检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
作 者:何海涛[1] 许可 杨帅林 张炳 赵宇轩 李嘉政 HE Haitao;XU Ke;YANG Shuailin;ZHANG Bing;ZHAO Yuxuan;LI Jiazheng(School of Information Science and Engineering,Yanshan University,Qinhuangdao 066004,China)
机构地区:[1]燕山大学信息科学与工程学院,河北秦皇岛066004
出 处:《通信学报》2024年第6期117-130,共14页Journal on Communications
基 金:国家自然科学基金资助项目(No.62376240);河北省省级科技计划基金资助项目(No.226Z0701G,No.236Z0702G,No.236Z0304G);河北省自然科学基金资助项目(No.F2022203026,No.F2022203089);河北省创新能力提升计划基金资助项目(No.22567637H);河北省高等学校科学技术研究基金资助项目(No.BJK2022029)。
摘 要:针对工业互联网中程序的访问控制策略隐藏在源码中难以提取,以及用户的访问操作难以触发所有访问路径而导致逻辑漏洞的通用化检测难以实现的问题,将博弈思想应用于访问控制逻辑漏洞检测中,通过分析不同参与者在Web应用程序中对资源页面的博弈结果来识别漏洞,使得不同用户的访问逻辑能被有针对性地获取。实验结果表明,所提方法在开源的11个程序中检测出31个漏洞,其中8个为未公开的漏洞,漏洞检测覆盖率均超过90%。To solve the problem that the access control strategy of the program in the industrial Internet was difficult to extract from the source code,and that the user’s access operation was difficult to trigger all access paths,which led to the difficulty of universal detection of logical vulnerabilities,game theory was applied to the access control logic vulnerability detection for the first time.The vulnerabilities were identified by analyzing the game results of different participants on resource pages in the Web application,so that the access logic of different users could be targeted to obtain.Experimental results demonstrate that the proposed method successfully detect 31 vulnerabilities,including 8 unreported ones,out of 11 open-source applications,with a detection range exceeding 90%.
关 键 词:Web应用程序安全 漏洞检测 访问控制漏洞 访问控制策略 博弈
分 类 号:TP393[自动化与计算机技术—计算机应用技术]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.49