Bitte warten...
Bitte warten...
English
Hilfe
Login
Forschungsportal
Suche
Forschungsprofile
Forschungsprojekte
Projektvollmacht
Lehre
Forschung
Organisation
SECoverer - Finding Security Vulnerabilities in Web Applications
01.04.2008 - 31.05.2011
Forschungsförderungsprojekt
Webanwendungen haben sich zu einem zentralen Bestandteil des Internets entwickelt. Leider werden diese Programme oft von Entwicklern geschrieben, deren Hauptaugenmerk auf neuen Features liegt und die kaum Erfahrung mit sichrerer Programmierung haben. Daher steigt die Anzahl der Schwachstellen in Webanwendungen stetig. Dazu kommt, dass es kaum Tools gibt, die es erlauben, Schwachstellen automatisch zu finden. Die existierenden Tools verwenden entweder einen Ansatz, bei dem zufälliger Input an Applikationen geschickt wird, oder sie analysieren den Code der Webanwendung. Leider finden diese Tools zur Fehlersuche nur einen kleinen Teil der existierenden Probleme. Während XSS Schwachstellen und SQL Injection Fehler oft leicht gefunden werden können, werden logische Fehler kaum erkannt. Außerdem skalieren die existierenden Programme schlecht und melden zu viele korrekte Codepassagen als fehlerhaft. In diesem Projekt wollen wir eine Analyseplattform entwickeln, die es erlaubt, eine Vielzahl von Fehlern in Webanwendungen automatisiert zu erkennen. Dazu werden wir statische Codeanalyse einsetzen. Dabei ist ein wichtiges Ziel, die Analyse so zu gestalten, dass sie für große, weit verbreitete Anwendungen funktioniert. Das heißt, das System muss Programme verarbeiten können, die viele tausend Zeilen Code haben. Auch muss die Anzahl der falschen Warnungen gering sein. Schlussendlich wollen wir auch logische Programmierfehler entdecken. Unsere geplante Analyseplattform unterstützt eine Reihe von Modulen, die verschiedene Fehlerklassen abdecken. Diese werden in einer einheitlichen Oberfläche zusammengefasst und erlauben es dem Anwender, schnell und effizient Schwachstellen in Webanwendungen zu finden.
Personen
Projektleiter_in
Christian Platzer
(E183)
Subprojektleiter_in
Christopher Krügel
(E183)
Projektmitarbeiter_innen
Ulrich Bayer
(E183)
Manuel Egele
(E183)
Markus Kammerstetter
(E183)
Clemens Kolbitsch
(E183)
Andreas Moser
(E183)
Matthias Neugschwandtner
(E183)
Martin Szydlowski
(E183)
Institut
E183 - Institut für Rechnergestützte Automation
Auftrag/Kooperation
SEC Consult Unternehmensberatung GmbH
Förderungsmittel
FFG - Österr. Forschungsförderungs- gesellschaft mbH (National)
Österreichische Forschungsförderungsgesellschaft mbH (FFG)
Forschungsschwerpunkte
Information and Communication Technology
Schlagwörter
Deutsch
Englisch
Sicherheit
Safety
Web Applications
Web Applicaitons
Publikationen
Publikationsliste
