共查询到17条相似文献,搜索用时 47 毫秒
1.
项巧莲 《数字社区&智能家居》2008,(3):1259-1261
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试。并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
2.
XIANG Qiao-lian 《数字社区&智能家居》2008,(7)
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试,并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
3.
4.
鉴于传统Fuzzing(模糊)测试技术在测试漏洞库中已有漏洞时覆盖率偏低的特点,提出一种基于环境的Fuzzing测试技术.通过提取程序运行所需的操作系统环境、中间件库函数依赖、环境变量等不可信环境因子,构造相应的包含了环境特征的Fuzzing测试用例集.这样的测试用例集合对漏洞库中的已有漏洞表现出了更全面的覆盖,同时还可以有效地发掘未知漏洞.以sftp服务器测试为例,选取Windows平台下的5款sftp服务器软件进行测试,除可以发掘已有漏洞外,还发现了3款软件的3个新漏洞,提交SecurityFocus并通过. 相似文献
5.
6.
Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。 相似文献
7.
Fuzzing 测试是一种自动化软件测试技术,目前广泛应用于发现文件格式、网络协议、WEB 程序、环境变量和COM 对象等的漏洞测试.在针对 Microsoft Office 等复合文档格式软件漏洞的测试中,由于其软件文件格式复杂,暴力Fuzzing 测试效率较低.为了提高这类软件安全测试的效率,提出了一种有针对性的数据构造和测试方法,该方法利用了复合文档结构化存储的特征,实验表明可以有效提高测试效率. 相似文献
8.
9.
10.
11.
Fuzzing测试是一种基于缺陷注入的自动软件测试技术.近几年来,广泛应用于软件测试、安全漏洞挖掘等领域.Peach 是基于Fuzzing技术实现的跨平台测试框架,具有灵活性、可重用等特点,是Fuzzing测试的代表工具之一.Fuzzing测试要求对测试用例进行优化来提高测试效率,对Peach的样本优化工具minset... 相似文献
12.
为解决软件生产过程中存在的测试时间过长而导致成本急剧增长的问题,针对基于动静结合的Fuzzing方法中存在的缺陷,提出了基于控制依赖路径覆盖的Fuzzing模型。在该模型中,动态测试目标为静态分析提取的脆弱性语句。设计了一种基于两层相似度的适应度函数来指导遗传算法搜索覆盖控制依赖路径的测试用例,并在该测试用例基础上生成Fuzzing测试用例来验证脆弱性语句中的脆弱性,排除误报的脆弱性语句。该模型将有限的测试资源放在最可能出现漏洞的代码上,从而达到在增强Fuzzing方向性并保持高度自动化的同时提高测试效率的目的。 相似文献
13.
Fuzzing技术是现阶段用于漏洞挖掘的主流技术,目前绝大多数的软件漏洞都是利用该技术发现的。但是Fuzzing技术存在的一个主要问题是其会产生大量的crash样本,如何对这些crash样本进行快速的分析分类,是当前基于Fuzzing技术进行漏洞挖掘工作所面临的主要问题。针对crash可利用性分析的研究,首先,总结了导致程序crash的原因并对其分析技术发展的现状进行了概述;其次,着重分析了当前利用动态污点分析和符号执行等技术进行crash可利用性判定的4种有效分析方法;最后,对比了这4种方法之间的差异,并探讨了crash可利用性分析技术未来的发展方向及趋势。 相似文献
14.
15.
ActiveX控件以其跨平台、简单易用的特点被广泛应用于其他应用程序,例如大型统计软件、网上银行安全控件等。因此,其安全问题也越来越值得关注。目前针对ActiveX控件的漏洞挖掘的主要方法是模糊测试,但模糊测试的局限性会造成漏报。文章基于动态污点分析的ActiveX漏洞挖掘工具CMPTracer,分析可控数据在ActiveX控件内部的处理流程,反馈出程序内部进行正确性检测的指令,进而指导测试数据的修改,得以测试程序深层的处理逻辑。经过试验比对发现,CMPTracer可以降低漏洞挖掘过程中的漏报率,能够发现普通模糊测试工具遗漏的安全漏洞。 相似文献
16.
随着技术的进步,Windows操作系统日益完善,多种内存保护技术的结合使得传统的基于缓冲区溢出攻击越来越困难,在这种情况下,内核漏洞往往可以作为突破安全防线的切入点.该论文首先分析了现有Windows内核漏洞挖掘方法,阐述了Windows内核下进行Fuzzing测试的原理和步骤,针对Windows win32k.sys对窗口消息的处理、第三方驱动程序对IoControlCode的处理、安全软件对SSDT、ShadowSSDT函数的处理,确定数据输入路径,挖掘出多个内核漏洞,验证了该方法的有效性. 相似文献
17.
Fuzzing是一种自动化的漏洞挖掘技术。该文介绍了一种基于Fuzzing的漏洞挖掘思路,并将这一漏洞挖掘思路应用在TFTP协议上。设计并实现了一个针对TFTP服务器的fuzzer工具——tftpServerFuzzer,并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试,发现了8种TFTP服务器的13个安全漏洞,其中未曾公布过的漏洞有7个。该实践结果表明了tftpServerFuzzer的有效性和先进性。 相似文献