adapt to cloud computing, big data and other new technologies are becoming more and more complex, and also bring a lot of potential security risks. The main reason for software defects is that most developers focus on business implementation and ignore the importance of writing secure code. If the software code can be detected in the development stage and the security defects in the code can be corrected in time, the opportunities for malicious attackers will be greatly reduced. With the rapid development of JavaEE, most of the large enterprises with high security and security are based on JavaEE. Therefore, the research and implementation of Java Web application source code defect detection technology has certain practical significance. This paper analyzes the current Java Web application architecture, and focuses on the principle and application scenario of server-side Java components, including JSP Java Servlet and Java Bean. The principle and prevention of high risk vulnerability SQL injection and XSS cross-site script attack in Web application are studied in this paper. In the part of static analysis of source code, a bidirectional stain propagation analysis method is proposed, which can improve the accuracy of static analysis and obtain the propagation path of stain data at the same time. In the part of program dynamic detection, a new method is proposed to guide test case generation and monitor code implantation by using the static analysis of the stain propagation path and the introduction of spot program slicing information. Based on the deep research of java web application defect detection technology, a source code defect detection system for Java Web application, Java Checker, is developed. The experimental results show that the proposed defect detection technology can effectively improve the accuracy of the results.
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.09

【参考文献】

相关期刊论文 前9条

1 万志远;周波;;基于静态信息流跟踪的输入验证漏洞检测方法[J];浙江大学学报(工学版);2015年04期

2 贾文超;汪永益;施凡;常超;;基于动态污点传播模型的DOM XSS漏洞检测[J];计算机应用研究;2014年07期

3 何炎祥;吴伟;陈勇;徐超;;基于SMT求解器的路径敏感程序验证[J];软件学报;2012年10期

4 樊振宇;;深入理解SERVLET和JSP原理[J];电脑知识与技术;2011年11期

5 田素贞;赵康;;Servlet的工作原理及部署的分析与应用[J];清远职业技术学院学报;2010年03期

6 张瞩熹;王怀民;;基于AOP的软件运行轨迹捕获技术研究与实现[J];计算机应用;2008年05期

7 杨世江,李晋西;Java Web构件开发及在监测系统中的应用[J];计算机应用;2004年S2期

8 李慧贤,刘坚;数据流分析方法[J];计算机工程与应用;2003年13期

9 林惠民,张文辉;模型检测:理论、方法与应用[J];电子学报;2002年S1期

相关博士学位论文 前3条

1 王瑞;基于SAT的符号化模型检验技术研究[D];国防科学技术大学;2014年

2 陈厅;动态程序分析技术在软件安全领域的研究[D];电子科技大学;2013年

3 张立勇;软件源代码安全分析研究[D];西安电子科技大学;2011年

相关硕士学位论文 前10条

1 曹黎波;Web应用的漏洞检测与防范技术研究[D];中国矿业大学;2015年

2 曾祥飞;面向J2EE程序的动态污点分析方法研究与实现[D];江西师范大学;2015年

3 龙宝莲;J2EE平台下的web应用缺陷的静态检测技术研究[D];北京邮电大学;2015年

4 李政;基于模糊测试的Web应用漏洞发掘技术研究与实现[D];北京理工大学;2015年

5 路艳华;Web应用漏洞检测系统研究与设计[D];西安电子科技大学;2014年

6 王欢;静动态结合的安全漏洞检测方法研究[D];华中科技大学;2014年

7 栗国斌;基于灰盒测试的Web应用程序安全漏洞检测[D];北京化工大学;2013年

8 梁北海;基于污点分析的Java Web程序脆弱性检测方法研究[D];华中科技大学;2013年

9 姜曙光;基于符号执行的Web安全检测系统的研究与实现[D];湖南大学;2012年

10 赵迎钊;基于静态分析的代码安全缺陷检测系统[D];电子科技大学;2012年

，

本文编号：2198707