计算机应用研究
計算機應用研究
계산궤응용연구
Application Research of Computers
2015年
10期
3065-3069
,共5页
Web应用%污点分析%信息流控制%Python%库
Web應用%汙點分析%信息流控製%Python%庫
Web응용%오점분석%신식류공제%Python%고
Web application%taint analysis%information flow control%Python%library
动态污点分析是检测Web应用程序漏洞、提高Web服务安全性的一种常用方法,但现有方法大多缺乏完善的信息流策略和模型,对信息流的控制也较为粗糙.提出了一个面向Python的信息流控制模型PIFC,将Python程序中的对象抽象为实体;通过控制方法调用所涉及实体间的信息交互来实施语言级的信息流控制;引入实体的降密及净化能力来防止污点积累.利用Python的装饰器和动态分发机制等高级特性,设计并实现了一个轻量、易用、简洁的Python库LPIFC,以支持模型的污点存储及信息流控制,避免了传统方式中修改解释器的缺陷.测试结果表明,LPIFC很好地满足了Web应用的安全需求,且引入的额外性能开销较小.
動態汙點分析是檢測Web應用程序漏洞、提高Web服務安全性的一種常用方法,但現有方法大多缺乏完善的信息流策略和模型,對信息流的控製也較為粗糙.提齣瞭一箇麵嚮Python的信息流控製模型PIFC,將Python程序中的對象抽象為實體;通過控製方法調用所涉及實體間的信息交互來實施語言級的信息流控製;引入實體的降密及淨化能力來防止汙點積纍.利用Python的裝飾器和動態分髮機製等高級特性,設計併實現瞭一箇輕量、易用、簡潔的Python庫LPIFC,以支持模型的汙點存儲及信息流控製,避免瞭傳統方式中脩改解釋器的缺陷.測試結果錶明,LPIFC很好地滿足瞭Web應用的安全需求,且引入的額外性能開銷較小.
동태오점분석시검측Web응용정서루동、제고Web복무안전성적일충상용방법,단현유방법대다결핍완선적신식류책략화모형,대신식류적공제야교위조조.제출료일개면향Python적신식류공제모형PIFC,장Python정서중적대상추상위실체;통과공제방법조용소섭급실체간적신식교호래실시어언급적신식류공제;인입실체적강밀급정화능력래방지오점적루.이용Python적장식기화동태분발궤제등고급특성,설계병실현료일개경량、역용、간길적Python고LPIFC,이지지모형적오점존저급신식류공제,피면료전통방식중수개해석기적결함.측시결과표명,LPIFC흔호지만족료Web응용적안전수구,차인입적액외성능개소교소.
