计算机工程与设计
計算機工程與設計
계산궤공정여설계
COMPUTER ENGINEERING AND DESIGN
2013年
12期
4137-4141
,共5页
web注入型脆弱性%输入验证%污染驱动的切片%攻击者视角%字符串分析
web註入型脆弱性%輸入驗證%汙染驅動的切片%攻擊者視角%字符串分析
web주입형취약성%수입험증%오염구동적절편%공격자시각%자부천분석
web injection vulnerabilities%input validations%taint-driven slicing%attacker's view%string analysis
针对现有Web注入型脆弱性检测方案大多只关注过滤型验证而忽略检查型验证这一不足,提出污染驱动的切片方法.以污点分析指导具体的程序切片过程,能够完整地提取程序中的两种验证操作;借助分步的、攻击者视角的字符串分析对验证操作的验证能力进行评价分析,以更准确的检测web注入型脆弱性.实现了一个原型系统Valer,实验结果表明该方法有效降低了分析中的误报率,具有实用价值.
針對現有Web註入型脆弱性檢測方案大多隻關註過濾型驗證而忽略檢查型驗證這一不足,提齣汙染驅動的切片方法.以汙點分析指導具體的程序切片過程,能夠完整地提取程序中的兩種驗證操作;藉助分步的、攻擊者視角的字符串分析對驗證操作的驗證能力進行評價分析,以更準確的檢測web註入型脆弱性.實現瞭一箇原型繫統Valer,實驗結果錶明該方法有效降低瞭分析中的誤報率,具有實用價值.
침대현유Web주입형취약성검측방안대다지관주과려형험증이홀략검사형험증저일불족,제출오염구동적절편방법.이오점분석지도구체적정서절편과정,능구완정지제취정서중적량충험증조작;차조분보적、공격자시각적자부천분석대험증조작적험증능력진행평개분석,이경준학적검측web주입형취약성.실현료일개원형계통Valer,실험결과표명해방법유효강저료분석중적오보솔,구유실용개치.
