检索结果-南通市图书馆

在线全文

学校读者我要写书评

暂无评论

findbugs在软件测试中的应用

福建电脑 2013年第4期29卷 129-130,163页

作者：杨翔清紫金县技工学校广东河源517000

findbugs是程序员及软件测试员的常用工具,本文主要描述了该工具的安装与使用,描述了GUI模式的使用方法,且通过7个实例进行了详细的缺陷分析,帮助我们写出更为可靠,严谨高效的代码。

关键词： findbugs 缺陷检查规则

在线全文

学校读者我要写书评

暂无评论

基于findbugs技术的静态代码分析

电脑知识与技术（过刊） 2012年第11X期18卷 7722-7723页

作者：密君英薛东海苏州农业职业技术学院江苏苏州215008 苏州铭星科技股份有限公司江苏苏州215021

该文介绍了当前静态代码分析的概念和主流工具,并以Java代码分析工具findbugs为例,详细描述了这个工具的特点,使用方法,从而引导开发者使用静态代码分析工具,提高代码的质量和效率。

关键词： findbugs 静态代码分析代码质量

维普期刊数据库评论

在线全文

维普期刊数据库

学校读者我要写书评

暂无评论

基于findbugs技术的静态代码分析

电脑知识与技术 2012年第32期 7722-7723页

作者：密君英薛东海苏州农业职业技术学院

关键词： findbugs 静态代码分析代码质量

在线全文

同方期刊数据库

学校读者我要写书评

暂无评论

基于静态信息流跟踪的输入验证漏洞检测方法

浙江大学学报（工学版） 2015年第4期49卷 683-691页

作者：万志远周波浙江大学计算机科学与技术学院浙江杭州310027

针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具findbugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入... 详细信息

针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具findbugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入验证漏洞,在不明显降低运行性能的前提下,将findbugs的输入验证漏洞检测误报率降低了55.7%.

关键词：漏洞检测静态分析信息流跟踪数据流分析输入验证 findbugs Web应用程序

灰盒代码审计在Web安全检测中的应用研究与实现

在线全文

学校读者我要写书评

暂无评论

灰盒代码审计在Web安全检测中的应用研究与实现

作者：陈昊北京邮电大学

学位级别：硕士

随着计算机和互联网的飞速发展,各个行业对计算机的依赖逐渐加大。与此同时,带来的计算机安全问题越来越引起人们的重视,Web安全事故的颁发,更体现的Web安全检测重要性。随着J2EE在Web系统开发中的快速应用,针对此类Web系统的安全检测... 详细信息

随着计算机和互联网的飞速发展,各个行业对计算机的依赖逐渐加大。与此同时,带来的计算机安全问题越来越引起人们的重视,Web安全事故的颁发,更体现的Web安全检测重要性。随着J2EE在Web系统开发中的快速应用,针对此类Web系统的安全检测需求越来越大。传统的Web安全检测技术已经满足不了需求的变化。为了提高Web安全检测的全面性和准确性,将代码审计也应用到Web安全检测中,使得Web安全检测更加的全面准确。本课题正是基于这样一个背景,通过对Web系统中的Java字节码进行分析,利用findbugs提出了一种全新的灰盒代码审计方案来检测Web安全,给Web的安全检测增加了新的方案,提高了检测结果的全面性。本文首先说明了课题的研究背景,介绍了Web安全和代码审计相关的技术基础知识,如findbugs、自定义规则的编写等,同时对目前常用代码审计软件进行了对比分析。然后对灰盒代码审计工具进行一系列的功能性扩展,并且重点分析了审计前文件处理、审计结果的污染扩散和审计后的结果重定位这些扩展功能,实现了利用灰盒代码审计对Web工程进行安全检测。最后提出了一种新的Web安全检测方法,分别利用灰盒代码审计和渗透测试对同一个Web工程进行安全检测,对两款工具的检测结果进行对比分析,查找两个结果的关联性,根据关联性对这连个结果进行整合,从而实现全面准确的Web安全检测。

关键词： Web安全代码审计灰盒 findbugs 重定位渗透测试结果整合

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

Web应用程序渗透测试方法研究

Web应用程序渗透测试方法研究

作者：潘古兵西南大学

学位级别：硕士

随着互联网的不断发展,Web应用程序已经越来越多地深入到商业、财政、教育、政府及娱乐中,不过它们却存在各种可被利用的安全漏洞。因此如何进行有效的安全测试以保证Web应用程序的安全性和可靠性至关重要。然而由于Web应用多采用分布... 详细信息

随着互联网的不断发展,Web应用程序已经越来越多地深入到商业、财政、教育、政府及娱乐中,不过它们却存在各种可被利用的安全漏洞。因此如何进行有效的安全测试以保证Web应用程序的安全性和可靠性至关重要。然而由于Web应用多采用分布式结构,各类实体间的耦合度小,Web应用技术及脚本语言的发展,Web应用程序的结构与行为特征越来越多样化,使得Web应用程序安全问题日益复杂。因此,对Web应用程序安全漏洞的测试要比对传统程序的测试更加困难,从而对软件测试领域提出了新的挑战并已成为软件工程领域的一个研究热点。渗透测试作为一种Web应用程序安全漏洞测试方法,正在普遍应用于Web应用程序安全测试工作中,它可以在一个Web应用程序发布前找到Web应用程序中的潜在漏洞,消除相应威胁。然而在实际测试中,Web应用程序渗透测试结果往往和测试人员经验、技巧直接相关,同一个Web应用程序不同渗透测试服务商或人员在测试过程中所测试出的漏洞和漏洞数量可能各不相同,从而导致测试结果存在不同程度的误报和漏报。并且由于传统的渗透测试只采用单一的动态检测方法效率过低。因此,为了避免渗透测试成果太依赖个人能力和经验以及为了提高渗透测试效率,我们需要一套更科学的渗透测试方法,来减少测试过程中的误报率和漏报率并提高测试效率。针对上述问题,本文首先研究和分析了Web应用程序安全问题及Web应用程序安全漏洞测试相关的技术方法,并以此提出了主要针对Java Web应用程序的结合污染传播模型和传统渗透测试的改进渗透测试方法,从原来的单一技术方法向复合技术方法转变。并且针对不断出现的Web安全问题,着重研究了危害Web应用程序的输入验证类安全漏洞,特别是SQL注入和跨站脚本（XSS）漏洞。本文的主要工作有以下几方面： 1：对WEB应用输入验证类安全漏洞进行全面深入的研究和分析并阐述了实际编程中是如何防止该类型漏洞的。 2：为了减少渗透测试工作中的漏报率和误报率及提高效率,研究并分析了Web应用程序安全漏洞相关测试技术提出了一种静态分析和动态检测相结合的渗透测试方法。该方法根据SQL注入原理和跨站脚本漏洞（XSS）的特征,分别设计并建立了针对Java Web应用程序的相应静态检测规则和动态渗透规则库。 3：基于静态分析和动态检测的Web应用程序渗透测试平台的实现及验证。本文采用开源工具findbugs、Selenium实现了测试平台的测试执行层各个模块,并以实验模拟及实际网站为实例,验证了基于静态分析和动态检测的Web应用程序渗透测试平台能有效的发现Web应用中的SQL注入及跨站脚本（XSS）漏洞。

关键词： Web 应用程序安全漏洞静态分析动态检测 findbugs Selenium

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

静态代码分析在软件测试中的应用研究

嘉应学院学报 2016年第2期34卷 35-39页

作者：陈佳丽陈晓洁龙岩学院信息工程学院福建龙岩364012

静态代码分析技术是一种常用的静态白盒测试技术,利用它可有效地发现逻辑设计与编码中30%-70%的缺陷.文章介绍了静态代码分析技术的研究现状,静态代码分析工具的基本流程及工作原理,研究了利用静态代码分析技术所能发现的软件异常类别,... 详细信息

静态代码分析技术是一种常用的静态白盒测试技术,利用它可有效地发现逻辑设计与编码中30%-70%的缺陷.文章介绍了静态代码分析技术的研究现状,静态代码分析工具的基本流程及工作原理,研究了利用静态代码分析技术所能发现的软件异常类别,并结合实际的示例给出了针对Java的代码分析工具Find Bugs及Check Style的具体测试流程.本文的研究工作对高校《软件测试》课程的理论和实践教学都有一定的指导作用.

关键词：静态代码分析软件异常代码分析工具 findbugs CheckStyle

在线全文

学校读者我要写书评

暂无评论

改进的基于代码污染识别安全警告的算法

计算机应用与软件 2016年第8期33卷 36-38,80页

作者：牛霜霞吕卓张威莫坚松国网河南省电力公司电力科学研究院河南郑州450000 河南恩湃高科集团有限公司河南郑州450000

由于静态代码审计工具具有自动化、不容易出错的特点,开发人员经常使用它来检测代码漏洞,但是检测出的代码漏洞的结果会产生大量的警告信息,开发人员必须手动进行检查和纠正。此工具的缺点是浪费开发人员大量的时间。通过对用户的输入... 详细信息

由于静态代码审计工具具有自动化、不容易出错的特点,开发人员经常使用它来检测代码漏洞,但是检测出的代码漏洞的结果会产生大量的警告信息,开发人员必须手动进行检查和纠正。此工具的缺点是浪费开发人员大量的时间。通过对用户的输入以及敏感数据流的追踪来确定警告的缺陷是否真的被利用,从而减少静态检测工具产生的大量警告数量。同时提供给开发者更多真正能对软件产生威胁的警告信息。针对静态代码审计工具的缺点,研究三种不同的方法来提高静态代码审计工具的性能。第一,对于商业性的静态代码分析工具Coverity,重新分析它的结果,并且从安全的角度创建一组具体的相关警告。第二,对开放的源代码分析工具findbugs进行修改,并只对被用户输入所污染的代码进行分析。第三,研发灰盒代码审计工具,此工具侧重于Java代码中的跨站脚本攻击XSS(Cross Site Scripting),使用数据流分析的方法来确定漏洞的切入点。实验结果证明工程B使警告数量降低了20%,工程E只产生了2%的警告,降低了工具产生警告的数量,为开发人员提供更多的信息来区分此警告是否是真正的安全威胁。

关键词： Coverity findbugs XSS 漏洞