基于漏洞报告的Web应用漏洞自动复现方法研究
漏洞报告记录了漏洞触发的过程,可有效辅助测试人员复现漏洞,进而分析并修复漏洞以提升Web应用的安全性。然而,现有依据漏洞报告复现Web应用漏洞的工作主要依赖人工完成,导致漏洞复现效率较低,且随着Web应用的功能日趋复杂,人工复现漏洞的成本也越来越高。因此,如何有效分析漏洞报告中的关键信息并据此自动复现其中描述的漏洞,提升软件测试效率是当前迫切需要解决的问题。 本文设计了一种基于漏洞报告的Web应用漏洞自动复现方法。针对漏洞报告,依据其中触发漏洞操作的描述特点,提出了一种漏洞报告自动理解策略,将触发漏洞的相关信息形式化为漏洞触发步骤序列;针对Web应用,本文研究了一种基于视觉外观的Web应用GUI事件识别算法,通过视觉外观分析页面中的GUI事件信息,更好地贴合报告中此类信息的描述场景以提高漏洞复现成功率;最后,设计了一种基于动态探索的漏洞复现方法,在漏洞触发步骤序列的引导下,选择对应的GUI事件触发来动态探索Web应用,在探索过程中自动构建漏洞复现事件序列并生成可视化脚本,实现Web应用漏洞的自动复现。 本文设计并进行了一系列实验验证方法的有效性,首先,收集了 26份漏洞报告进行漏洞报告自动理解实验,表明漏洞报告自动理解策略能够正确识别其中77%的漏洞触发操作;其次,对10类Web应用利用视觉外观进行GUI事件识别实验,实验结果表明,本文的事件识别策略对Web页面主要事件的平均识别召回率达76%;最后,进行了漏洞自动复现实验,针对正确识别的GUI事件操作类漏洞报告,利用动态探索自动构建漏洞复现事件序列,复现成功率为55%,对比现有基于DOM结构进行漏洞复现的方法,本文方法的复现成功率提升了 19.6%。上述实验结果表明,本文方法可有效提取漏洞报告的关键信息,据此构建漏洞复现事件序列并生成相较DOM脚本更具优势的可视化脚本,有效减少了人工操作,提升了漏洞复现的效率。
Web应用;漏洞报告;自动复现;视觉外观;动态探索
北京化工大学
硕士
软件工程
尤枫
2023
中文
TP311.53
2023-09-27(万方平台首次上网日期,不代表论文的发表时间)