面向Jimple語言的基于依賴的污點分析方法設計與實現(xiàn).pdf

1、隨著Internet的普及，越來越多的企業(yè)使用Web程序來處理關鍵應用，Web程序安全變得越發(fā)重要。但是絕大多數(shù)的Web程序都有潛在的漏洞，存在嚴重的安全隱患。在所有已識別的Web程序漏洞中，絕大部分是由于Web程序外部輸入數(shù)據(jù)未經(jīng)驗證造成的，主要有SQL注入攻擊(SQL Injection Attack，SQLIA)、跨站腳本攻擊(Cross Site Script，XSS)等。
　　污點傳播分析技術通過分析外部污點輸入(tai

2、nted變量)與Web程序輸出之間的關系，查找并修復Web程序漏洞，分為靜態(tài)污點分析技術和動態(tài)污點分析技術，本文提出一種結(jié)合指針分析、支持對象域訪問、基于數(shù)據(jù)依賴的靜態(tài)污點分析方法。
　　首先定義與污點有關的Web程序種子語句，給出Jimple語言變量間依賴關系的形式描述，然后進行方法內(nèi)計算和跨方法計算，找出與種子語句有數(shù)據(jù)依賴關系的所有語句，構(gòu)建數(shù)據(jù)依賴圖，接著應用多階段分析和可達性矩陣方法從數(shù)據(jù)依賴圖中找出污點傳播路徑，最后在