文件格式漏洞Fuzzing测试技术研究

Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试。并可有效地提高测试效率,最后给出了该工具测试的实例。     

文件格式漏洞Fuzzing测试技术研究

Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试,并可有效地提高测试效率,最后给出了该工具测试的实例。     

基于Fuzzing的ActiveX控件漏洞发掘技术

Fuzzing是一种有效的自动化的漏洞发掘技术,基于Fuzzing漏洞发掘思想,结合对ActiveX控件的研究,设计并实现了一个Windows系统下的ActiveX控件漏洞发掘平台,并改进了Fuzzing数据产生方案。通过对某些第三方软件安装的控件进行测试,发现了两个已知和一个未知的漏洞,提高了漏洞发掘效率。     

基于环境的Fuzzing测试技术

鉴于传统Fuzzing(模糊)测试技术在测试漏洞库中已有漏洞时覆盖率偏低的特点,提出一种基于环境的Fuzzing测试技术.通过提取程序运行所需的操作系统环境、中间件库函数依赖、环境变量等不可信环境因子,构造相应的包含了环境特征的Fuzzing测试用例集.这样的测试用例集合对漏洞库中的已有漏洞表现出了更全面的覆盖,同时还可以有效地发掘未知漏洞.以sftp服务器测试为例,选取Windows平台下的5款sftp服务器软件进行测试,除可以发掘已有漏洞外,还发现了3款软件的3个新漏洞,提交SecurityFocus并通过.     

基于Fuzzing的军用报文软件漏洞发掘技术

分析军用报文格式及其软件特点,给出一种智能强制性Fuzzing测试的畸形数据构造方法。根据Fuzzing技术的原理,设计军用报文软件漏洞发掘系统MTSFuzzer,并对其构架、模块以及关键技术进行描述。测试结果表明,MTSFuzzer能提高军用报文软件漏洞的发掘效率,并且具有较好的可扩展性。     

基于Fuzzing的PNG漏洞挖掘技术

Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。     

针对复合文档的Fuzzing测试技术

Fuzzing 测试是一种自动化软件测试技术,目前广泛应用于发现文件格式、网络协议、WEB 程序、环境变量和COM 对象等的漏洞测试.在针对 Microsoft Office 等复合文档格式软件漏洞的测试中,由于其软件文件格式复杂,暴力Fuzzing 测试效率较低.为了提高这类软件安全测试的效率,提出了一种有针对性的数据构造和测试方法,该方法利用了复合文档结构化存储的特征,实验表明可以有效提高测试效率.     

基于Fuzzing的TFTP漏洞挖掘技术

Fuzzing是一种自动化的漏洞挖掘技术。该文介绍了一种基于Fuzzing的漏洞挖掘思路，并将这一漏洞挖掘思路应用在TFTP协议上。设计并实现了一个针对TFTP服务器的fuzzer工具——tftpServerFuzzer，并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试，发现了8种TFTP服务器的13个安全漏洞，其中未曾公布过的漏洞有7个。该实践结果表明了tftpServerFuzzer的有效性和先进性。     

基于Fuzzing的Web控件漏洞检测改进模型

Web软件安全漏洞层出不穷,攻击手段日益变化,为分析现有的Web控件漏洞检测方法,提出基于Fuzzing测试方法的Web控件漏洞检测改进模型。该系统从功能上分为五大模块进行设计和实现,并结合静态分析与动态分析技术检测WebActiveX控件模型的漏洞,给出"启发式规则"来优化测试数据生成引擎。实例测试结果表明,Web控件漏洞的Fuzzing测试模型是有效和可行的,并能妥善处理好交互性问题。     

基于Fuzz测试的IMS网络SIP漏洞挖掘模型

为有效挖掘3G核心网IP多媒体子系统中SIP流程存在的安全漏洞,提出了一种基于Fuzz测试的SIP漏洞挖掘模型。基于Fuzz漏洞测试方法设计了一种SIP漏洞挖掘模型,设计的初始消息状态转移方法实现了其中的消息注入功能,使漏洞挖掘进入到SIP流程内部,实现了自适应监控功能,针对不同监控内容实施相应的监控方法。仿真结果验证了模型及其功能方法的有效性。     

网络协议的自动化模糊测试漏洞挖掘方法

随着网络应用越来越复杂和重要,对网络协议的安全性要求也越来越高.模糊测试(Fuzz Testing)作为一种重要的测试手段,通过大量数据的注入来测试网络协议的安全,能够发现拒绝服务、缓冲区溢出和格式化字符串等多种重要漏洞.但是手工进行Fuzz Testing需要精确了解网络协议细节并需要繁重的工作来构造大量测试数据集,...     

基于Peach Fuzz的媒体网关安全测试

随着互联网技术和计算机技术的发展,软件在各行各业的应用越来越广泛。随之而来的软件安全问题也越来越突出。在常见的软件安全测试工具中,Peach Fuzz是一款优秀的安全测试工具,能在多种操作系统上运行,支持多种协议的模糊测试。结合媒体网关安全测试工作实践,介绍了Peach Fuzz测试的基本结构和特点;介绍了H.248协议和SCTP协议;叙述了媒体网关的测试模型;详细叙述了基于Peach Fuzz的媒体网关安全测试过程,其主要内容包括搭建和部署Peach Fuzz测试执行机、测试执行机对接测试环境、Peach Fuzz测试套的调试和连跑、Peach Fuzz测试的观测方法、测试结果分析。最后介绍了一个测试案例。工作实践表明采用Peach Fuzz工具进行媒体网关安全测试,有助于提高媒体网关产品的安全可靠性,提升产品质量。     

Multi‐Criteria Usability Evaluation of Electronic Devices in a Fuzzy Environment

The user‐oriented design is the most important competition issue in today's market. In recent years, user‐oriented design (i.e., usability) has become expected, particularly in electronic devices. Usability considers high user satisfaction in conjunction with user performance. Usability of electronic products is essential for high customer satisfaction as well as product life cycles in companies. Therefore, MP3 players were selected among the electronic products. Designing usable MP3 players is extremely important for users who have close interaction with them. In this study, MP3 players of different types and sizes were selected and their usability evaluated. The usability criteria used in the MP3 players' evaluation were divided into two major categories: performance and emotional expectations. The alternatives were ranked with fuzzy multi‐criteria decision‐making methods, namely, Fuzzy TOPSIS (FTOPSIS), Fuzzy Analytic Hierarchy Process (FAHP), and Fuzzy Axiomatic Design Theory (FADT), and the results were compared. Although the same decision matrices and data obtained from semantic differential experiment were used for all fuzzy multi‐criteria decision‐making methods, it is shown that different rankings were obtained. © 2012 Wiley Periodicals, Inc.     

ParaIntentFuzz：安卓应用漏洞的并行化模糊测试方法

权限泄露是安卓应用中较为普遍存在的一类漏洞,可导致较为严重的安全问题,例如“串谋提权”等。通过Intent模糊测试技术发现暴露的组件,是挖掘权限泄露漏洞的有效方法。但是现有Intent模糊测试技术仅限于单机运行,效率低下。提出一种基于动态任务分配的并行模糊测试方法ParaIntentFuzz。该方法通过静态分析提取出安卓应用的extra信息并构造Intent命令,通过Drozer工具给目标应用发送命令,实现了独立的模糊测试,并部署到4台机器上。使用它分析了10 064个Android应用,最后发现有7 367个应用存在权限泄露的问题。     

基于模糊测试的网络协议自动化漏洞挖掘工具设计与实现

文章针对传统网络协议挖掘的缺陷,着重分析了传统网络协议的分析手段、漏洞类型、产生原因和挖掘方法。文章针对传统网络协议挖掘中协议的分析过程不能自动化、构造Fuzz的数据不符合网络协议格式规范和交互的流程导致无法深入快速地进行漏洞挖掘的缺点,提出了一种基于自动化协议分析算法、流量聚类分类算法、深度数据包检测技术、Fuzz技术相互整合的自动化协议分析漏洞挖掘工具设计方案。文章设计了一套自动化协议分析的漏洞挖掘系统,给出了系统的工作流程和组织结构,以及各个模块的功能和相互之间的关系,实现了一个自动化协议分析漏洞挖掘系统的原型。文章的最大创新是通过自动化协议分析、流量聚类分类算法和DPI技术的有机结合,实现了自动化协议分析、自动形成测试路径的网络协议漏洞挖掘技术。     

DVD

刊房；终棘警探；拜见罗宾逊一家；六号出口；完美陌生人。     

The Future Arrives ... Finally

Just as cell phones will soon deliver TV programming and analog TVs will disappear, the PS3 represents another mutation in the evolution of entertainment: game consoles transformed into media centers. Whatever form they might take in 2009, these entertainment systems will be in a world strangely different from 1967, when consoles, the Internet, Wi-Fi, smart cards, DVDs, digital video recorders, MP3 players, and microprocessors had yet to be invented     

Evaluating digital entertainment system performance

Digital entertainment systems - which encompass a broad range of applications, including smart phones, set-top boxes, MP3 players, DVD players and recorders, game consoles, and digital cameras - have become the driving force behind the expansion of the semiconductor market, outstripping even PCs. Consider, for example, that in 2003, smartphones represented about 3 percent of the 500 million mobile phones sold worldwide, with analysts expecting them to grow at triple-digit year-over-year rates. Moving beyond the voice-centric model, more than half of the 600 million mobile phones sold in 2004 included a color display and digital camera. The implementation of more advanced features such as accelerated 2D and 3D graphics, videoconferencing, mobile multimedia, and games has raised the performance requirements of these model. The Embedded Microprocessor Benchmark Consortium's DENBench suite of digital media benchmarks provides a spectrum of tools for assessing and refining the video and audio performance of digital devices.     

Will gesture recognition technology point the way?

When playing most video games, speed is of the essence. Manipulating a joystick, mouse, or other input device slows a player's reaction time. Players prefer to control game activities by movements or gestures. Gesture-recognition systems identify human gestures and use them to convey information such as input data or to control devices and applications such as computers, games, PDAs, browsers, cell phones, and MP3 audio players. Researchers continue to improve gesture-recognition technology - for example, by making algorithms faster, more robust, and more accurate.