%0 Journal Article
%T 动静结合的二阶SQL注入漏洞检测技术
%A 张维纬
%A 李鑫
%A 郑力新
%J 华侨大学学报(自然科学版)
%D 2018
%R 10.11830/ISSN.1000-5013.201606110
%X 为了有效检测应用中的二阶结构化查询语言(SQL)注入漏洞,提出一种动静结合的检测方法.通过静态分析获取持久存储信息,解决动态分析无法处理的Web应用多阶段间逻辑联系问题.通过动态分析获取元数据,解决静态分析无法定位污点信息持久存储位置的问题.通过模糊测试验证疑似漏洞,降低误报率.实验结果表明:该检测方法能够有效检测应用程序中存在的二阶SQL注入漏洞;相比于传统静态分析,检测精度高、误报率低;相比于传统动态分析,实现对多阶漏洞的检测,优于已有二阶SQL注入漏洞检测技术.
%K 漏洞检测
%K 二阶结构化查询语言
%K 静态分析
%K 动态分析
%K 污点分析
%U http://www.hdxb.hqu.edu.cn/oa/DArticle.aspx?type=view&id=201804022