SQLA漏洞破坏Web后台数据库的完整性,-直是Web应用安全的主要威胁。提出一种检测和验证ava Web程序的 SQLIA漏洞的解决方案,将静态分析与动态验证相结合,并且形式化定义指令级污点传播操作语义,能够有效跟踪跨文件和跨页面的污点传播。静态分析首先对Sωurτe进行预处理和分类得到真实可靠的 Source集合,然后应用方法、请求、会话、方法调用等多重关系匹配潜在的 Source和Sink对,使得分析过程可以过滤无关 Source和Sink,最后结合静态污点分析和活跃变量分析排除不可能存在污点传播路径的 Source和Sink。动态验证首先对程序插桩,然后在执行程序的同时进行动态污点传播并生成 Trace,基于 Trace验证静态分析结果的正确性,获得真实污点传播路径的漏洞集合。原型系统基于Soot框架实现,对若干开源程序的实验结果表明了方法的有效性。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部0条评论
快来发表一下你的评论吧 !