崔展齐
- 作品数:4 被引量:27H指数:3
- 供职机构:南京大学更多>>
- 发文基金:国家自然科学基金国家重点基础研究发展计划国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术更多>>
- Android应用中SQL注入漏洞静态检测方法被引量:6
- 2018年
- 随着移动互联网的迅猛发展,基于Android平台的移动终端以及移动应用数量逐年攀升,极大地改变了人们的生活方式。然而,移动应用具有交互复杂、难于调试、版本更新迭代频繁等特点,很多应用没有经过充分检测就投入了使用,致使Android应用中各种漏洞导致的故障频发。其中,SQL注入漏洞是一类常见安全漏洞,会引发用户信息泄露、恶意篡改数据库等严重后果。但现有的通用静态分析工具大多无法有效检测Android应用中的SQL注入漏洞。针对这一问题,分析了SQL注入漏洞的代码特征和数据特征,提出了一种基于污点分析的静态检测方法,并在开源工具FindBugs的基础上,实现了原型工具SQLInj。实验结果表明,该方法能有效检测出Android应用中存在的SQL注入漏洞。
- 潘秋红崔展齐王林章
- 关键词:SQL注入污点分析
- 面向方面的计算误差处理技术:实例研究与评估被引量:3
- 2011年
- 传统的实现方法通常把误差处理策略与程序的基本功能交织到一起,这会增加程序的耦合度,使得程序难以理解与维护.针对这一问题,提出一种面向方面的解决方案,即将程序的各种误差处理策略封装为方面.为评估该方法的有效性,将一个真实的卫星轨道测算系统中的误差处理策略分别封装为类中的方法和方面,并设计了一系列实验来评估原程序及分别采用两种方式重构后的程序在关注点分离度、耦合度、程序规模及运行时间上的差异.结果实验结果和重构过程中获得的经验可以得出,采用面向方面技术将误差处理功能封装为方面来实现能够有效提高程序的模块化程度和可维护性,并且不会引起程序性能的显著下降.
- 崔展齐王林章刘慧根李宣东
- 关键词:面向方面程序设计
- 一种目标制导的混合执行测试方法被引量:18
- 2011年
- 混合执行测试(concolic testing)是一种将具体执行与符号执行相结合的自动化测试方法.由于混合执行测试从程序本身出发,未将目标缺陷的先验知识作为指导,会导致生成和执行大量不能发现缺陷的测试输入,从发现缺陷的角度看浪费了时间和计算资源开销.这个问题在具有时间、成本及资源约束的实际测试任务中更加突出.为解决这一问题,文中提出了一种结合静态分析和混合执行测试技术的目标制导的混合执行测试方法:使用静态分析工具分析待测程序中可能含有缺陷的可疑语句及其缺陷类型,并将静态分析所报告的可疑语句作为目标指导测试.目标制导的混合执行测试技术分为3个步骤:首先,计算从程序各分支到待检测缺陷语句的可达性;其次,对待测试程序进行插装以支持混合执行测试;第三,使用静态分析的结果和可达性信息作为指导,只生成和执行可能会覆盖待检测缺陷语句的测试输入,以避免生成和执行不能发现缺陷的测试输入.基于此方法,作者实现了一个测试缓冲区溢出缺陷的原型工具:TARGET,并在一组C语言基准程序上进行了对比实验.实验结果表明与原有的混合执行测试技术相比较,TARGET能在更短的时间内发现程序中更多的缺陷.
- 崔展齐王林章李宣东
- 若干软件非功能属性相关的设计和实现技术研究
- 随着计算机系统应用的不断普及和深入,其中软件系统的规模和复杂性不断增大,如何有效地控制软件系统的复杂性已成为学术界和工业界迫切需要解决的重要问题。除了功能性需求之外,现代软件系统还需要满足越来越多的非功能性需求(属性),...
- 崔展齐
- 关键词:缓冲区溢出计算机系统
