面向J2EE程序的动态污点分析方法研究与实现
本文关键词:面向J2EE程序的动态污点分析方法研究与实现,由笔耕文化传播整理发布。
【摘要】:随着Web 2.0的出现,社交网络和电子商务使得信息共享越来越高,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,最为常见的Web漏洞有跨站脚本攻击、SQL注入漏洞等。这些漏洞都是由于外部输入未验证引发的,属于WEB程序注入漏洞,污点分析可有效定位此类漏洞。本文提出一种基于对象跟踪的动态分析方法,与现有动态方法跟踪字符和字符串对象不同,可以追踪所有可能被污染的Java对象,类型包含了字符串类型、字节类型、输入输出流类型等等。方法应用对象哈希值表示污点对象,定义方法节点和方法坐标记录污点传播时的程序位置,支持污点传播路径追踪,针对Java流对象装饰模式提出流家族污点传播分析。方法设计一种语言规范对Java类库中污点传播相关的方法集合以及用户自定义方法建模,按照污点引入、传播、验证和使用对方法集分类后设计和形式化定义各类方法的污点传播语义。根据污点传播策略和语言规范,实现了基于对象跟踪的漏洞扫描原型系统,原型系统在SOOT平台实现对J2EE源码或字节码插桩框架,使用静态分析计算可达方法集以减少插桩规模,对真实网站的测试结果表明该系统可有效发现注入漏洞。
【关键词】:动态污点分析 污点传播 对象跟踪 SOOT 漏洞分析
【学位授予单位】:江西师范大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP311.52
【目录】:
- 摘要3-4
- Abstract4-7
- 1 引言7-11
- 1.1 研究背景与意义7-8
- 1.2 研究现状8-9
- 1.3 主要研究内容9-10
- 1.4 论文组织结构10-11
- 2 相关技术11-21
- 2.1 外部输入引发的漏洞技术研究11-14
- 2.1.1 注入攻击漏洞11-12
- 2.1.2 跨站脚本12-13
- 2.1.3 跨站请求伪造13-14
- 2.2 动态污点分析14-16
- 2.2.1 动态污点分析原理14
- 2.2.2 动态污点分析现状14-15
- 2.2.3 现有技术的不足15-16
- 2.3 SOOT代码分析框架16-21
- 2.3.1 SOOT代码分析框架概述16-19
- 2.3.3 SOOT执行19-21
- 3 基于对象跟踪的方法21-28
- 3.1 污点信息表示21-23
- 3.2 污点传播分析23-28
- 3.2.1 传播方法定义23-25
- 3.2.2 污点传播策略25-27
- 3.2.3 污点传播路径追踪27-28
- 4 原型系统设计与实现28-42
- 4.1 系统设计28-29
- 4.1.1 系统体系结构图28-29
- 4.1.2 系统模块划分29
- 4.2 模块设计29-34
- 4.2.1 动态插桩模块设计29-30
- 4.2.2 污点信息的数据结构设计30-32
- 4.2.3 插桩方法设计32-33
- 4.2.4 污点追踪算法设计33
- 4.2.5 流家族传播算法设计33-34
- 4.3 原型实现34-42
- 4.3.1 动态插桩模块实现34-38
- 4.3.2 动态污点分析模块的实现38-42
- 5 实验与评估42-46
- 6 结论46-47
- 参考文献47-51
- 致谢51-53
- 在读期间公开发表论文(著)及科研情况53
【相似文献】
中国期刊全文数据库 前10条
1 郭君红;李跃飞;白成刚;蔡开元;;飞行控制软件测试中插桩技术的优化方法[J];计算机工程;2010年04期
2 王克朝;李兵;王甜甜;陈京浩;;基于插桩技术的程序谱构建方法[J];科学技术与工程;2014年18期
3 张昱;袁丽娜;;即时编译器辅助的垃圾收集中的插桩算法研究[J];小型微型计算机系统;2010年04期
4 王轶;蒋同海;董军;周喜;;基于路径覆盖插桩的可执行代码测试工具实现[J];计算机工程;2012年05期
5 申丽军;邢玲;马卫东;彭磊;;基于插桩的硬件虚拟化测试驱动设计[J];计算机测量与控制;2013年02期
6 苏铭,宋宗宇,王华;多计算机的自动插桩与监测系统[J];计算机工程与应用;2002年04期
7 高峰青;王晓军;;基于分支插桩的改进型评价模型及其应用[J];计算机技术与发展;2012年10期
8 殷贤亮;丁宁;;基于插桩技术的并行程序的重演方法[J];华中科技大学学报(自然科学版);2006年09期
9 李跃飞;郭君红;白成刚;蔡开元;;飞行控制软件测试中的插桩技术[J];北京航空航天大学学报;2009年05期
10 代声馨;洪玫;郭鑫宇;张鹏;祁琳莹;;基于动态插桩的程序分析工具的性能改进[J];计算机应用研究;2013年07期
中国重要会议论文全文数据库 前3条
1 刘剑涛;吴文峰;蒋宝凡;;自升式钻井船插桩深度预测[A];2007年度海洋工程学术会议论文集[C];2007年
2 戴兵;段梦兰;;桩靴基础自升式钻井平台在多层土插桩深度预测方法研究[A];第十五届中国海洋(岸)工程学术讨论会论文集(上)[C];2011年
3 苏铭;王华;;基于C++及其扩展语言的动态剖析[A];计算机在土木工程中的应用——第十届全国工程设计计算机应用学术会议论文集[C];2000年
中国硕士学位论文全文数据库 前10条
1 李超琪;基于插桩行为的动态检测技术研究[D];西安电子科技大学;2014年
2 曾祥飞;面向J2EE程序的动态污点分析方法研究与实现[D];江西师范大学;2015年
3 王鹏;自升式钻井平台插桩数值模拟研究[D];天津大学;2012年
4 路翠;嵌入式软件白盒测试中插桩技术的研究与应用[D];北京工业大学;2010年
5 刘玉东;通信软件结构测试关键技术的研究及插桩器实现[D];北京交通大学;2008年
6 陶常飞;曹妃甸浅滩海洋工程地质特征及插桩深度研究[D];中国海洋大学;2008年
7 李勇;基于插桩技术的可视化操作系统虚拟实验室研究与实现[D];中南大学;2010年
8 陶永晶;一种Java程序插桩语言及支撑工具[D];南京大学;2012年
9 汪承佳;基于Java源代码的动态监测技术研究[D];华中科技大学;2013年
10 宋元凤;基于逆向工程和插桩技术的软件性能分析[D];电子科技大学;2012年
本文关键词:面向J2EE程序的动态污点分析方法研究与实现,,由笔耕文化传播整理发布。
本文编号:360047
本文链接:https://www.wllwen.com/wenyilunwen/shinazhuanghuangshejilunwen/360047.html
