检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
机构地区:[1]信息工程大学,郑州450001 [2]江南计算技术研究所,江苏无锡214083
出 处:《计算机应用研究》2015年第10期3065-3069,共5页Application Research of Computers
基 金:核高基项目(2013ZX01029002-001)
摘 要:动态污点分析是检测Web应用程序漏洞、提高Web服务安全性的一种常用方法,但现有方法大多缺乏完善的信息流策略和模型,对信息流的控制也较为粗糙。提出了一个面向Python的信息流控制模型PIFC,将Python程序中的对象抽象为实体;通过控制方法调用所涉及实体间的信息交互来实施语言级的信息流控制;引入实体的降密及净化能力来防止污点积累。利用Python的装饰器和动态分发机制等高级特性,设计并实现了一个轻量、易用、简洁的Python库LPIFC,以支持模型的污点存储及信息流控制,避免了传统方式中修改解释器的缺陷。测试结果表明,LPIFC很好地满足了Web应用的安全需求,且引入的额外性能开销较小。Taint analysis is a common approach for spotting potential vulnerabilities of Web application and enhancing security of Web service. Most of the approaches lack of effective policies and model of information flow,with coarse information flow control granularity. This paper proposed an information flow control model for Python( PIFC). It took the object in Python as the entity for information flow control,implemented information flow control on language level by controlling the information interaction between the entities evolved in method call,and introduced declassification and sanitization to avoid taint accumulating. With the advanced features of Python,such as decorators and dynamic dispatch,it realized a lightweight,easy to use and neat library for Python( LPIFC),in order to support the taint storage and information flow control,without modifying the interpreter. The evaluation shows that,LPIFC satisfies the security requirements of Web application well,with little extra performance overhead.
关 键 词:WEB应用 污点分析 信息流控制 PYTHON 库
分 类 号:TP309.2[自动化与计算机技术—计算机系统结构]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.30