软件漏洞利用缓解及其对抗技术演化

漏洞利用及其缓解技术一直以来都是漏洞攻防研究的热点之一,主流操作系统及重要编译器均提供了对漏洞利用缓解技术的支持。该文总结了近十几年来,堆保护、地址随机化、沙箱保护等相关技术及研究的进展情况。重点探讨了栈保护技术攻防两端,针对GS、SafeSEH等前后历经的三轮对抗过程。围绕ROP、DeActive、Spray等3个方面的突破与反制,详细阐述数据执行保护技术的演化进程。从截断攻击向量的思路出发,从监测数据完整性、破坏可靠利用、防止控制流重定向、隔离故障隐患等角度出发,将目前的利用缓解技术归纳为:数据完整性检测保护、基于内存特征的保护、基于执行控制的保护和基于故障隔离保护等4个方面。由于存在旁路保护不足、综合防护能力较差等问题,现有的漏洞缓解技术在防护数据流劫持,抵御复合攻击向量方面的存在着不足。     

软件演进驱动的按需自动测试

为了及时彻底地测试演进着的软件,提出了软件演进驱动的按需自动测试算法.首先,根据软件演进时源文件的文本更新,通过控制与数据依赖分析识别受影响的语义变化区域,再结合代码安全缺陷分析按需构造精简测试流图.接着,按需符号执行图中各条路径且缺陷关联路径优先,主动探测和求解缺陷触发条件以排除误报,在路径分支点按需克隆执行环境以避免路径前缀的重复执行,并及时求解路径条件以剪除不可行路径.最终,自动生成针对软件更新实现路径覆盖的精简测试例集合.目前已实现了测试工具原型,用其测试了多个开源软件,发现了OpenSSL代码中的真实缺陷.     

软件漏洞分析技术进展

软件漏洞是信息安全问题的根源之一,其造成的危害越来越大,因此软件漏洞分析逐渐成为信息安全理论研究和实践工作中的一个热门领域。该文首先定义了软件漏洞和软件漏洞分析技术,在此基础上,提出了软件漏洞分析技术体系,并对现有技术进行了分类和对比,归纳出了该领域的科学问题、技术难题和工程问题,最后展望了软件漏洞分析技术的未来发展。     

WebView组件漏洞自动化检测与验证方法

Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.