《表4 测试集对照实验结果Table 4 Test set controlled experiment result》
提示:宽带有限、当前游客访问压缩模式
评价安全漏洞分析系统的优劣一般基于两项标准:False Positive(误报率)和False Negative(漏报率)。本研究目前主要针对Java EE项目,因此测试集选择开源或可以获得源码的Java EE应用。本研究将OWASP BWAP(OWASP broken web applications project)30个源代码项目中含注入类漏洞的Web应用的逻辑抽取出来,用Java EE重新实现,形成测试集。测试项目集中存在可能的注入类安全漏洞有13处,其中5处是安全的,7处存在攻击向量,1处不存在攻击向量,但存在可用性安全漏洞,7个安全漏洞中有1个是二阶注入漏洞。用于对比测试的分析工具选择知名的安全代码静态分析商业工具HP Fortify。HP Fortify在国内电子金融、电子政务系统以及安全评测机构中广泛部署,用于对比的HP Fortify内核版本号为5.15.0.0060。评测结果如表4所示。
| 图表编号 | XD002507500 严禁用于非法目的 |
|---|---|
| 绘制时间 | 2018.01.20 |
| 作者 | 孙基男、潘克峰、陈雪峰、张君福 |
| 绘制单位 | 北京大学软件工程国家工程研究中心、北京大学软件工程国家工程研究中心、卫士通信息产业股份有限公司北京总部、北京大学软件工程国家工程研究中心、北京大学软件工程国家工程研究中心、北京北大软件工程股份有限公司 |
| 更多格式 | 高清、无水印(增值服务) |
