|
|||||
|
|
| 动静结合的二阶SQL注入漏洞检测技术 | |
| 引用本文: | 李鑫,张维纬,郑力新.动静结合的二阶SQL注入漏洞检测技术[J].华侨大学学报(自然科学版),2018(4). |
| 作者姓名: | 李鑫 张维纬 郑力新 |
| 作者单位: | 华侨大学工学院;华侨大学工业智能化技术与系统福建省高校工程研究中心 |
| 摘 要: | 为了有效检测应用中的二阶结构化查询语言(SQL)注入漏洞,提出一种动静结合的检测方法.通过静态分析获取持久存储信息,解决动态分析无法处理的Web应用多阶段间逻辑联系问题.通过动态分析获取元数据,解决静态分析无法定位污点信息持久存储位置的问题.通过模糊测试验证疑似漏洞,降低误报率.实验结果表明:该检测方法能够有效检测应用程序中存在的二阶SQL注入漏洞;相比于传统静态分析,检测精度高、误报率低;相比于传统动态分析,实现对多阶漏洞的检测,优于已有二阶SQL注入漏洞检测技术. |
| 本文献已被 CNKI 等数据库收录! | |