SECoverer - Finding Security Vulnerabilities in Web Applications

01.04.2008 - 31.05.2011
Forschungsförderungsprojekt
Webanwendungen haben sich zu einem zentralen Bestandteil des Internets entwickelt. Leider werden diese Programme oft von Entwicklern geschrieben, deren Hauptaugenmerk auf neuen Features liegt und die kaum Erfahrung mit sichrerer Programmierung haben. Daher steigt die Anzahl der Schwachstellen in Webanwendungen stetig. Dazu kommt, dass es kaum Tools gibt, die es erlauben, Schwachstellen automatisch zu finden. Die existierenden Tools verwenden entweder einen Ansatz, bei dem zufälliger Input an Applikationen geschickt wird, oder sie analysieren den Code der Webanwendung. Leider finden diese Tools zur Fehlersuche nur einen kleinen Teil der existierenden Probleme. Während XSS Schwachstellen und SQL Injection Fehler oft leicht gefunden werden können, werden logische Fehler kaum erkannt. Außerdem skalieren die existierenden Programme schlecht und melden zu viele korrekte Codepassagen als fehlerhaft. In diesem Projekt wollen wir eine Analyseplattform entwickeln, die es erlaubt, eine Vielzahl von Fehlern in Webanwendungen automatisiert zu erkennen. Dazu werden wir statische Codeanalyse einsetzen. Dabei ist ein wichtiges Ziel, die Analyse so zu gestalten, dass sie für große, weit verbreitete Anwendungen funktioniert. Das heißt, das System muss Programme verarbeiten können, die viele tausend Zeilen Code haben. Auch muss die Anzahl der falschen Warnungen gering sein. Schlussendlich wollen wir auch logische Programmierfehler entdecken. Unsere geplante Analyseplattform unterstützt eine Reihe von Modulen, die verschiedene Fehlerklassen abdecken. Diese werden in einer einheitlichen Oberfläche zusammengefasst und erlauben es dem Anwender, schnell und effizient Schwachstellen in Webanwendungen zu finden.

Personen

Projektleiter_in

Subprojektleiter_in

Projektmitarbeiter_innen

Institut

Auftrag/Kooperation

  • SEC Consult Unternehmensberatung GmbH

Förderungsmittel

  • Österreichische Forschungsförderungsgesellschaft mbH (FFG) (National) Österreichische Forschungsförderungsgesellschaft mbH (FFG) Fördergeber Typ Forschungsförderungsinstitutionen

Forschungsschwerpunkte

  • Information and Communication Technology

Schlagwörter

DeutschEnglisch
SicherheitSafety
Web ApplicationsWeb Applicaitons