基于狀態(tài)偏離分析的Web訪問控制漏洞檢測方法

摘要： 攻擊者可利用Web應(yīng)用程序中存在的漏洞實施破壞應(yīng)用功能、木馬植入等惡意行為。針對Web應(yīng)用程序的訪問控制漏洞的檢測問題，現(xiàn)有方法由于代碼特征難提取、行為刻畫不準(zhǔn)確等問題導(dǎo)致誤報率和漏報率過高，且效率低下。文中提出了一種基于狀態(tài)偏離分析的Web訪問控制漏洞檢測方法，結(jié)合白盒測試技術(shù)，提取代碼中與訪問控制有關(guān)的約束，以此生成Web應(yīng)用程序預(yù)期訪問策略，再通過動態(tài)分析生成Web應(yīng)用程...