《计算机学报》是中国计算机领域权威性学术刊物。其宗旨是报道中国计算机科学技术领域最高水平的科研成果,在2016年11期(2324-2343)期上刊载了过辰楷的“面向移动应用软件信息泄露的模型检测研究”以及文硕的“基于策略推导的访问控制漏洞测试用例生成方法”。
“面向移动应用软件信息泄露的模型检测研究”摘要:移动平台上的应用软件私密信息泄露漏洞关注违背用户意愿的接口或数据暴露,而泄露形式和内容的复杂性增添了该类漏洞的检测难度.现有方法主要利用传统的静态数据流分析及动态监控等技术,易发生漏报和误报,且无法处理隐式信息泄露问题.该文首次将基于线性时序逻辑(LTL)的模型检测技术应用于移动软件信息泄露检测上,提出了一种基于安全要素语句插装的泄露检测方法.文章首先针对代码中的安全要素提出一种信息泄露抽象关系模型;其次设计驱动生成规则和插装算法,在目标应用上生成可规约系统;继而设计具有通用意义的LTL泄露检测属性并利用符号执行技术优化检测算法;最后构建支持移动平台的模拟方法库,开发了原型检测系统。
“基于策略推导的访问控制漏洞测试用例生成方法”摘要:Web应用已经成为越来越流行的信息传输媒介。为了保护重要信息不被泄漏,许多Web应用设计了针对不同角色不同用户的访问控制机制。然而由于不完善的访问控制机制,使得访问控制漏洞仍普遍存在,攻击者可对Web应用的敏感数据进行非法访问。为了获得准确的访问控制机制,测试用例的准确性和有效性至关重要。然而,现有的测试用例生成方法存在漏报、冗余度高等缺陷。本文根据Web应用程序的访问控制模型,提出一种基于策略推导的测试用例生成方法。此方法从角色和用户两个级别发现对应的授权操作集合,推导Web应用程序的访问控制策略,并利用推导所得访问控制策略生成合法与非法两类测试用例。其中,合法用例用以对推导所得策略的正确性进行验证,非法用例通过违背授权约束生成,用以检测Web应用程序的访问控制漏洞。
