Web应用程序漏洞检测关键技术研究

发布时间：2019-06-28 18:30

【摘要】：随着互联网的普及和Web开发技术的兴起与发展,Web应用程序已成为最重要的互联网应用之一,在各领域承载了举足轻重的作用。Web应用程序的安全问题得到了研究界及工业界的广泛关注。Web应用程序的安全漏洞是攻防双方最为重要的战场,如何有效识别Web应用程序中的安全漏洞,即漏洞检测,是Web安全领域的核心问题。根据是否运行被检测的程序,可将漏洞检测技术分为静态漏洞检测技术和动态漏洞检测技术。静态漏洞检测技术及动态漏洞检测技术均面临诸多挑战。静态漏洞检测技术通常误报率高,提高静态漏洞检测精确度的同时,保证方法的性能,是静态漏洞检测面临的关键挑战之一。静态漏洞检测通常运用程序分析技术,发现Web应用程序的安全问题。然而,由于Web应用程序所具有的特性,使得传统的程序分析技术无法直接被使用进行静态漏洞检测。基于模糊测试的动态漏洞检测技术具有误报率低的优势。但是,由于输入向量的随机性,模糊测试的代码覆盖率低,难以发现程序中深藏的漏洞。基于混合执行的测试输入生成方法能够提高模糊测试的代码覆盖率。然而,现代Web应用程序逻辑复杂、规模庞大,混合执行在遍历可达执行路径时,面临路径爆炸问题。本文围绕Web应用程序静态漏洞检测与动态漏洞检测面临的问题与挑战,结合Web应用程序的特性,重点研究了Web应用程序局部调用图生成、输入验证漏洞检测及混合执行中的路径搜索等关键技术。本文主要贡献如下：1.为支持静态漏洞检测中的过程间分析,针对全程序分析效率低和Web应用程序库代码缺失的问题,本文提出了一种Web应用程序局部调用图生成方法。该方法的分析对象为Web应用程序的应用部分代码、应用部分所引用的库部分代码中方法的签名、类的域和类层次结构。首先,使用混合堆模型对程序中的内存位置进行抽象,区分应用部分及库部分的抽象内存位置。然后,利用规则对与指针相关的应用部分和库部分交互行为进行建模,推断库部分代码的指针信息。最后,为库部分维护指针指向集合,利用该集合解析库回调边,并限制回流进入应用部分指针指向集合的抽象对象。实验结果表明,该方法的运行时间分别比werroes和Spark快4.9倍和13.7倍,同时能在一定程度上保证局部调用图的完整性和精确性。2.针对静态漏洞检测误报率高的问题,本文提出了一种基于静态信息流跟踪技术的输入验证漏洞检测方法。首先,集成指针分析,识别程序中堆内数据的依赖关系以及变量之间的别名关系。然后,通过过程内数据流分析计算程序中方法的数据依赖关系摘要,提高过程间分析的效率。最后,提出双向数据流分析技术来静态跟踪信息流,缩短污点数据传播路径长度。本文在开源静态代码分析工具FindBugs上实现该方法,并在基准程序SecuriBench上对该方法进行验证。实验结果表明,该方法在不明显降低静态漏洞检测方法性能的前提下,提高了输入验证漏洞的检测精确度。3.针对混合执行的路径爆炸问题,本文提出了一种混合执行中的路径搜索策略。该搜索策略对被测试程序各个分支的代码覆盖率进行实时估算,并选择覆盖率最低的分支继续探索执行。实验结果表明,该路径搜索策略能够有效缓解混合执行的路径爆炸问题,为提高基于模糊测试的动态漏洞检测技术的代码覆盖率提供支持。
[Abstract]:With the popularization of the Internet and the rise and development of the Web development technology, the Web application has become one of the most important Internet applications, and plays a very important role in all fields. The security of Web application has been widely concerned by the research and industry. The security hole of Web application is the most important battlefield of the defense and defense, and how to effectively identify the security holes in the Web application, that is, the detection of the vulnerability, is the core problem in the field of Web security. According to whether the detected program is to be run, the vulnerability detection technology can be divided into a static vulnerability detection technology and a dynamic vulnerability detection technology. The static vulnerability detection technology and the dynamic vulnerability detection technology face many challenges. The technique of static vulnerability detection is usually too high to improve the accuracy of the static hole detection, and the performance of the method is one of the key challenges to the detection of the static vulnerability. The static vulnerability detection usually uses the program analysis technique to find the security problem of the Web application. However, due to the nature of the Web application, traditional program analysis techniques cannot be used directly for static vulnerability detection. The dynamic vulnerability detection technology based on the fuzzy test has the advantage of low error rate. However, due to the randomness of the input vector, the code coverage of the fuzzy test is low, and it is difficult to find a hidden vulnerability in the program. The test input generation method based on the hybrid execution can improve the code coverage of the fuzzy test. However, the modern Web application logic is complex, large in scale, and is faced with the problem of path explosion when traversing up to the execution path. In this paper, the problems and challenges facing the detection and dynamic vulnerability detection of the Web application are discussed, and the key technologies such as the local call graph generation, the input verification vulnerability detection and the path search in the mixed execution of the Web application are studied. The main contribution of this paper is as follows:1. In order to support the process-to-process analysis in the static vulnerability detection, the paper presents a local call graph generation method for Web application aiming at the problem of low efficiency of all-program analysis and the missing of the Web application library code. The analysis object of this method is the application part code of the Web application, the signature of the method in the library part code referenced by the application part, the domain of the class and the class hierarchy. First, the memory location in the program is abstracted by using the mixed-stack model, and the abstract memory location of the application part and the library part is distinguished. Then, using the rule to model the interaction behavior of the application part and the library related to the pointer, and the pointer information of the library part code is deduced. Finally, a pointer to the collection is maintained for the library portion, the library callback edge is parsed using the set, and the abstract object that returns to the application portion pointer to the set is limited. The experimental results show that the operation time of the method is 4.9 times and 13.7 times faster than that of werroes and Spark, and the integrity and accuracy of the local call graph can be guaranteed to a certain extent. In this paper, an input verification vulnerability detection method based on static information flow tracking technology is presented in this paper. First, an integrated pointer analysis is used to identify the dependency of the data in the heap and the alias relationship between the variables. And then, the data dependency relation summary of the method in the program is analyzed through the data flow in the process, and the efficiency of the inter-process analysis is improved. Finally, a two-way data flow analysis technique is proposed to keep track of information flow and shorten the path length of the spot data. This paper implements this method on the open source static code analysis tool FindBugs and verifies the method on the reference program SecuriBench. The experimental results show that the method can improve the detection accuracy of the input verification vulnerability without significantly reducing the performance of the static hole detection method. In order to solve the problem of the path explosion, a path search strategy is proposed in this paper. The search strategy estimates the code coverage of each branch of the test program in real time, and selects the branch with the lowest coverage to continue to explore the execution. The experimental results show that the route search strategy can effectively mitigate the path explosion problem of the hybrid execution and support the code coverage of the dynamic vulnerability detection technology based on the fuzzy test.
【学位授予单位】：浙江大学
【学位级别】：博士
【学位授予年份】：2014
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 李广洲,丁金芳,邓海山;基于Web的化学计算机化自适应测验系统的实现[J];计算机与应用化学;2002年05期

2 赵松林;基于Web服务的企业应用集成[J];微型机与应用;2003年08期

3 杜保华,刘弹,侯成刚,徐光华;XML WebService在基于Web远程分析工具集中的应用[J];仪器仪表用户;2004年02期

4 严毅,唐天兵,宁葵;Web服务实现开放式的企业应用集成[J];广西大学学报(自然科学版);2005年03期

5 邵文田;;去除使用Web服务寻找适当的程序项目[J];电脑迷;2007年15期

6 宋平;;基于Web服务的企业应用集成[J];福建电脑;2007年10期

7 邹丹;;基于Web服务的医院信息管理系统的设计与实现[J];大众科技;2007年06期

8 彭玉华;;基于Web的学生信息管理系统的设计与实现[J];民营科技;2010年09期

9 陈波;师惠忠;;一种新型Web应用安全漏洞统一描述语言[J];小型微型计算机系统;2011年10期

10 ;借会献技——国际软件博览会中心议题web计算及应用[J];每周电脑报;1997年43期

相关会议论文 前10条

1 刘正涛;毛宇光;应毅;;基于Web服务的分布式Web应用框架研究[A];第一届全国Web信息系统及其应用会议（WISA2004）论文集[C];2004年

2 戴琦;;Web上的数据挖掘[A];全国计算机网络应用年会论文集（2001）[C];2001年

3 王卫;;基于Web的数据库应用[A];第十八届中国（天津）’2004IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2004年

4 张默;廖湖声;杜金莲;;基于Web服务的开放式地理信息系统的研究[A];2006年全国开放式分布与并行计算机学术会议论文集（三）[C];2006年

5 郑菊艳;续爱民;;基于WEB模式的科研项目管理系统的设计与实现[A];第十四届中国科协年会第5分会场：绿色船舶与海洋装备创新发展及产业化论坛论文集[C];2012年

6 郑菊艳;续爱民;;基于WEB模式的科研项目管理系统的设计与实现[A];2012年MIS/S&A学术交流会议论文集[C];2012年

7 李勤;;基于WEB的计算机模拟病例考试系统在全科医师培训实践能力测试中应用研究[A];2012年浙江省全科医学学术年会论文汇编[C];2012年

8 黄海林;孙向阳;;基于Web的大学物理试题管理系统的设计[A];湖北省物理学会、武汉物理学会成立70周年庆典暨2002年学术年会论文集[C];2002年

9 于莉莉;张毅;;基于Web的人力资源管理系统研究与设计[A];2008全国制造业信息化标准化论坛论文集[C];2008年

10 李中华;;企业Web应用安全威胁与防护[A];创新·融合·发展——创新型煤炭企业发展与信息化高峰论坛论文集[C];2010年

相关重要报纸文章 前10条

1 本报记者 刘继安;准备好了吗？WEB教师[N];中国教育报;2001年

2 张承东;Web智能考核广告[N];网络世界;2009年

3 科讯;WEB教师——一个全新职业的透析[N];科技日报;2001年

4 王雅丽;博客社区齐上阵 银行借Web 2.0拉拢未来客户[N];中国计算机报;2008年

5 本报记者 黄智军;Web应用呼唤新型安全系统[N];计算机世界;2009年

6 居易;WEB教师热门起来[N];组织人事报;2001年

7 本报记者 赵晓涛;四问“Web防御与云安全”[N];网络世界;2008年

8 本报记者 徐恒;手机浏览器：竞争不断加剧 Web大势所趋[N];中国电子报;2009年

9 电脑商报记者 张戈;Web应用安全正当时[N];电脑商报;2010年

10 李晨;Web应用安全应贯穿生命周期[N];人民邮电;2009年

相关博士学位论文 前10条

1 万志远;Web应用程序漏洞检测关键技术研究[D];浙江大学;2014年

2 孙慧峰;基于协同过滤的个性化Web推荐[D];北京邮电大学;2012年

3 何儒汉;Web图像的多模融合检索研究[D];华中科技大学;2007年

4 张建武;面向Web应用的安全评测技术研究[D];北京邮电大学;2012年

5 龙慧云;基于进程代数的Web服务数据和组合的形式化方法研究[D];贵州大学;2009年

6 孙涛;面向市场情报分析的Web实体事件融合问题研究[D];山东大学;2014年

7 谢琪;基于协同过滤与QoS的个性化Web服务推荐研究[D];重庆大学;2012年

8 刘方方;Web服务合成与可用性的若干关键技术研究[D];复旦大学;2007年

9 刘晓光;网络化制造中Web服务自动组合的若干关键技术研究[D];上海交通大学;2008年

10 刘国奇;面向领域QoS约束的Web服务选取方法[D];东北大学;2011年

相关硕士学位论文 前10条

1 李林蓉;基于Restful和OSGI的Web应用转换容器的研究与实现[D];华南理工大学;2015年

2 陈彬彬;基于QoS随机性的Web服务质量偏离监测方法研究与实现[D];昆明理工大学;2015年

3 徐超;机顶盒中基于Web交互方式的设计与实现[D];西南交通大学;2015年

4 张锐;基于Web技术下的出差管理系统[D];西安工业大学;2015年

5 游维;基于Rest的Web业务系统日志采集与分析系统的研究与开发[D];山东大学;2015年

6 陶莹昌;基于Web的校园二手图书拍卖平台的设计与实现[D];西华师范大学;2015年

7 周赢;基于WEB的绩效管理系统的设计与实现[D];电子科技大学;2015年

8 宋平亮;基于MongoDB的航道数据Web服务研究[D];大连海事大学;2015年

9 汪洋;基于web的普通话新闻检索技术研究[D];电子科技大学;2014年

10 吴朝云;基于eyeOS的Web操作系统云存储研究[D];电子科技大学;2014年

，

本文编号：2507515