基于博弈的Web應用程序中訪問控制漏洞檢測方法

摘要： 針對工業(yè)互聯(lián)網(wǎng)中程序的訪問控制策略隱藏在源碼中難以提取，以及用戶的訪問操作難以觸發(fā)所有訪問路徑而導致邏輯漏洞的通用化檢測難以實現(xiàn)的問題，將博弈思想應用于訪問控制邏輯漏洞檢測中，通過分析不同參與者在Web應用程序中對資源頁面的博弈結果來識別漏洞，使得不同用戶的訪問邏輯能被有針對性地獲取。實驗結果表明，所提方法在開源的11個程序中檢測出31個漏洞，其中8個為未公開的漏洞，漏洞檢測覆...