摘要
L.O.Andersen。 C编程语言的程序分析和专业化。 1994年,丹麦哥本哈根大学博士论文。 谷歌学者 K.Ashcraft和D.Engler。 使用程序员编写的编译器扩展捕捉安全漏洞。 2002年标准普尔。 谷歌学者 数字图书馆 R.Bodík、R.Gupta和V.Sarkar。 ABCD:按需消除阵列边界检查。 在PLDI 2000中。 谷歌学者 数字图书馆 W.Chang、B.Streiff和C.Lin。使用动态数据流分析进行高效和可扩展的安全实施。 在CCS 2008中。 谷歌学者 数字图书馆 P.库索和R.库索。 模块化静态程序分析。 在CC 2002中。 谷歌学者 数字图书馆 R.Cytron、J.Ferrante、B.K.Rosen、M.N.Wegman和F.K.Zadeck。 高效计算静态单一赋值表和控制依赖图。 托普拉斯,13(4),1991年。 谷歌学者 数字图书馆 D.E.丹尼。 安全信息流的格模型。 CACM,1976年第19(5)期。 谷歌学者 数字图书馆 D.E.Denning和P.J.Denning。 安全信息流程序认证。 CACM,20(7),1977年。 谷歌学者 数字图书馆 S.Fink、J.Dolby和L.Colby。 半自动J2EE事务配置。 IBM研究报告RC233262004。 谷歌学者 S.Fink、E.Yahav、N.Dor、G.Ramalingam和E.Geay。 存在别名时的有效类型状态验证。 在ISSTA 2006中。 谷歌学者 数字图书馆 J.S.Foster、T.Terauchi和A.Aiken。 流敏感型限定符。 在PLDI 2002中。 谷歌学者 数字图书馆 J.A.Goguen和J.Meseguer。 安全策略和安全模型。 在标准普尔1982年。 谷歌学者 C.Hammer、J.Krinke和G.Snelting。 基于依赖图中路径条件的Java信息流控制。 在ISSSE 2006中。 谷歌学者 R.Hasti和S.Horwitz。 使用静态单一赋值表改进流敏感指针分析。 1998年PLDI。 谷歌学者 数字图书馆 N.Heintze和O.Tardieu。 需求驱动的指针分析。 在PLDI 2001中。 谷歌学者 数字图书馆 S.Horwitz、T.W.Reps和D.Binkley。 使用依赖图进行过程间切片。 1988年PLDI。 谷歌学者 数字图书馆 IBM Rational AppScan Developer Edition(AppScan DE),http://www.IBM.com/software/awdtools/AppScan/Developer 谷歌学者 O.Lhot´ak和L.J.Hendren。 分析的上下文敏感点:值得吗? 在CC 2006中。 谷歌学者 B.Livshits、J.Whaley和M.S.Lam。 Java反射分析。 在ASPLAS 2005中。 谷歌学者 数字图书馆 V.B.Livshits和M.S.Lam。 使用静态分析查找Java应用程序中的安全漏洞。 在USENIX Security 2005中。 谷歌学者 数字图书馆 S.McCamant和M.D.Ernst。 作为网络流量的定量信息流。 2008年PLDI。 谷歌学者 数字图书馆 A.Milanova、A.Roundev和B.G.Ryder。 点的参数化对象敏感性——Java分析。 TOSEM,14(1),2005年。 谷歌学者 数字图书馆 Y.米那米。 动态生成网页的静态近似。 在WWW 2005中。 谷歌学者 数字图书馆 A.C.迈尔斯。 JFlow:实用的大多数静态信息流控制。 在POPL 1999中。 谷歌学者 数字图书馆 A.C.Myers和B.Liskov。 信息流控制的分散模型。 在SOSP 1997中。 谷歌学者 数字图书馆 owaps中, http://www.owasp.org。 谷歌学者 M.Pistoia、R.J.Flynn、L.Koved和V.C.Sreedhar。 特权代码放置和污损变量检测的跨过程分析。 在ECOOP 2005中。 谷歌学者 数字图书馆 T.Reps、S.Horwitz和M.Sagiv。 通过图形可达性进行精确的跨过程数据流分析。 1995年POPL。 谷歌学者 数字图书馆 B.G.莱德。 面向对象语言引用分析中的精度维度。 在CC 2003中。 受邀论文。 谷歌学者 数字图书馆 U.Shankar、K.Talwar、J.S.Foster和D.Wagner。 使用类型限定符检测格式字符串漏洞。 在USENIX Security 2001中。 谷歌学者 数字图书馆 G.Snelting、T.Robschink和J.Krinke。 软件安全分析依赖图中的有效路径条件。 TOSEM,2006年第15(4)期。 谷歌学者 数字图书馆 M.Sridharan和R.Bodík。 基于细化的上下文敏感点到Java分析。 在PLDI 2006中。 谷歌学者 数字图书馆 M.Sridharan、S.J.Fink和R.Bodík。 薄片。 在PLDI 2007中。 谷歌学者 数字图书馆 斯坦福SecuriBeach Micro, http://suif.stanford.edu/ ~livshits/work/securibench-micro。 谷歌学者 T.J.Watson分析库(WALA), http://wala.sf.net。 谷歌学者 D.Volpano、C.Irvine和G.Smith。 用于安全流分析的声音类型系统。 JCS,4(2-3),1996年。 谷歌学者 数字图书馆 L.Wall、T.Christiansen和J.Orwant。 编程Perl。 奥莱利(O’Reilly); Associates,Inc.,第三版,2000年。 谷歌学者 数字图书馆 G.Wassermann和Z.Su。针对注入漏洞的Web应用程序的可靠和精确分析。 在PLDI 2007中。 谷歌学者 数字图书馆 G.Wassermann和Z.Su。跨站点脚本漏洞的静态检测。 在ICSE 2008中。 谷歌学者 数字图书馆 J.Whaley和M.S.Lam。 使用二进制决策图进行基于克隆的上下文敏感指针别名分析。 在PLDI 2004中。 谷歌学者 数字图书馆
建议
TAJ:web应用程序的有效污点分析 2009年PLDI 污点分析是信息流分析的一种形式,它确定不受信任的方法和参数的值是否会流入安全敏感的操作。 Taint分析可以检测Web应用程序中的许多常见漏洞。。。 ANDROMEDA:准确且可扩展的web应用程序安全分析 FASE'13:第16届软件工程基本方法国际会议论文集 行业级软件系统的安全审计要求自动化。 静态污染分析能够深入彻底地跟踪可疑数据流,以检测潜在的泄漏和完整性违规,例如跨站点脚本(XSS),。。。 高阶程序的哈希流污点分析 PLAS’12:第七届编程语言和安全分析研讨会会议记录 随着web应用程序的普及,对此类应用程序的攻击也越来越多。 跨站点脚本和注入攻击变得特别困难。 这两个漏洞的核心都源于对用户输入的不当净化。 我们。。。