采用符号值作为输入,模拟程序执行,提取执行路径上相应的约束条件,即安全约束、攻击约束以及防御约束,并构成可满足矩阵(SAT)以及不可满足矩阵(UNSAT)两个注入类漏洞安全分析与检测模型,矩阵模型的求解结果可映射为注入类安全漏洞的安全状态。对Web应用注入类漏洞的检测实验表明,与目前安全分析主流工具相比,该分析技术具有降低误报率、漏报率、能自动生成攻击向量等优点。

• 单位
  北京大学; 北京北大软件工程股份有限公司