作者:周航; 方勇; 黄诚; 刘亮; 陈兴刚漏洞检测静态分析二阶漏洞数据流分析控制流图
摘要:传统的漏洞检测工具在对Web二阶漏洞进行检测时,普遍存在误报率高的缺点.为了解决这类问题,针对二阶漏洞产生原理进行研究,提出了一种基于静态分析的二阶漏洞检测方法,并实现了相应的自动化工具CodeAn.该方法首先对所有数据表创建语句进行提取,并利用语法分析重建数据库结构;然后通过遍历抽象语法树构建的控制流图对数据库的读写过程进行数据流分析,再结合敏感函数和净化函数分析,从而实现对PHP应用中Web二阶漏洞的检测.
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
