基于博弈的Web应用程序中访问控制漏洞检测方法

摘要： 针对工业互联网中程序的访问控制策略隐藏在源码中难以提取，以及用户的访问操作难以触发所有访问路径而导致逻辑漏洞的通用化检测难以实现的问题，将博弈思想应用于访问控制逻辑漏洞检测中，通过分析不同参与者在Web应用程序中对资源页面的博弈结果来识别漏洞，使得不同用户的访问逻辑能被有针对性地获取。实验结果表明，所提方法在开源的11个程序中检测出31个漏洞，其中8个为未公开的漏洞，漏洞检测覆... （共14页）