基于符号执行的注入类安全漏洞的分析技术

孙基男1,† 潘克峰1,2 陈雪峰1 张君福1,3

ACTA Scientiarum Naturalium Universitatis Pekinensis - - Contents -

1. 北京大学软件工程国家工程研究中心, 北京 100871; 2. 卫士通信息产业股份有限公司北京总部, 北京 100070; 3. 北京北大软件工程股份有限公司, 北京 100080; † E-mail: sjn@pku.edu.cn

摘要 采用符号值作为输入, 模拟程序执行, 提取执行路径上相应的约束条件, 即安全约束、攻击约束以及防御约束, 并构成可满足矩阵(SAT)以及不可满足矩阵(UNSAT)两个注入类漏洞安全分析与检测模型, 矩阵模型的求解结果可映射为注入类安全漏洞的安全状态。对Web应用注入类漏洞的检测实验表明, 与目前安全分析主流工具相比, 该分析技术具有降低误报率、漏报率、能自动生成攻击向量等优点。关键词 注入类安全漏洞; 符号执行; 程序静态分析; Web应用安全中图分类号 TP311

Newspapers in Chinese (Simplified)

Newspapers from China

© PressReader. All rights reserved.