資源描述:
《畢設論文翻譯》由會員上傳分享���,免費在線閱讀���,更多相關內(nèi)容在工程資料-天天文庫。
1����、2011年第三次國際研討會上的安全性測雖和度雖PHPWeb應用程序安全的演變的實證莫琳?多伊爾詹姆斯?沃爾登計算機科學系北肯塔基大學HighlandHeights肯塔基州41099{doylem3,waldenjg}@nku.edu摘要一隨著在開源和商業(yè)應用屮很容易發(fā)現(xiàn)漏洞證明Web應用也越來越受到人規(guī)模的攻擊這一事實,大約報告的漏洞的-?般是發(fā)現(xiàn)在網(wǎng)絡應用中�。在本文中,我們在十四個便用最廣泛的開源PHPWeb應川程序中進行了冇關漏洞演變的實證調(diào)查����,發(fā)現(xiàn)缺陷密度從2006年的28.12每千行代碼卜?降到了2010年的19.96個漏洞每千行代碼。我們還調(diào)查復雜性度量或安全指標(S
2���、RI)的度量是否可以被用來確定顯示易受攻擊的Web應用程序,平均循環(huán)復雜性度雖能對兒種應用程序的漏洞進行冇效預測�,尤其是那些低SRI的應用程序。關鍵詞:安全指標軟件的安全性靜態(tài)分析代碼的復雜性一引言Web應用程序所有的安全漏洞在2010年IBM公司的X-Force趨勢與風險報告的報道中占49%,兒乎一半的安全漏洞。這可能是不完全統(tǒng)計�����,因為許多組織在內(nèi)部開發(fā)和部署的Web應用程序是不公開報告漏洞的����。邁特發(fā)現(xiàn)�����,自2005年以來最常見的兩個漏洞類型是跨站點腳本和SQL注入�����,他們主要是在Web應用程序中發(fā)現(xiàn)的�。盡管利用網(wǎng)絡或操作系統(tǒng)的蠕蟲漏洞已經(jīng)基本上消失了,Web應用程序述是有定期的
3�����、有針對性的人規(guī)模攻擊�����,如2011年4月LizaMoon人規(guī)模SQL注入攻擊���。此外,流行的開源Web應用程序����,如WordPress注入惡意軟件大規(guī)模攻擊感染用丿'咱己的網(wǎng)站。這項研究是我們先前從2006-2008年中14個開源PHPWeb應用程序的漏洞研究的中一部分復制����。雖然是復制的實驗在經(jīng)驗軟件工程的各個領域中非常重要,它在軟件安全性的研究尤為重要��,由于該領域的迅速發(fā)展的性質(zhì)�����,每年出現(xiàn)新類型的漏洞。我們認為軟件一年內(nèi)是安全的那么以后是不安全的���,是山于沒有采取措施來防止以前不知道的入侵類型��。在人多數(shù)瀏覽器支持Javascript或在20世紀90年代左右我們對于有關跨站點腳本(XS
4����、S)沒有什么擔心���,直到2008年點擊刼持��。像原來的研究���,本文在使用最廣泛的14個開源Web應用程序中使用了靜態(tài)分析工具分析了軟件度量和漏洞測量之間的關系,包括WordPress和MediaWiki,維基百科上運行的軟件�����。我們開采這些應用程序的源代碼庫來衡量漏洞的密度��,并收集各種軟件度量,包括我們的安全資源度雖指標以及傳統(tǒng)指標�,如代碼的大小和復雜性�����。在代碼大小和應用程序的用戶數(shù)量方面����,我們認為這是最人的Web應用安全的調(diào)查����。和我們以前的研究�,本研究有兩個重要的區(qū)別�����。首先是,這項研究分析從2006-2010年四年的Web應用程序�,而不是兩個。更長的時間跨度���,讓我們來驗證我們發(fā)現(xiàn)的在
5�、復雜性和脆弱性間的關系是否是2006到2008間產(chǎn)胡的源代碼的狀態(tài)�����,或是否持有更普遍�。第二是使用最新版本的Fortify的來源代碼分析器(SCA)的工具����,它可以識別73種在PHP代碼屮的漏洞��,而不是只冇13種版木中的漏洞�,使我們發(fā)現(xiàn),在以往的研究屮錯過了潛在的漏洞。我們的研究復制了一個新的靜態(tài)分析工具的時間間隔較長��,使我們能夠1)評估是否觀察開放的Web應用安全漏洞在從2006年年中至2008年年屮PHP的源碼屮的演變趨勢����,一直持續(xù)到2010年年中�。2)確定曾在2008年的預測準確預測是否能準確預測到2010年的漏洞演變���。3)確定如果靜態(tài)分析匸具能找到WebhV用程序中的漏洞���,
6���、已人幅提前至2008,并確定這些改進的效果是否會改變在2008年的研究中觀察到的趨勢����。經(jīng)過討論��,我們的研究方法在第2節(jié)�,我們描述的數(shù)據(jù)收集過程在第3節(jié)���,匯總結(jié)果在第4節(jié)����,笫5節(jié)講述漏洞類型分析����,在笫6節(jié)講述復雜性度量�����,笫7節(jié)涉及有效性的威脅����,而笫8節(jié)討論相關工作�,第9節(jié)完成木文���,給出結(jié)論和描述未來的工作。二���。研究方法在木節(jié)中�,我們指定研究假設是基于復雜性度量和安全資源指標的。這些指標在某些領域的漏洞預測[3],[H][18],[22],[23]中已被證明是冇效的,我們研究了漏洞的兒個方面�,包括漏洞總數(shù),漏洞隨時間的變化�,漏洞密度(每T行代碼中的漏洞數(shù)量)��,隨時間變化的漏洞密度�,
7��、以及漏洞指標等等。我們也研究了在14個項冃的總代碼庫的變化����。讓減輕漏洞變成更廣為人知的漏洞和技術(shù),那么我們可以期望�,開源項目屮的漏洞密度隨著時間的推移應改善,尤其是在常見的漏洞,如跨站點腳木和SQL注入。這導致了三個假設:在開源Web應用程序中的漏洞密度應隨吋間而減少�����。2)在開源的web應用程序的跨站點腳本漏洞的密度應隨時間而減少�����。3)在開源的web應用程序的SQL注入漏洞的密度應隨時間而減少���。代碼的復雜性安全專家稱��,這種復雜性是安全性[16]的敵人���。復雜的代碼是很難理解,維護和測試�,使安全
