逻辑漏洞是由于应用程序逻辑实现中的缺陷导致的，因此应用程序逻辑不是预期的逻辑。确实，这种漏洞模式取决于应用程序的设计和业务逻辑。商业应用程序中没有针对应用程序逻辑漏洞的特定且通用的模式。在这项研究中，引入了一种名为FINAD的方法，该方法使用活动流图（AFG）来检测应用程序逻辑漏洞，以发现已实现的应用程序与其设计之间的不兼容性。在这项工作中，AFG首次由活动图（AD）和控制流程图（CFG）组成。对不同常见类型的应用程序逻辑漏洞的研究表明，可以通过对AFG进行静态分析来检测到大多数此类漏洞。FINAD方法独立于语言，并且可以用于任何编程语言的漏洞检测，前提是AD可用，并且可以创建程序的CFG。FINAD for PHP语言的实现显示了其在CVE漏洞数据库中检测已知逻辑漏洞的有效性。



"点击查看英文标题和摘要"