（毕业学术论文设计）-外文翻译--PHPWeb应用程序安全的演变的实证.docVIP

2011年第三次国际研讨会上的安全性测量和度量 PHP Web应用程序安全的演变的实证 莫琳·多伊尔 詹姆斯·沃尔登 计算机科学系 北肯塔基大学 Highland Heights肯塔基州41099 {doylem3, waldenjg}@nku.edu 摘要—随着在开源和商业应用中很容易发现漏洞证明Web应用也越来越受到大规模的攻击这一事实，大约报告的漏洞的一般是发现在网络应用中。在本文中，我们在十四个使用最广泛的开源PHP Web应用程序中进行了有关漏洞演变的实证调查，发现缺陷密度从2006年的28.12每千行代码下降到了2010年的19.96个漏洞每千行代码。我们还调查复杂性度量或安全指标（SRI）的度量是否可以被用来确定显示易受攻击的Web应用程序，平均循环复杂性度量能对几种应用程序的漏洞进行有效预测，尤其是那些低SRI的应用程序。 关键词：安全指标 软件的安全性 静态分析 代码的复杂性 一 引言 Web应用程序所有的安全漏洞在2010年IBM公司的X-Force趋势与风险报告的报道中占49%，几乎一半的安全漏洞。 这可能是不完全统计，因为许多组织在内部开发和部署的Web应用程序是不公开报告漏洞的。迈特发现，自2005年以来最常见的两个漏洞类型是跨站点脚本和SQL注入，他们主要是在Web应用程序中发现的。 尽管利用网络或操作系统的蠕虫漏洞已经基本上消失了，Web应用程序还是有定期的有针对性的大规模攻击，如2011年4月LizaMoon大规模SQL注入攻击。 此外，流行的开源Web应用程序，如WordPress注入恶意软件大规模攻击感染用户自己的网站。 这项研究是我们先前从2006-2008年中14个开源PHP Web应用程序的漏洞研究的中一部分复制。虽然是复制的实验在经验软件工程的各个领域中非常重要，它在软件安全性的研究尤为重要，由于该领域的迅速发展的性质，每年出现新类型的漏洞。我们认为软件一年内是安全的那么以后是不安全的，是由于没有采取措施来防止以前不知道的入侵类型。在大多数浏览器支持Javascript或在20世纪90年代左右我们对于有关跨站点脚本（XSS）没有什么担心，直到2008年点击劫持。 像原来的研究，本文在使用最广泛的14个开源Web应用程序中使用了静态分析工具分析了软件度量和漏洞测量之间的关系， 包括WordPress和MediaWiki，维基百科上运行的软件。我们开采这些应用程序的源代码库来衡量漏洞的密度，并收集各种软件度量，包括我们的安全资源度量指标以及传统指标，如代码的大小和复杂性。在代码大小和应用程序的用户数量方面，我们认为这是最大的Web应用安全的调查。 和我们以前的研究，本研究有两个重要的区别。 首先是，这项研究分析从2006-2010年四年的Web应用程序，而不是两个。 更长的时间跨度，让我们来验证我们发现的在复杂性和脆弱性间的关系是否是2006到2008间产品的源代码的状态，或是否持有更普遍。 第二是使用最新版本的Fortify的来源代码分析器（SCA）的工具，它可以识别73种在PHP代码中的漏洞，而不是只有13种版本中的漏洞，使我们发现，在以往的研究中错过了潜在的漏洞。我们的研究复制了一个新的静态分析工具的时间间隔较长，使我们能够 1）评估是否观察开放的Web应用安全漏洞在从2006年年中至2008年年中PHP的源码中的演变趋势，一直持续到2010年年中。 2）确定曾在2008年的预测准确预测是否能准确预测到2010年的漏洞演变。 3）确定如果静态分析工具能找到Web应用程序中的漏洞，已大幅提前至2008，并确定这些改进的效果是否会改变在2008年的研究中观察到的趋势。 经过讨论，我们的研究方法在第2节，我们描述的数据收集过程在第3节，汇总结果在第4节，第5节讲述漏洞类型分析，在第6节讲述复杂性度量，第7节涉及有效性的威胁，而第8节讨论相关工作，第9节完成本文，给出结论和描述未来的工作。 二。研究方法 在本节中，我们指定研究假设是基于复杂性度量和安全资源指标的。这些指标在某些领域的漏洞预测[3]，[11][18]，[22]，[23] 中已被证明是有效的，我们研究了漏洞的几个方面，包括漏洞总数，漏洞随时间的变化，漏洞密度（每千行代码中的漏洞数量），随时间变化的漏洞密度，以及漏洞指标等等。 我们也研究了在14个项目的总代码库的变化。让减轻漏洞变成更广为人知的漏洞和技术，那么我们可以期望，开源项目中的漏洞密度随着时间的推移应改善，尤其是在常见的漏洞，如跨站点脚本和SQL注入。这导致了三个假设： 在开源Web应用程序中的漏洞密度应随时间而减少。 2）在开源的web应用程序的跨站点脚本漏洞的密度应随时间而减少