Data Modeling for Static Analysis of Web Applications

Abstract

PHP je velmi oblíbený jazyk, často používaný na implementaci serverové části webových aplikací. Jazyk je velmi jednoduchý na používání a i proto je na celém internetu velké množství menších stránek, ale i rozsáhlejších aplikací, napsaných v jazyce PHP. Velká obliba PHP však způsobuje, že mnoho lidí vyhledává jeho slabiny s cílem narušit bezpečnost webových aplikací. Weverca je první nástroj schopný provést komplexní bezpečnostní analýzu celé stránky napsané v moderní verzi PHP a vyhledat informace o možných bezpečnostních rizicích aplikace. Výkon nástroje Weverca je však omezen časovou a paměťovou náročností, která je způsobena neefektivitou reprezentace paměti PHP stránky. Cílem této práce je nalézt a vyřešit hlavní nedostatky původní implementace paměťového modelu. Výsledkem je nová implementace, která minimalizuje nároky původního řešení. Powered by TCPDF (www.tcpdf.org)

The PHP is a very popular language which is used to write a server side part of web applications. The language is very simple to use and there are lots of small or more complex pages across the internet. But the great widespread of the PHP attracts the people which want to harm and compromise security of the web applications. The weverca analyzer is the first tool which is able to perform complex security analysis of a full page written in the modern version of the PHP and give information about possible security risks in the application. But the performance of Weverca is limited by its time and memory complexity caused by inefficient inner representation of a PHP memory state. The goal of this thesis is to find and solve main problems of the original memory representation. The output of this thesis is an implementation of the new memory representation which minimizes the complexity of the original solution. Powered by TCPDF (www.tcpdf.org)