改进的Web注入型脆弱性检测方法

发布时间：2019-04-04 10:06

【摘要】：针对现有Web注入型脆弱性检测方案大多只关注过滤型验证而忽略检查型验证这一不足,提出污染驱动的切片方法。以污点分析指导具体的程序切片过程,能够完整地提取程序中的两种验证操作;借助分步的、攻击者视角的字符串分析对验证操作的验证能力进行评价分析,以更准确的检测web注入型脆弱性。实现了一个原型系统Valer,实验结果表明该方法有效降低了分析中的误报率,具有实用价值。
[Abstract]:In view of the fact that most of the existing Web injection vulnerability detection schemes only focus on filter verification and ignore inspection verification, a pollution-driven slicing method is proposed. Using stain analysis to guide the process of program slicing, we can extract two kinds of verification operation in the program. A step-by-step, attacker-based string analysis is used to evaluate the verification capability of verification operations in order to detect web injection vulnerability more accurately. The experimental results of a prototype system Valer, show that this method can effectively reduce the false alarm rate in the analysis and has practical value.
【作者单位】： 南京大学计算机软件新技术国家重点实验室;南京大学计算机科学与技术系;
【基金】：国家自然科学基金项目(61170070) 国家科技支撑计划基金项目(2012BAK26B01) 国家863高技术研究发展计划基金项目(2011AA1A202)
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 刘小波,谢芊,李留英;应用正则表达式在ASP.NET中实现优化的输入验证方法[J];现代图书情报技术;2005年10期

2 陈圣俭;周永来;;用Struts创建安全的Web应用[J];中国电力教育;2007年S1期

3 杜树杰;;Web输入验证系统的对象化设计[J];计算机系统应用;2006年11期

4 刘丽琳;岑柏滋;;浅析网站数据库安全中的SQL注入及防范措施[J];和田师范专科学校学报;2007年01期

5 阚红星;杨善林;袁f，

本文编号：2453710