【摘要】：近年來,網(wǎng)絡(luò)安全事件層出不窮,網(wǎng)絡(luò)安全受到廣泛關(guān)注。SQL注入和跨站腳本(XSS)是目前比較流行且危害性較大的安全問題。攻擊者可以結(jié)合多種攻擊手段對Web應(yīng)用進行攻擊,這將造成用戶隱私被披露甚至財產(chǎn)損失等問題。常見的檢測檢測方法包括靜態(tài)分析和動態(tài)監(jiān)測方法。動態(tài)監(jiān)測工具掃描速度不能定位到造成漏洞的具體代碼,且漏報率高。靜態(tài)分析工具可以找到特定的代碼,但誤報率高。它們都各自有局限性。本文提出一個結(jié)合靜態(tài)分析和動態(tài)監(jiān)測的缺陷定位方法檢測Java應(yīng)用程序的缺陷。在靜態(tài)分析部分,采用基于克隆的上下文敏感的別名分析技術(shù)對程序進行抽象分析,并針對未驗證輸入漏洞編寫對應(yīng)的缺陷模式規(guī)則,采用反向污點分析技術(shù)進行污點分析。在動態(tài)檢測部分,利用靜態(tài)分析結(jié)果,生成攻擊向量對程序進行模擬攻擊,監(jiān)控程序運行信息并最終確定缺陷是否存在。文本對Webgoat、Bodgeit等開源項目進行實驗和測試,實驗結(jié)果表明,系統(tǒng)可以能夠有效檢測的目標(biāo)程序的SQL注入和XSS攻擊漏洞,誤報率低,驗證了模型的有效性,取得了很好的效果。
【圖文】：

直接跟容器中的環(huán)境變量交互。逡逑Ｊ２ＥＥ中，一些符合某種規(guī)范的類組合在一起就構(gòu)成了組件，可以實現(xiàn)某些逡逑特定的功能。Ｊ２ＥＥ使用多層分布式的應(yīng)用模型，通常分為四層，參見圖２－１。組逡逑件根據(jù)自身所在的層，會被部署到不同的機器上［１７，１８１。逡逑Ｚ７Ｔ．邋｜丨客戶ｐ邐客戶糊逡逑ＨＴＭＬ頁而邐一Ｊ逡逑ＪＳＰ頁而邐ｆｅｂ層逡逑，丨~柷鋜>』邐Ｊ２ＥＩＩ逡逑服務(wù)器逡逑—Ｅ，ｓｒ邋１；業(yè)務(wù)層逡逑數(shù)據(jù)庫丨：ＥＩＳＳ］邋ｍｉ逡逑圖２－１邋Ｊ２ＥＥ四層結(jié)構(gòu)逡逑客戶層包含運行在客戶端機器上的客戶端應(yīng)用程序和Ａｇｌｅｔｓ組件，客戶層逡逑組件分為兩種方式，Ｗｅｂ方式和應(yīng)用程序方式，本文針對Ｗｅｂ方式進行漏洞挖逡逑掘；逡逑Ｗｅｂ層包含運行在Ｊ２ＥＥ服務(wù)器上的Ｗｅｂ層組件，包括Ｓｅｒｖｌｅｔ、ＪＳＰ和ＪＳＦ；逡逑業(yè)務(wù)層包含運行在Ｊ２ＥＥ服務(wù)器上的業(yè)務(wù)邏輯層Ｅｎｔｅｒｐｒｉｓｅ邋Ｊａｖａ邋Ｂｅａｎｓ（ＥＪＢ）逡逑組件，主要包含３種企業(yè)級的ｂｅａｎ：實體ｂｅａｎ、會話ｂｅａｎ、和消息驅(qū)動ｂｅａｎ；逡逑ＥＩＳ邋層卩Ｊ＂以是邋ＤＢ邋或者一個企業(yè)信息系統(tǒng)（Ｅｎｔｅｒｐｒｉｓｅ邋ｉｎｆｏｒｍａｔｉｏｎ邋ｓｙｓｔｅｍ

北京郵電大學(xué)工程碩士學(xué)位論文第五章Ｊａｖａ邋ｗｅｂ應(yīng)用程序動態(tài)缺陷檢測技術(shù)逡逑第四章設(shè)計了一種基于克隆的上下文敏感的別名分析技術(shù)，對Ｊａｖａ靜態(tài)分析，，得到缺陷報告和污點的傳播路徑。但是，靜態(tài)分析的缺點確，誤報率低。而動態(tài)監(jiān)測是具體的執(zhí)行代碼，誤報率低。故本文把動態(tài)監(jiān)測技術(shù)相結(jié)合，本章具體介紹動態(tài)監(jiān)測部分。逡逑文借助靜態(tài)分析報告中的污點信息和污點路徑作為輸入，生成測試利用插樁的方式進行污點跟蹤，最終得到程序真是存在的安全漏洞。分的框架圖如下所示。逡逑
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP312.2;TP393.08

【參考文獻】

相關(guān)期刊論文 前3條

1 趙云山;宮云戰(zhàn);周傲;王前;周虹伯;;靜態(tài)缺陷檢測中的誤報消除技術(shù)研究[J];計算機研究與發(fā)展;2012年09期

2 黃強;曾慶凱;;基于信息流策略的污點傳播分析及動態(tài)驗證[J];軟件學(xué)報;2011年09期

3 張硯秋,陳川,何明德;基于MVC設(shè)計模式構(gòu)筑JSP/Servlet+EJB的Web應(yīng)用[J];計算機工程;2001年11期

相關(guān)碩士學(xué)位論文 前6條

1 周軒;面向Jimple語言的基于依賴的污點分析方法設(shè)計與實現(xiàn)[D];江西師范大學(xué);2015年

2 韋存堂;SQL注入與XSS攻擊自動化檢測關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2015年

3 劉為;基于模糊測試的XSS漏洞檢測系統(tǒng)研究與實現(xiàn)[D];湖南大學(xué);2010年

4 黃奕;基于模糊測試的軟件安全漏洞發(fā)掘技術(shù)研究[D];中國科學(xué)技術(shù)大學(xué);2010年

5 牛婷芝;一種Java源代碼安全分析系統(tǒng)的設(shè)計與實現(xiàn)[D];北京郵電大學(xué);2009年

6 沈壽忠;基于網(wǎng)絡(luò)爬蟲的SQL注入與XSS漏洞挖掘[D];西安電子科技大學(xué);2009年

本文編號：2537237