基于软件体系结构分析的漏洞挖掘技术研究

为了提高漏洞挖掘效率,在软件体系结构的基础上,结合符号执行、污点分析和模糊测试中的优点,设计并实现了基于软件体系结构分析的漏洞挖掘系统Fast Fuzzing。该系统主要由体系结构分析、指令追踪、符号执行、污点分析和动态测试五个模块组成,为提高系统效率,系统针对传统技术方法进行了优化处理。实验结果表明Fast Fuzzing系统能够有效发现IE8和IE10中的安全问题,成功触发了IE8和IE10中的多个漏洞,适用于常用软件的安全测试。     

基于控制流序位比对的智能Fuzzing测试方法

在国际前沿技术EFS(evolutionary fuzzing system)的研究基础上,提出基于控制流序位比对算法的智能Fuzzing测试方法。根据遗传算法的内在属性演算得到基于序列比对的适应度函数,并有效地计算出需要搜索的程序逻辑空间。最后给出了该方法与2种传统Fuzzing方法的测试性能的实验结果比对,证明了该方法能够充分利用遗传算法属性中并行性进行智能地程序逻辑学习,具有逻辑覆盖面广、搜索导向性强的优点,能够提高漏洞挖掘能力。     

Android平台NFC应用漏洞挖掘技术研究

为了提高NFC技术的安全性,针对Android平台NFC应用进行NDEF协议漏洞挖掘研究,提出了一种基于Fuzzing技术的测试方法。该方法采用手工、生成和变异3种策略构造测试用例,使用报文逆向分析和嗅探2种手段辅助分析并构造报文;然后,利用构造的测试用例对NFC应用目标进行漏洞挖掘并输出结果。根据该方法,开发了一个NFC应用安全漏洞挖掘系统ANDEFVulFinder,采用logcat和进程监控的手段在漏洞挖掘过程中对目标进行监测,并通过模拟标签和触碰操作实现漏洞挖掘过程自动化。最后,通过测试MIUI系统和6个应用,发现了8个漏洞,结果表明了漏洞挖掘方法的有效性。     

Web应用程序客户端恶意代码技术研究与进展

随着Web应用程序特别是Web 2.0应用的日益广泛,针对Web应用程序的恶意代码开始大肆传播,成为网络安全的重大威胁.本文首先介绍了目前Web应用程序面临的威胁状况,然后讨论了Web应用程序客户端恶意代码技术以及Web浏览器的漏洞研究和利用技术,最后对Web应用程序客户端恶意代码技术的发展趋势进行了展望,并给出了Web应用程序客户端安全的加固策略.     

基于网络爬虫与页面代码行为的XSS漏洞动态检测方法

XSS漏洞是攻击Web应用程序、获取用户隐私数据的常见漏洞.传统的XSS漏洞检测工具并没有对AJAX Web应用程序进行针对性的检测,在检测精度方面与实际情况存在巨大差距.针对这种情况,对AJAX技术下XSS漏洞的特点进行了分析,提出了一种基于网络爬虫与页面代码行为的动态检测方法.实验结果表明,提出的方法在节省人力、时间成本与漏洞检测方面有较好的表现.     

EWFT:基于程序执行过程的白盒测试工具

应用动态测试技术检测二进制程序的脆弱性是当前漏洞挖掘领域的研究热点.本文基于动态符号执行和污点分析等动态分析技术,提出了程序路径空间的符号模型的构建方法,设计了PWA(Path Weight Analysis)覆盖测试算法,实现了EWFT(Execution-based Whitebox Fuzzing Tool)原型工具.实验测试结果表明,EWFT提高了程序执行空间的测试覆盖率和路径测试深度,相比国际上同类测试工具,能够更加有效地检测出不同软件中存在的多种类型的程序漏洞.     

基于遗传算法和Fuzzing技术的Web应用漏洞挖掘研究

在网络快速发展普及的形势下,以B/S架构为基础的Web应用系统备受青睐,开始实现广泛应用,而网络用户的大部分个人隐私信息,是通过Web应用,加以传输并处理,从而导致Web应用演变成了网络攻击的重灾区域。所以,构建健全的、有效的Web应用漏洞挖掘机制,以便于可以及时发现其中存在的安全性问题,在一定程度上避免被恶意攻击。据此,文章主要对基于遗传算法和Fuzzing技术的Web应用漏洞挖掘进行了深入探究。     

一种基于遗传算法的Fuzzing测试用例生成新方法

本文根据传统漏洞挖掘Fuzzing技术的特点,针对其存在的不能求解非线性解和只能有单个的输入的问题,提出了一种基于遗传算法的漏洞挖掘测试用例生成的新方法.该方法能够利用遗传算法的优势,同时可以应对多输入测试用例问题和非线性求解问题.从自测程序的结果看出,相比于传统随机生成Fuzzing测试用例的方法,本方案在效率和覆盖率方面具有明显的提高.     

探讨如何应对基于PHP技术开发的Web应用程序漏洞

目前在网络技术开发当中已经广泛应用Web应用程序,然而该程序在应用期间存在漏洞问题,因此需要借助PHP技术为Web应用程序提供服务端脚本语言,全面加强网络信息安全性。此次研究主要分析了Web应用程序漏洞问题,并且研究了PHP文件上传技术的应用,在此基础之上提出避免文件上传漏洞的有效措施,希望可以为Web应用程序的开发研究提供重要依据。     

XSS攻击分析与防御机制研究

XSS(跨站脚本)漏洞是一种Web应用程序安全漏洞,常被黑客用来对Web用户发起攻击。本文主要介绍了XXS漏洞产生原理,分析了XXS攻击的三种类型,然后针对XSS攻击的防御方法进行了介绍,主要介绍了基于特征的防御、基于代码修改的防御和客户端分层防御三种防御方法,最后简要介绍了XSS防御的发展趋势。