基于污點(diǎn)分析與符號執(zhí)行的Web漏洞檢測
計(jì)算機(jī)應(yīng)用與軟件
頁數(shù): 7 2022-11-12
摘要: 污點(diǎn)分析技術(shù)是漏洞檢測的重要技術(shù)手段,由于缺少運(yùn)行時(shí)額外信息,使用靜態(tài)污點(diǎn)分析技術(shù)進(jìn)行漏洞檢測會(huì)產(chǎn)生大量的誤報(bào)?;谖埸c(diǎn)分析技術(shù),針對Web漏洞提出一種更細(xì)粒度的污點(diǎn)分析方法,在代碼分析過程中生成更加精確的對象狀態(tài)記錄;對代碼的執(zhí)行路徑進(jìn)行判斷并精確地記錄污點(diǎn)以及sink的傳遞過程,有效減少了過污染和欠污染的情況。使用符號執(zhí)行工具對漏洞位置的可達(dá)性進(jìn)行了驗(yàn)證,可以排除一些虛假的...