基于博弈的Web應(yīng)用程序中訪問(wèn)控制漏洞檢測(cè)方法

摘要： 針對(duì)工業(yè)互聯(lián)網(wǎng)中程序的訪問(wèn)控制策略隱藏在源碼中難以提取，以及用戶的訪問(wèn)操作難以觸發(fā)所有訪問(wèn)路徑而導(dǎo)致邏輯漏洞的通用化檢測(cè)難以實(shí)現(xiàn)的問(wèn)題，將博弈思想應(yīng)用于訪問(wèn)控制邏輯漏洞檢測(cè)中，通過(guò)分析不同參與者在Web應(yīng)用程序中對(duì)資源頁(yè)面的博弈結(jié)果來(lái)識(shí)別漏洞，使得不同用戶的訪問(wèn)邏輯能被有針對(duì)性地獲取。實(shí)驗(yàn)結(jié)果表明，所提方法在開(kāi)源的11個(gè)程序中檢測(cè)出31個(gè)漏洞，其中8個(gè)為未公開(kāi)的漏洞，漏洞檢測(cè)覆... （共14頁(yè)）