基于状态偏离分析的Web访问控制漏洞检测方法

攻击者可利用Web应用程序中存在的漏洞实施破坏应用功能、木马植入等恶意行为。针对Web应用程序的访问控制漏洞的检测问题,现有方法由于代码特征难提取、行为刻画不准确等问题导致误报率和漏报率过高,且效率低下。文中提出了一种基于状态偏离分析的Web访问控制漏洞检测方法,结合白盒测试技术,提取代码中与访问控制有关的约束,以此生成Web应用程序预期访问策略,再通过动态分析生成Web应用程序实际访问策略,将对访问控制漏洞的检测转换为对状态偏离的检测。使用提出的方法开发原型工具ACVD,可对访问控制漏洞中未授权访问、越权访问等类型的漏洞进行准确检测。在5个真实Web应用程序中进行测试,发现16个真实漏洞,查全率达到了98%,检测效率较传统黑盒工具提升了约300%。     

基于Struts框架的Web系统的角色权限验证

在B/S模式中,角色的权限验证是保证系统信息安全的关键技术。对所有的系统访问人员分配一定的角色,即一定的访问权限将最大限度地保证系统信息的安全性。Struts是当前Web应用系统开发中最为流行的框架之一。文中讨论并设计了一个利用Struts框架实现对系统用户角色的验证,通过将JSP页面映射为一个特定的权限,一个系统访问人员映射为一个或多个角色,从而实现了角色权限的验证。利用Strurs框架实现角色权限验证的同时隐藏了系统的文件组织结构,更好地保证了系统信息的安全性。     

基于Fuzzing的Web控件漏洞检测改进模型

Web软件安全漏洞层出不穷,攻击手段日益变化,为分析现有的Web控件漏洞检测方法,提出基于Fuzzing测试方法的Web控件漏洞检测改进模型。该系统从功能上分为五大模块进行设计和实现,并结合静态分析与动态分析技术检测WebActiveX控件模型的漏洞,给出"启发式规则"来优化测试数据生成引擎。实例测试结果表明,Web控件漏洞的Fuzzing测试模型是有效和可行的,并能妥善处理好交互性问题。     

基于Struts框架的Web系统的角色权限验证

在B／S模式中，角色的权限验证是保证系统信息安全的关键技术。对所有的系统访问人员分配一定的角色，即一定的访问权限将最大限度地保证系统信息的安全性。Strurs是当前Web应用系统开发中最为流行的框架之一。文中讨论并设计了一个利用Struts框架实现对系统用户角色的验证，通过将JSP页面映射为一个特定的权限，一个系统访问人员映射为一个或多个角色，从而实现了角色权限的验证。利用Struts框架实现角色权限验证的同时隐藏了系统的文件组织结构，更好地保证了系统信息的安全性。     

Web应用漏洞报告理解及漏洞复现

随着Web应用的功能日趋复杂,其安全问题不容乐观, Web应用安全性测试成为软件测试领域的研究重点之一.漏洞报告旨在记录Web应用安全问题,辅助Web应用测试,提升其安全性与质量.然而,如何自动识别漏洞报告中的关键信息,复现漏洞,仍是当前的研究难点.为此,本文提出一种自动化的漏洞报告理解和漏洞复现方法,首先,依据漏洞报告的特点,归纳其语法依存模式,并结合依存句法分析技术,解析漏洞描述,提取漏洞触发的关键信息.其次,不同于常规自然语言描述, Web漏洞的攻击负载通常是非法字符串,大多以代码片段的形式存在,为此,本文针对攻击负载,设计提取规则,完善漏洞报告中攻击负载的提取.在此基础上,考虑漏洞报告与Web应用文本描述不同但语义相近,提出基于语义相似度的漏洞复现脚本自动生成方法,实现Web应用漏洞的自动复现.为验证本文方法的有效性,从漏洞收集平台Exploit-db的300余个Web应用项目中收集了400份漏洞报告,归纳出其语法依存模式;并针对23个开源Web应用涉及的26份真实漏洞报告进行漏洞复现实验,结果表明本文方法可有效提取漏洞报告的关键信息,并据此生成可行测试脚本,复现漏洞,有效减少...     

基于图神经网络的代码漏洞检测方法

使用神经网络进行漏洞检测的方案大多基于传统自然语言处理的思路,将源代码当作序列样本处理,忽视了代码中所具有的结构性特征,从而遗漏了可能存在的漏洞.提出了一种基于图神经网络的代码漏洞检测方法,通过中间语言的控制流图特征,实现了函数级别的智能化代码漏洞检测.首先,将源代码编译为中间表示,进而提取其包含结构信息的控制流图,同...     

基于Chopping的Web应用SQL注入漏洞检测方法

随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁. 针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法. 首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在. 实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞.     

基于可达图的Web服务组合验证

针对基于Petri网的Web服务组合形式化建模,给出了Web服务网的正确性定义和可达图的构造算法.采用可达图作为分析工具,对Web服务网的可达性、有界性、安全性和活性等特性进行分析,给出验证Web服务组合正确性的方法,并举例说明了这种方法的应用.     

应用Fuzzing的Web漏洞检测与加固系统

目前,基于Web漏洞检测的各种手段和方法都有各自的优点和缺点.鉴于此,本文的设计基于Fuzzing技术,以爬虫引擎为主体,利用Spider获取被检测站点内的所有链接并根据特定条件筛选出可能存在问题的链接地址.爬行后获取到的链接会被送到各个检测模块进行扫描检测,分析确认是否存在相应的漏洞.区别于传统手工注入,本设计采用自...     

Web应用漏洞扫描系统

首先介绍了Web应用漏洞安全的严峻形式和对漏洞扫描系统的急切需求,接着分析了扫描系统的实现原理,研究和总结了SQL注入漏洞、XSS漏洞、上传文件漏洞等常见漏洞的检测技术.在此基础上,设计了Web应用漏洞扫描系统的各个模块,最后的通过实验结果表明该系统设计的可行性.     

一种新颖的面向方面的Web应用访问控制方法

基于角色的访问控制是一种传统的软件安全技术;支持Web应用开发的框架技术层出不穷,如struts和spring框架基于MVC设计模式对Web应用进行了有效地解耦合。在这些框架技术下,如何充分使用这些框架带来的优势,实现一种配置灵活、扩展性强、易于维护的访问控制机制成为一个新的挑战。结合AOP、反射、上下文传播、XML技术给出了一种新颖的访问控制实现方法,这种方法能够同基于MVC设计模式的框架有机地结合起来,不仅使访问控制代码集中管理,而且在实现访问控制的同时,保持了原有Web应用的松耦合结构。     

Specifying and enforcing the principle of least privilege in role‐based access control

The principle of least privilege in role‐based access control is an important area of research. There are two crucial issues related to it: the specification and the enforcement. We believe that the existing least privilege specification schemes are not comprehensive enough and few of the enforcement methods are likely to scale well. In this paper, we formally define the basic principle of least privilege problem and present different variations, called the delta‐approx principle of least privilege problem and the minimizing‐approx principle of least privilege problem. Since there may be more than one result to enforce the same principle of least privilege, we introduce the notation about weights of permissions and roles to optimize the results. Then we prove that all least privilege problems are NP‐complete. As an important contribution of the paper, we show that the principle of least privilege problem can be reduced to minimal cost set covering (MCSC) problem. We can borrow the existing solutions of MCSC to solve the principle of least privilege problems. Finally, different algorithms are designed to solve the proposed least privilege problems. Experiments on performance study prove the superiority of our algorithms. Copyright © 2011 John Wiley & Sons, Ltd.     

物联网应用中访问控制智能合约的形式化验证

蓝牙、WiFi等网络技术的进步推动物联网(IoT)的发展,然而IoT在方便了人们生活的同时也存在严重的安全隐患.若无安全的访问控制,非法接入IoT的访问可能给用户带来各方面的损失.传统的访问控制方法需要一个可信任的中心节点,不适合节点分散的IoT环境.区块链及智能合约的出现为IoT应用的访问控制提供了更有效的解决方案,...     

基于语义Web技术的属性访问控制模型*

基于语义Web技术和扩展访问控制标记语言(XACML),提出了一种具有语义的属性访问控制模型.该模型利用XACML,可实现基于属性的访问控制;而利用语义Web技术,可降低属性策略定义和维护的复杂性,同时也可保护用户的敏感属性.     

基于属性树的Web服务访问控制模型

提出了基于属性树的Web服务访问控制模型,引入属性树来描述结构化属性,使用限制树来描述结构化属性的各种限制,解决了结构化属性的描述、属性的限制评估以及策略描述等问题。     

基于GAA-API的Web网页细粒度访问控制方法研究

基于通用的授权与访问控制接口GAA-API，提出了一种网页的细粒度授权与访问控制方法。为网页中的静态资源元素、动态资源元素分别提供细粒度、灵活的访问控制。最后对该方法进行实验测试，并对测试结果进行比较分析。     

使用控制支持的动态Web服务访问控制模型研究*

提出了使用控制支持的动态Web服务访问控制模型(WS-DAUCON)。该模型提供了足够的灵活性,能够根据分布式开放网络环境中的属性信息,基于authorization、obligation和condition三种决定策略来检查访问控制决策,实施动态的细粒度Web服务访问控制;同时保留了传统RBAC模型的优点。最后给出了WS-DAUCON的实施框架。     

TRBAC模型在工作流系统中的研究与实现

通过比较现有访问控制模型的各自特点和适用范围,针对现有模型的不足,结合RBAC和TBAC模型各自的优点,提出了一个新型的访问控制模型TRBAC.描述了TRBAC模型的结构和安全控制原则,结合模型的实际应用指出今后工作的主要目标.     

基于SRP协议的Web服务移动agent访问控制研究*

针对Web服务安全问题中的访问控制,提出将移动agent引入Web服务的安全访问控制模型,基于SRP协议对Web服务附加了一个独立的访问控制代理层,实现了基于移动agent的Web服务访问控制模型,并对控制流程进行了描述。     

基于SRP协议的Web服务移动agent访问控制研究*

针对Web服务安全问题中的访问控制,提出将移动agent引入Web服务的安全访问控制模型,基于SRP协议对Web服务附加了一个独立的访问控制代理层,实现了基于移动agent的Web服务访问控制模型,并对控制流程进行了描述。