基于敏感路徑參數(shù)的Java Web漏洞檢測技術研究.pdf

1、隨著現(xiàn)代信息技術的高速發(fā)展，Web應用程序及其相關技術被廣泛使用，并且迅速占領主導地位。Java Web應用程序作為B/S框架的一種，得到了廣泛的使用。當然，在其為廣大開發(fā)者及用戶帶來方便的同時，隨之而來的也包括了一系列的安全問題。根據(jù)數(shù)據(jù)統(tǒng)計，在當前的各類網(wǎng)絡攻擊事件中，利用Web應用程序本身存在的安全漏洞而對該應用程序進行惡意攻擊的發(fā)生概率越來越高。這些攻擊行為為用戶本身、企業(yè)以及其他相關之人帶來巨大的損失，其中包括精神損失、名譽損

2、失以及財產(chǎn)損失等等，使得人們的合法權益受到嚴重威脅。所以，Web漏洞檢測受到越來越多的國內(nèi)外研究學者和開發(fā)人員的關注。
　　本文在分析國內(nèi)外研究現(xiàn)狀的基礎之上，采用基于代碼分析、查找敏感路徑參數(shù)的方法，專門針對Java Web應用程序中的文件上傳漏洞、遠程命令執(zhí)行漏洞以及SQL注入漏洞檢測技術進行了分析研究，并實現(xiàn)了針對上述三種漏洞的Java Web應用程序安全漏洞靜態(tài)代碼檢測系統(tǒng)。本文利用開源工具ANTRL對源代碼進行解析，生成

3、AST樹。并且采用反向檢測的方法來查找敏感路徑，以提高系統(tǒng)效率。另外，本文提出了一種較為合理的過濾集合與過濾完備集的匹配規(guī)則，從而提高了系統(tǒng)檢測結果的準確性。
　　為了能夠更好的驗證本文所設計并實現(xiàn)的系統(tǒng)的正確性與實用性，本文采用比較完整的、項目組自行開發(fā)的Java Web應用程序作為目標系統(tǒng)，對本文所設計的Java Web漏洞檢測系統(tǒng)進行檢測。實驗結果表明，本文所設計并實現(xiàn)的系統(tǒng)可以有效的檢測到Java Web目標系統(tǒng)中存在的S