-
题名基于反向数据流传播的SQL语句随机化
- 1
-
-
作者
马佳鑫
张铮
刘鹏
刘浩
周宛秋
刘慧
-
机构
紫金山实验室内生安全研究中心
信息工程大学网络空间安全学院
河南师范大学计算机与信息工程学院
-
出处
《计算机应用研究》
北大核心
2025年第10期3106-3113,共8页
-
基金
紫金山实验室自立课题(ZL042306)
河南省科技攻关项目(242102211094)。
-
文摘
应用程序使用随机化SQL语句可在随机化SQL环境中访问数据库并防御SQL注入攻击。分析了应用程序SQL语句随机化存在的挑战,提出了一种基于反向数据流传播的SQL语句随机化方法。反向数据流传播算法从数据库操作函数出发,反向追踪SQL语句的数据传播,可快速、准确地识别应用程序源码中的SQL语句。实验表明基于PHP 8.0内核实现的算法识别SQL语句准确率达91.7%。基于反向数据流传播的SQL语句随机化方法较传统方法实施更便捷、通用性更强,该方法处理后的应用程序可适用于随机化SQL环境防御SQL注入攻击。
-
关键词
SQL注入攻击
SQL随机化
静态分析
数据流传播
-
Keywords
SQL injection attack
SQL randomization
static analysis
data flow propagation
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于数据流传播路径学习的智能合约时间戳漏洞检测
被引量:3
- 2
-
-
作者
张卓
刘业鹏
薛建新
鄢萌
陈嘉弛
毛晓光
-
机构
广州商学院信息技术与工程学院
国防科技大学计算机学院
上海第二工业大学计算机与信息工程学院
重庆大学大数据与软件学院
中山大学软件工程学院
-
出处
《软件学报》
EI
CSCD
北大核心
2024年第5期2325-2339,共15页
-
基金
国家重点研发计划(2021YFB1714200)
中国博士后科学基金(2023M732594)。
-
文摘
智能合约是一种被大量部署在区块链上的去中心化的应用.由于其具有经济属性,智能合约漏洞会造成潜在的巨大经济和财产损失,并破坏以太坊的稳定生态.因此,智能合约的漏洞检测具有十分重要的意义.当前主流的智能合约漏洞检测方法(诸如Oyente和Securify)采用基于人工设计的启发式算法,在不同应用场景下的复用性较弱且耗时高,准确率也不高.为了提升漏洞检测效果,针对智能合约的时间戳漏洞,提出基于数据流传播路径学习的智能合约漏洞检测方法Scruple.所提方法首先获取时间戳漏洞的潜在的数据传播路径,然后对其进行裁剪并利用融入图结构的预训练模型对传播路径进行学习,最后对智能合约是否具有时间戳漏洞进行检测.相比而言,Scruple具有更强的漏洞捕捉能力和泛化能力,传播路径学习的针对性强,避免了对程序整体依赖图学习时造成的层次太深而无法聚焦漏洞的问题.为了验证Scruple的有效性,在真实智能合约的数据集上,开展Scruple方法与13种主流智能合约漏洞检测方法的对比实验.实验结果表明,Scruple在检测时间戳漏洞上的准确率,召回率和F1值分别可以达到0.96,0.90和0.93,与13种当前主流方法相比,平均相对提升59%,46%和57%,从而大幅提升时间戳漏洞的检测能力.
-
关键词
智能合约
时间戳漏洞
漏洞检测
数据流传播路径
预训练
-
Keywords
smart contract
timestamp vulnerability
vulnerability detection
data-flow path
pre-training
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
