-
题名基于博弈的Web应用程序中访问控制漏洞检测方法
- 1
-
-
作者
何海涛
许可
杨帅林
张炳
赵宇轩
李嘉政
-
机构
燕山大学信息科学与工程学院
-
出处
《通信学报》
EI
CSCD
北大核心
2024年第6期117-130,共14页
-
基金
国家自然科学基金资助项目(No.62376240)
河北省省级科技计划基金资助项目(No.226Z0701G,No.236Z0702G,No.236Z0304G)
+2 种基金
河北省自然科学基金资助项目(No.F2022203026,No.F2022203089)
河北省创新能力提升计划基金资助项目(No.22567637H)
河北省高等学校科学技术研究基金资助项目(No.BJK2022029)。
-
文摘
针对工业互联网中程序的访问控制策略隐藏在源码中难以提取,以及用户的访问操作难以触发所有访问路径而导致逻辑漏洞的通用化检测难以实现的问题,将博弈思想应用于访问控制逻辑漏洞检测中,通过分析不同参与者在Web应用程序中对资源页面的博弈结果来识别漏洞,使得不同用户的访问逻辑能被有针对性地获取。实验结果表明,所提方法在开源的11个程序中检测出31个漏洞,其中8个为未公开的漏洞,漏洞检测覆盖率均超过90%。
-
关键词
Web应用程序安全
漏洞检测
访问控制漏洞
访问控制策略
博弈
-
Keywords
Web application security
vulnerability detection
access control vulnerability
access control rule
game
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
