作者:王耀辉 王丹 付利华结构化查询语言漏洞动静态结合分析别名分析行为模型词法特征
摘要:针对PHP程序,提出一种基于注入活动分析技术的结构化查询语言(SQL)漏洞检测方法。以动静态相结合的分析技术为基础,对注入活动从数据流和程序行为方面进行分析,给出基于词法特征比较的SQL漏洞判定算法。通过检测模拟测试数据,并结合别名分析技术、行为模型和SQL漏洞判定算法设计并实现SQL漏洞检测系统。实验结果表明,与Pixy和RIPS系统相比,该系统具有较强的SQL漏洞检测能力和较低的时间开销。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社