|
1.
|
一种目标导向的多线程程序UAF漏洞预测方法
|
|
|
|
|
|
|
鲁法明 唐梦凡 包云霞 曾庆田 李彦成《软件学报》,2023年第34卷第7期
|
|
|
Use-After-Free (UAF)漏洞是多线程程序的常见并发缺陷.预测性UAF漏洞检测方法因兼顾误报率和漏报率而备受关注.然而,已有的预测性UAF检测方法未结合待检测目标作针对性优化,当程序规模大或行为复杂时会导致检测效率低下.为解决上述问题,本文提出一种目标导向的多线程程序UAF漏洞检测方法.首先,由程序运行轨迹挖掘程序的Petri网模型;之后,针对每一个潜在可构成UAF漏洞的内存Free/Use操作对,以触发该漏洞为目标导向,在程序的Petri网模型中添加保持操作间因果约束和数据一致性的行为控制结构,在此基础上设计一种基于Petri网反向展开的UAF漏洞检测方法.该方法每次只针对一个潜在的UAF漏洞有针对性地验证其真实性,从而保证检测的效率.与此同时,为减少待检测的潜在UAF漏洞数量,提出一种新型向量时钟进行Free操作与Use操作间的因果关系自动识别,据此对潜在的UAF漏洞进行筛选.结合多个程序实例对所提方法进行了实验评估.实验结果表明,所提方法在检测的效率和准确性方面较主流方法有所提高.
|
|
2.
|
基于动态污点分析的DOM XSS漏洞检测算法
|
|
|
|
|
|
|
李洁 俞研 吴家顺《计算机应用》,2016年第36卷第5期
|
|
|
针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox SpiderMonkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和SpiderMonkey字符串编码格式的修改可以完成污点数据标记;遍历JavaScript指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%。
|
|
3.
|
轻量级脚本引擎的设计与实现
|
|
|
|
|
|
|
张贝克 符盛宝《微型机与应用》,2011年第30卷第15期
|
|
|
通过嵌入脚本引擎为应用程序提供脚本支持是实现应用程序可定制和可扩展的有效方法,但现存的脚本语言难于掌握,引擎庞大使应用程序的效率降低。为了解决该问题,设计了语法简单易学的脚本语言Vblet,实现了Vblet的轻量级脚本引擎。该引擎支持脚本无缝地使用应用程序实现的类和函数,并具有很好的性能。
|
|
4.
|
Script.NET在企业报警监控系统的应用
|
|
|
|
|
|
|
何圣华 张严林 吴宝健 王建宣《自动化与信息工程》,2009年第30卷第4期
|
|
|
介绍一种通过脚本引擎和脚本语言来扩展.NET框架上运行的应用程序功能和灵活性的办法。介绍了Script.NET脚本语言以及编写一个典型脚本程序的步骤,通过Script.NET在某大型水厂报警监控系统应用的例子,描述了.NET框架上运行的应用程序调用Script.NET的一般步骤,并说明了脚本验证的方法及如何利用C#的反射机制在Script.NET中引入自定义的类和函数来扩展脚本语言功能的方法。
|
|
5.
|
恶意脚本程序研究以及基于API HOOK的注册表监控技术 被引次数:1
|
|
|
|
|
|
|
李珂洓 宁超《计算机应用》,2009年第29卷第12期
|
|
|
恶意脚本病毒具有自我复制、传播和破坏等行为,对当前计算机网络信息环境具有极大的危害性与破坏力.利用恶意脚本程序的一个重要特征(篡改用户注册表数据)对其进行监控,提出了一种基于API HOOK的注册表监控方案.该方案以注册表为监控点,利用API HOOK技术,通过修改系统服务调度表中系统服务程序的入口地址,实现恶意脚本的检测与防范.该方案运用特定的逻辑和特征判断,可实现监控和保护注册表中用户特定的键值.
|
|
6.
|
脚本编程在机房管理中的应用
|
|
|
|
|
|
|
罗盛章《电脑与信息技术》,2011年第19卷第3期
|
|
|
利用Windows提供的脚本引擎、Visual Basic脚本语言和微软Java脚本语言,可以容易地进行编程应用或嵌入到应用程序中。我们通过脚本编程,实现控制学生上网,达到激励学生学习的目的;通过编程,达到对磁盘、文件的及时清理,选择程序启动的目的。
|
|
7.
|
Java应用程序安全分析研究
|
|
|
|
|
|
|
管铭 赵朋《信息安全与通信保密》,2007年第5期
|
|
|
使用静态分析方法检测应用程序安全漏洞的基础是精确的上下文敏感别名分析信息。论文研究了一种基于数据库概念的Java语言上下文不敏感别名分析算法,并讨论了Reduced Ordered Binary Decision Diagrams(ROBDDs)在该算法实现上的应用,最后给出了上下文的克隆处理方法和整个上下文敏感别名分析的框架。
|
|
8.
|
10Gb/s线速可扩展P2P流量识别引擎
|
|
|
|
|
|
|
范红永 张进 刘勤让 汪斌强《电子技术应用》,2008年第34卷第2期
|
|
|
通过引入流特征统计和深度数据包检测相结合的思想,设计了一种可扩展的10Gb/s线速P2P流量识别引擎,给出了该引擎的硬件实现方案,详细介绍了方案中已知流过滤、传输层特征统计、净荷关键词匹配等核心部分的实现。测试表明,该引擎可完全实现10Gb/s速率下的P2P流量线速识别,识别准确率大于95%。
|
|
9.
|
一种基于Proxy的Web应用安全漏洞检测方法及实现 被引次数:3
|
|
|
|
|
|
|
王鹃 李俊娥 刘珺《武汉大学学报(工学版)》,2005年第38卷第5期
|
|
|
指出了Web应用中存在的各种安全漏洞,在分析并总结Web应用安全漏洞特点的基础上,设计了一种基于Proxy的Web应用安全漏洞检测方法,该方法可以用来检测一些常见的Web应用安全漏洞,如参数篡改、跨站点脚本漏洞等.给出了利用该方法检测SQL代码插入、跨站点脚本算法的JAVA语言实现.
|
|
10.
|
GKD-Base中对象解析机制的设计与实现
|
|
|
|
|
|
|
陈浩 熊伟 吴秋云 陈宏盛《计算机工程》,2006年第32卷第14期
|
|
|
在国产数据库管理系统GKD-Base内核上,兼容Oracle PL/SQL V8.0 语言规范,基于PL/SQL引擎,从编译的角度提出了一套解析和标识Oracle PL/SQL程序中对象的解决方案。依据这套解析机制,可以在GKD-Base中引入面向对象的概念,实现了对数据库中对象的编译,支持对象的继承和多态性。从而进一步扩展了GKD-Base的功能。
|
|
11.
|
脚本程序安全漏洞的动态防御方法
|
|
|
|
|
|
|
史伟奇《计算机工程与设计》,2007年第28卷第17期
|
|
|
脚本程序漏洞经常引起安全问题,导致出现网络攻击.对常见脚本程序漏洞进行了分类研究,分析了漏洞产生机理,总结出参数引用(参数未过滤、数据未判断、数据未过滤)和逻辑考虑不足(逻辑推理缺陷、逻辑运算符滥用)两类主要的脚本安全问题.在此基础上,提出一种针对脚本源代码漏洞的动态防御方法,阐明了防御原理及方法,设计了攻击字符库.实验表明,该方法可以有效地防范脚本漏洞攻击,提高了Web系统的安全性.
|
|
12.
|
基于脚本语言的雷达故障诊断通用平台设计 被引次数:1
|
|
|
|
|
|
|
李志华 沈祖诒《计算机工程与设计》,2008年第29卷第4期
|
|
|
构建了一种新型的雷达故障诊断通用测试平台,它基于通用仪表及脚本描述语言.利用通用的XML模型描述语言和数据文件描述雷达各模块的静、动态模型及结构框图.利用脚本描述语言编制雷达故障诊断策略,使平台能适应不同雷达故障诊断需求,用BNF给出了主要描述语句的文法.在系统中,描述语言的使用使得系统能很容易地针对不同的雷达故障现象编制诊断策略.说明了平台的架构,解释了脚本语言引擎与其它构件间的关系,并举例说明了脚本语言使用方法.
|
|
13.
|
程序漏洞:原因、利用与缓解——以C和C++语言为例
|
|
|
|
|
|
|
陈小全 薛锐《信息安全学报》,2017年第2卷第4期
|
|
|
程序中存在的漏洞是针对程序的各种攻击事件的根源,攻击者可以利用这些漏洞改变程序的行为或完全控制程序。本文以C语言和C++语言为例循序渐进地阐明了程序中漏洞产生的根本原因,并对利用这些漏洞实施的攻击进行了深入地分析和探讨,同时也指出了当前主要的漏洞检测和漏洞阻止技术的优势和不足。最后,我们提出了对程序进行持续的和全面的内存布局多样性的未来研究方向。
|
|
14.
|
基于WSH病毒案例的研究与防范
|
|
|
|
|
|
|
赵芳婷 岳晓光 刘志刚《计算机与现代化》,2012年第4期
|
|
|
当前WSH宿主脚本语言在中小型应用程序中没有得到充分利用,本文采用WSH与语言无关且有丰富的对象的特性,利用VBScript与JavaScript脚本语言编写典型实例,详细分析WSH病毒程序设计思路与传播途径,提出较好的防范脚本病毒程序的措施。经实践验证,该方法有效地防范了脚本病毒在计算机网络中的传播几率。
|
|
15.
|
一种数据流相关过滤器自动插入的注入入侵避免方案
|
|
|
|
|
|
|
尹中旭 张连成《计算机科学》,2019年第46卷第1期
|
|
|
注入类漏洞是动态Web应用程序中广泛存在的漏洞。文中对注入漏洞产生和利用的必要条件进行分析,并利用相关方法针对注入变量的不同类型(数字型、字符型和搜索型)进行区分防范;对宿主语言和对象语言进行分析,定位出了SQL语句中的查询变量及其类型;在控制流图的基础上,构建了包含source点和sink点的数据依赖关系子图;针对该子图,设计了过滤器插入算法,定义了不同输入数据类型和查询类型的过滤策略;随后,实现了基于数据流分析以及在相关数据库操作之前自动插入过滤器的方案;最后对提出的方案进行了分析测试,结果验证了所提方案的有效性。
|
|
16.
|
通用有源滤波器UAF42的CAD软件-FILTER42 被引次数:3
|
|
|
|
|
|
|
邓勇 刘琪 施文康《国外电子元器件》,2001年第11期
|
|
|
UAF42是美国B-B公司生产的通用有源滤波器,通过它可方便地设计出低通,高通,带通和带阻等滤波器。另外,B-B公司还为UAF42专门提供了一个CAD软件FILTER42来对UAF42进行滤波器设计。文中介绍了UAF42的内部结构和原理,并重点给出了利用FILTER42软件设计各种滤波器参数的方法。
|
|
17.
|
一种包含异常处理结构的面向对象切片方法
|
|
|
|
|
|
|
郝杰 姜淑娟《微电子学与计算机》,2012年第29卷第3期
|
|
|
针对面向对象语言的特点,结合异常处理机制,对传统的系统依赖图(SDG图)进行了扩展,实现了面向对象的系统依赖图(OSDG图).改进后的OSDG图可以很好地支持继承和多态等特征,并能处理多态对象抛出和处理异常所带来的数据和控制依赖关系.通过传统的程序切片算法,可以在OSDG上切出较为精确的切片.
|
|
18.
|
一种Java API文档对异常描述不一致的自动检测方法
|
|
|
|
|
|
|
古睿航 周宇《计算机应用研究》,2017年第34卷第7期
|
|
|
应用程序编程接口(Application Programming Interface,API)在软件开发以及代码复用中有着重要作用。然而,API代码和文档存在的不一致情况会误导API的使用者并降低软件开发效率及其稳定性等。针对Java API异常代码及其文档描述不一致的情况,提出了一种基于静态分析代码语法树及方法之间的调用关系的自动检测方法,为验证方法的有效性,利用JDK中的API源代码包及其相应文档作为测试对象根据实验结果。本方法的检测结果能达到71.5%的准确率以及85.9%的召回率,能够较为准确地识别API文档对程序异常描述不一致问题,对API文档的编写和维护具有指导性意义。
|
|
19.
|
过程间分析中别名变量对的检测与处理
|
|
|
|
|
|
|
谢卫 李胜利《计算机工程与应用》,1993年第3期
|
|
|
在程序的过程间分析中,为保证程序语义上的正确,需要对列名变量对进行检测和处理。在本文中,我们详细地讨论了别名变量的引入及其传播方式,同时给出了一个有效的检测与处理算法。
|
|
20.
|
SQL Server 2008的更改数据捕获:崭新的异步CDC解决方案能够提高性能
|
|
|
|
|
|
|
Derek Comingore 徐瑾《Windows IT Pro Magazine》,2009年第4期
|
|
|
SQL Server 2008关系型数据库引擎新增了一个内置的异步CDC功能,它是为消费应用程序提供数据变更检测及处理的组件。有了这项功能,我们不必再创建或实施检测数据更改的定制解决方案。而且它能够提供更好的性能。
|
