×

四层楼

swMATH ID: 29449
软件作者: Sridharan,M。;阿尔齐,S。;皮斯托亚,M。;瓜尔涅里,S。;跳闸,O。;R·伯格。
描述: F4F:基于框架的web应用程序的污点分析。本文介绍了F4F(Framework For Frameworks),这是一个对基于框架的web应用程序进行有效污点分析的系统。大多数现代web应用程序都使用一个或多个web框架,这些框架为常见功能提供了有用的抽象。由于在框架实现中广泛使用反射语言构造,现有的静态污点分析在应用于基于框架的应用程序时通常是无效的。虽然以前的工作包括对某些框架结构的临时支持,但从工程的角度来看,以这种方式添加对大量框架的支持是不可扩展的。F4F使用了一个初始分析过程,其中处理应用程序代码和配置文件以生成与框架相关的行为规范。污点分析引擎可以利用这些规范对基于框架的应用程序执行更深入、更精确的分析。我们的规范语言只有少量简单但功能强大的结构,简化了分析引擎的集成。使用此架构,可以在不更改核心分析引擎的情况下处理新框架,从而产生显著的工程效益。我们为几个web框架实现了规范生成器,并将F4F支持添加到最先进的污染分析引擎中。在一次实验性评估中,F4F增强的污点分析在九个基准中发现了525个新问题,平均每个基准多出2.10倍的问题。此外,对新问题子集的手动检查表明,许多问题是可利用的,或者反映了不良的安全实践。
主页: https://dl.acm.org/citation.cfm?doid=2048066.2048145
相关软件: TAJ公司;戴坦;像素;TaintDroid公司;回流;MorphDroid公司;阿莱提亚;帆船;展开图;FlowDroid(流动机器人);Julia静态分析仪;J流量;github;菲律宾比索;失忆症;梅林;佩拉科塔;SLAM公司;爆破
引用于: 3文件

在1个字段中引用

计算机科学(68-XX)

按年份列出的引文