Java应用程序缺陷定位技术研究与实现

发布时间：2019-09-18 02:09

【摘要】：近年来,网络安全事件层出不穷,网络安全受到广泛关注。SQL注入和跨站脚本(XSS)是目前比较流行且危害性较大的安全问题。攻击者可以结合多种攻击手段对Web应用进行攻击,这将造成用户隐私被披露甚至财产损失等问题。常见的检测检测方法包括静态分析和动态监测方法。动态监测工具扫描速度不能定位到造成漏洞的具体代码,且漏报率高。静态分析工具可以找到特定的代码,但误报率高。它们都各自有局限性。本文提出一个结合静态分析和动态监测的缺陷定位方法检测Java应用程序的缺陷。在静态分析部分,采用基于克隆的上下文敏感的别名分析技术对程序进行抽象分析,并针对未验证输入漏洞编写对应的缺陷模式规则,采用反向污点分析技术进行污点分析。在动态检测部分,利用静态分析结果,生成攻击向量对程序进行模拟攻击,监控程序运行信息并最终确定缺陷是否存在。文本对Webgoat、Bodgeit等开源项目进行实验和测试,实验结果表明,系统可以能够有效检测的目标程序的SQL注入和XSS攻击漏洞,误报率低,验证了模型的有效性,取得了很好的效果。
【图文】：

直接跟容器中的环境变量交互。逡逑Ｊ２ＥＥ中，一些符合某种规范的类组合在一起就构成了组件，可以实现某些逡逑特定的功能。Ｊ２ＥＥ使用多层分布式的应用模型，通常分为四层，参见图２－１。组逡逑件根据自身所在的层，会被部署到不同的机器上［１７，１８１。逡逑Ｚ７Ｔ．邋｜丨客户ｐ逦客户糊逡逑ＨＴＭＬ页而逦一Ｊ逡逑ＪＳＰ页而逦ｆｅｂ层逡逑，丨~柷鋜>』逦Ｊ２ＥＩＩ逡逑服务器逡逑—Ｅ，ｓｒ邋１；业务层逡逑数据库丨：ＥＩＳＳ］邋ｍｉ逡逑图２－１邋Ｊ２ＥＥ四层结构逡逑客户层包含运行在客户端机器上的客户端应用程序和Ａｇｌｅｔｓ组件，客户层逡逑组件分为两种方式，Ｗｅｂ方式和应用程序方式，本文针对Ｗｅｂ方式进行漏洞挖逡逑掘；逡逑Ｗｅｂ层包含运行在Ｊ２ＥＥ服务器上的Ｗｅｂ层组件，包括Ｓｅｒｖｌｅｔ、ＪＳＰ和ＪＳＦ；逡逑业务层包含运行在Ｊ２ＥＥ服务器上的业务逻辑层Ｅｎｔｅｒｐｒｉｓｅ邋Ｊａｖａ邋Ｂｅａｎｓ（ＥＪＢ）逡逑组件，主要包含３种企业级的ｂｅａｎ：实体ｂｅａｎ、会话ｂｅａｎ、和消息驱动ｂｅａｎ；逡逑ＥＩＳ邋层卩Ｊ＂以是邋ＤＢ邋或者一个企业信息系统（Ｅｎｔｅｒｐｒｉｓｅ邋ｉｎｆｏｒｍａｔｉｏｎ邋ｓｙｓｔｅｍ

北京邮电大学工程硕士学位论文第五章Ｊａｖａ邋ｗｅｂ应用程序动态缺陷检测技术逡逑第四章设计了一种基于克隆的上下文敏感的别名分析技术，对Ｊａｖａ静态分析，，得到缺陷报告和污点的传播路径。但是，静态分析的缺点确，误报率低。而动态监测是具体的执行代码，误报率低。故本文把动态监测技术相结合，本章具体介绍动态监测部分。逡逑文借助静态分析报告中的污点信息和污点路径作为输入，生成测试利用插桩的方式进行污点跟踪，最终得到程序真是存在的安全漏洞。分的框架图如下所示。逡逑
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP312.2;TP393.08

【参考文献】

相关期刊论文 前3条

1 赵云山;宫云战;周傲;王前;周虹伯;;静态缺陷检测中的误报消除技术研究[J];计算机研究与发展;2012年09期

2 黄强;曾庆凯;;基于信息流策略的污点传播分析及动态验证[J];软件学报;2011年09期

3 张砚秋,陈川,何明德;基于MVC设计模式构筑JSP/Servlet+EJB的Web应用[J];计算机工程;2001年11期

相关硕士学位论文 前6条

1 周轩;面向Jimple语言的基于依赖的污点分析方法设计与实现[D];江西师范大学;2015年

2 韦存堂;SQL注入与XSS攻击自动化检测关键技术研究[D];北京邮电大学;2015年

3 刘为;基于模糊测试的XSS漏洞检测系统研究与实现[D];湖南大学;2010年

4 黄奕;基于模糊测试的软件安全漏洞发掘技术研究[D];中国科学技术大学;2010年

5 牛婷芝;一种Java源代码安全分析系统的设计与实现[D];北京邮电大学;2009年

6 沈寿忠;基于网络爬虫的SQL注入与XSS漏洞挖掘[D];西安电子科技大学;2009年

本文编号：2537237