基于博弈的Web應(yīng)用程序中訪問控制漏洞檢測方法
通信學報
頁數(shù): 14 2024-07-05
摘要: 針對工業(yè)互聯(lián)網(wǎng)中程序的訪問控制策略隱藏在源碼中難以提取,以及用戶的訪問操作難以觸發(fā)所有訪問路徑而導致邏輯漏洞的通用化檢測難以實現(xiàn)的問題,將博弈思想應(yīng)用于訪問控制邏輯漏洞檢測中,通過分析不同參與者在Web應(yīng)用程序中對資源頁面的博弈結(jié)果來識別漏洞,使得不同用戶的訪問邏輯能被有針對性地獲取。實驗結(jié)果表明,所提方法在開源的11個程序中檢測出31個漏洞,其中8個為未公開的漏洞,漏洞檢測覆... (共14頁)