欢迎来到天天文库
浏览记录
ID:44428529
大小:588.14 KB
页数:14页
时间:2019-10-22
《毕设论文翻译》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、2011年第三次国际研讨会上的安全性测虽和度虽PHPWeb应用程序安全的演变的实证莫琳・多伊尔詹姆斯•沃尔登计算机科学系北肯塔基大学HighlandHeights肯塔基州41099{doylem3,waldenjg}@nku.edu摘要一随着在开源和商业应用屮很容易发现漏洞证明Web应用也越來越受到人规模的攻击这一事实,大约报告的漏洞的-•般是发现在网络应用中。在本文中,我们在十四个便用最广泛的开源PHPWeb应川程序中进行了冇关漏洞演变的实证调查,发现缺陷密度从2006年的28.12每千行代码卜•降到了2010年的19.96个漏洞每千行代码。我们还调查复杂性度量或安全指标(S
2、RI)的度量是否可以被用來确定显示易受攻击的Web应用程序,平均循环复杂性度虽能对儿种应用程序的漏洞进行冇效预测,尤其是那些低SRI的应用程序。关键词:安全指标软件的安全性静态分析代码的复杂性一引言Web应用程序所有的安全漏洞在2010年IBM公司的X-Force趋势与风险报告的报道中占49%,儿乎一半的安全漏洞。这可能是不完全统计,因为许多组织在内部开发和部署的Web应用程序是不公开报告漏洞的。迈特发现,自2005年以来最常见的两个漏洞类型是跨站点脚本和SQL注入,他们主要是在Web应用程序中发现的。尽管利用网络或操作系统的蠕虫漏洞已经基本上消失了,Web应用程序述是有定期的
3、有针对性的人规模攻击,如2011年4月LizaMoon人规模SQL注入攻击。此外,流行的开源Web应用程序,如WordPress注入恶意软件大规模攻击感染用丿'咱己的网站。这项研究是我们先前从2006-2008年中14个开源PHPWeb应用程序的漏洞研究的中一部分复制。虽然是复制的实验在经验软件工程的各个领域中非常重要,它在软件安全性的研究尤为重要,由于该领域的迅速发展的性质,每年出现新类型的漏洞。我们认为软件一年内是安全的那么以后是不安全的,是山于没有采取措施来防止以前不知道的入侵类型。在人多数浏览器支持Javascript或在20世纪90年代左右我们对于有关跨站点脚本(XS
4、S)没有什么担心,直到2008年点击刼持。像原來的研究,本文在使用最广泛的14个开源Web应用程序中使用了静态分析工具分析了软件度量和漏洞测量之间的关系,包括WordPress和MediaWiki,维基百科上运行的软件。我们开采这些应用程序的源代码库来衡量漏洞的密度,并收集各种软件度量,包括我们的安全资源度虽指标以及传统指标,如代码的大小和复杂性。在代码大小和应用程序的用户数量方面,我们认为这是最人的Web应用安全的调查。和我们以前的研究,本研究有两个重要的区别。首先是,这项研究分析从2006-2010年四年的Web应用程序,而不是两个。更长的时间跨度,让我们来验证我们发现的在
5、复杂性和脆弱性间的关系是否是2006到2008间产胡的源代码的状态,或是否持有更普遍。第二是使用最新版本的Fortify的來源代码分析器(SCA)的工具,它可以识别73种在PHP代码屮的漏洞,而不是只冇13种版木中的漏洞,使我们发现,在以往的研究屮错过了潜在的漏洞。我们的研究复制了一个新的静态分析工具的时间间隔较长,使我们能够1)评估是否观察开放的Web应用安全漏洞在从2006年年中至2008年年屮PHP的源码屮的演变趋势,一直持续到2010年年中。2)确定曾在2008年的预测准确预测是否能准确预测到2010年的漏洞演变。3)确定如果静态分析匸具能找到WebhV用程序中的漏洞,
6、已人幅提前至2008,并确定这些改进的效果是否会改变在2008年的研究中观察到的趋势。经过讨论,我们的研究方法在第2节,我们描述的数据收集过程在第3节,汇总结果在第4节,笫5节讲述漏洞类型分析,在笫6节讲述复杂性度量,笫7节涉及有效性的威胁,而笫8节讨论相关工作,第9节完成木文,给出结论和描述未来的工作。二。研究方法在木节中,我们指定研究假设是基于复杂性度量和安全资源指标的。这些指标在某些领域的漏洞预测[3],[H][18],[22],[23]中已被证明是冇效的,我们研究了漏洞的儿个方面,包括漏洞总数,漏洞随时间的变化,漏洞密度(每T行代码中的漏洞数量),随时间变化的漏洞密度,
7、以及漏洞指标等等。我们也研究了在14个项冃的总代码库的变化。让减轻漏洞变成更广为人知的漏洞和技术,那么我们可以期望,开源项目屮的漏洞密度随着时间的推移应改善,尤其是在常见的漏洞,如跨站点脚木和SQL注入。这导致了三个假设:在开源Web应用程序中的漏洞密度应随吋间而减少。2)在开源的web应用程序的跨站点脚本漏洞的密度应随时间而减少。3)在开源的web应用程序的SQL注入漏洞的密度应随时间而减少。代码的复杂性安全专家称,这种复杂性是安全性[16]的敌人。复杂的代码是很难理解,维护和测试,使安全
此文档下载收益归作者所有