理智的

Saner:组合静态和动态分析来验证Web应用程序中的卫生处理。Web应用程序无处不在,执行关键任务,并处理敏感的用户数据。不幸的是,web应用程序通常由安全技能有限的开发人员实现,因此,它们包含了漏洞。这些漏洞大多源于缺少输入验证。也就是说,web应用程序将恶意输入用作敏感操作的一部分,而在使用之前没有对输入值进行适当的检查或清理。过去关于漏洞分析的研究主要集中在识别web应用程序在关键操作中直接使用外部输入的情况。然而,很少有研究来分析消毒过程的正确性。因此,每当web应用程序对潜在的恶意输入应用某些清理例程时,漏洞分析都假定结果是无害的。不幸的是,情况可能并非如此,因为卫生处理过程本身可能不正确或不完整。在本文中,我们提出了一种新的方法来分析消毒过程。更准确地说,我们结合静态和动态分析技术来识别攻击者可以绕过的错误卫生处理过程。我们在一个名为Saner的工具中实现了我们的方法,并将其应用于许多实际应用程序中。我们的结果表明,我们能够识别出几个新的漏洞,这些漏洞源于错误的卫生处理程序。

此软件的关键字

这里的任何内容都将在支持canvas元素的浏览器上被替换

zbMATH中的参考文献(参考文献10条)

显示第1到第10个结果,共10个。
按年份排序(引用)

  1. 贝齐什,墨菲;白天,乔尔D。;加内什,维杰;库尔钦斯基,米佳;玛尼娅,弗洛林;莫拉,费德里科;Nowotka,Dirk:涉及正则成员谓词的字符串理论:从实践到理论再到回来(2021)
  2. 普罗霍伦科,维克托;周金光雷蒙德;Ashman,Helen:面向上下文的web应用程序保护模型(2016)
  3. 小牛肉,马格斯;Bjørner,Nikolaj:有限值符号有限传感器的等价性(2016)
  4. Veanes,Margus:带常规前瞻和回滚的符号字符串转换(2015)
  5. 李小伟;薛元:关于保护web应用程序的服务器端方法的调查(2014)
  6. 拉扎克,阿卜杜勒;拉蒂夫,哈立德;艾哈迈德,H.法鲁克;啊,阿里;安瓦尔,扎希德;Bloodworth,Peter Charles:针对web应用程序攻击的语义安全(2014)ioport公司
  7. 余方;阿尔卡拉夫、穆阿特;布尔坦、特夫菲克;Ibarra,Oscar H.:用于漏洞检测的基于自动机的符号字符串分析(2014)
  8. 张若愚;黄世秋;齐正伟;关海兵:软件漏洞发现的静态程序分析辅助动态污点跟踪(2012)ioport公司
  9. 戈拉,丹妮尔;Pugliese,Rosario:网络感知协调语言中能力的动态管理(2009)
  10. 余方;布尔坦、特夫菲克;Ibarra,Oscar H.:符号字符串验证:结合字符串分析和大小分析(2009)