×

萨纳

swMATH ID: 37817
软件作者: Balzarotti,D.、Cova,M.、Felmetsger,V.、Jovanovic,N.、Kirda,E.、Kruegel,C.、Vigna,G。
描述: Saner:组合静态和动态分析以验证Web应用程序中的卫生处理。Web应用程序无处不在,执行关键任务,并处理敏感的用户数据。不幸的是,web应用程序通常由安全技能有限的开发人员实现,因此它们包含漏洞。这些漏洞大多源于缺乏输入验证。也就是说,web应用程序将恶意输入用作敏感操作的一部分,而在使用之前未对输入值进行正确检查或清理。过去对漏洞分析的研究主要集中在识别web应用程序在关键操作中直接使用外部输入的情况。然而,很少有研究对消毒过程的正确性进行分析。因此,每当web应用程序对潜在的恶意输入应用某些清理例程时,漏洞分析都假定结果是无害的。不幸的是,情况可能并非如此,因为消毒过程本身可能不正确或不完整。在本文中,我们提出了一种分析消毒过程的新方法。更准确地说,我们将静态和动态分析技术结合起来,以确定攻击者可以绕过的错误清理过程。我们在一个名为Saner的工具中实现了我们的方法,并将其应用于许多实际应用程序。我们的结果表明,我们能够识别出几个源于错误消毒程序的新漏洞。
主页: https://ieeexplore.ieee.org/abstract/document/453116
相关软件: 陌生人;StringFuzz(字符串模糊);CVC4型;Z3str2型;Z3str3号机组;诺恩;梅林;JavaScript脚本;z3(零3);汉普;TAJ公司;Bex公司;西格玛*;ModSecurity(ModSecurity);用鼻子哼哼;旋转(swrl);耶拿;弹丸;皮克斯;寓言
引用于: 9文件

在1个字段中引用

9 计算机科学(68至XX)

按年份列出的引文