10.11830/ISSN.1000-5013.201606110
动静结合的二阶SQL注入漏洞检测技术
为了有效检测应用中的二阶结构化查询语言(SQL)注入漏洞,提出一种动静结合的检测方法.通过静态分析获取持久存储信息,解决动态分析无法处理的 Web应用多阶段间逻辑联系问题.通过动态分析获取元数据,解决静态分析无法定位污点信息持久存储位置的问题.通过模糊测试验证疑似漏洞,降低误报率.实验结果表明:该检测方法能够有效检测应用程序中存在的二阶SQL注入漏洞;相比于传统静态分析,检测精度高、误报率低;相比于传统动态分析,实现对多阶漏洞的检测,优于已有二阶SQL注入漏洞检测技术.
漏洞检测、二阶结构化查询语言、静态分析、动态分析、污点分析
39
TP393(计算技术、计算机技术)
福建省自然科学基金资助项目2015J05125;福建省科技厅专项资助项目2013H2002;泉州市科技计划项目2014Z112;华侨大学研究生科研创新能力培育计划资助项目1400422005;华侨大学科研基金资助项目13BS415
2018-08-15(万方平台首次上网日期,不代表论文的发表时间)
共6页
600-605
