基于状态偏离分析的Web访问控制漏洞检测方法
攻击者可利用Web应用程序中存在的漏洞实施破坏应用功能、木马植入等恶意行为.针对Web应用程序的访问控制漏洞的检测问题,现有方法由于代码特征难提取、行为刻画不准确等问题导致误报率和漏报率过高,且效率低下.文中提出了 一种基于状态偏离分析的Web访问控制漏洞检测方法,结合白盒测试技术,提取代码中与访问控制有关的约束,以此生成Web应用程序预期访问策略,再通过动态分析生成Web应用程序实际访问策略,将对访问控制漏洞的检测转换为对状态偏离的检测.使用提出的方法开发原型工具ACVD,可对访问控制漏洞中未授权访问、越权访问等类型的漏洞进行准确检测.在5个真实Web应用程序中进行测试,发现16个真实漏洞,查全率达到了 98%,检测效率较传统黑盒工具提升了约300%.
Web应用程序、访问控制漏洞、逻辑漏洞、有限状态机
50
TP311(计算技术、计算机技术)
国家重点研发计划2019QY0501
2023-03-08(万方平台首次上网日期,不代表论文的发表时间)
共7页
346-352
