公开(公告)号：CN117009978A

公开(公告)日：2023-11-07

申请号：CN202310998538.5

申请日：2023-08-09

Applicant: 燕山大学

Inventor： 何海涛 ,  许可 ,  贾钰峰 ,  王啸天

IPC: G06F21/57 ,  G06F21/56 ,  G06N5/04

Abstract: 本发明提供一种基于博弈的Web应用程序访问控制漏洞检测方法，其包括以下步骤：S1、获取Web应用程序输入，设定攻击者和访问者；S2、构建基于动态执行的过程流追踪四元组和基于静态源码的访问控制流分析二元组；S3、构建访问控制博弈模型，实现Web应用程序基于访问控制过程的全面表征；S4、基于访问控制博弈模型，提取访问控制策略，设计攻击博弈策略；S5、构建漏洞检测模型，并设计综合效益验证评估方法，实现访问控制漏洞的检测。本发明能够解析程序访问控制过程，实现对访问控制过程的建模；提取并设计访问策略和博弈策略，实现不同用户的行为模式和策略选择的表征；最后，通过漏洞检测模型，准确地确定出程序中不同类型访问控制权限中的漏洞点。

公开(公告)号：CN116094808A

公开(公告)日：2023-05-09

申请号：CN202310062030.4

申请日：2023-01-17

Applicant: 北京交通大学 ,  燕山大学

Inventor： 任申元 ,  许可 ,  张炳

IPC: H04L9/40

Abstract: 本发明涉及一种基于RBAC模式Web应用安全的访问控制漏洞检测方法，其包括以下步骤，步骤1：获取Web应用程序数据库中的基础数据；步骤2：处理基础数据，构造动态节点连接图和静态链接跳转图，并将其合并构成站点地图模型；步骤3：挖掘站点地图模型中不同用户的访问控制策略Gr；步骤4：违背访问控制策略，生成Web应用程序的攻击向量；步骤5：完成Web应用程序的访问控制漏洞检测。本发明通过动静混合的方式进行细粒度建模，将权限验证与数据库中的身份信息相结合，分析不同角色和用户的行为，通过模拟用户操作跟踪收集响应信息构建多属性站点地图模型，推导程序的访问控制策略；本发明通过构造攻击向量，模拟漏洞攻击，实现应用程序评估和漏洞检测。