共查询到20条相似文献,搜索用时 46 毫秒
1.
2.
3.
Fuzzing 测试是一种自动化软件测试技术,目前广泛应用于发现文件格式、网络协议、WEB 程序、环境变量和COM 对象等的漏洞测试.在针对 Microsoft Office 等复合文档格式软件漏洞的测试中,由于其软件文件格式复杂,暴力Fuzzing 测试效率较低.为了提高这类软件安全测试的效率,提出了一种有针对性的数据构造和测试方法,该方法利用了复合文档结构化存储的特征,实验表明可以有效提高测试效率. 相似文献
4.
鉴于传统Fuzzing(模糊)测试技术在测试漏洞库中已有漏洞时覆盖率偏低的特点,提出一种基于环境的Fuzzing测试技术.通过提取程序运行所需的操作系统环境、中间件库函数依赖、环境变量等不可信环境因子,构造相应的包含了环境特征的Fuzzing测试用例集.这样的测试用例集合对漏洞库中的已有漏洞表现出了更全面的覆盖,同时还可以有效地发掘未知漏洞.以sftp服务器测试为例,选取Windows平台下的5款sftp服务器软件进行测试,除可以发掘已有漏洞外,还发现了3款软件的3个新漏洞,提交SecurityFocus并通过. 相似文献
5.
6.
7.
随着信息化和工业化的深度融合,工业物联网网络协议安全问题日益突出。现有网络协议漏洞挖掘技术以特征变异和模糊测试为主,存在依赖专家经验和无法突破未知协议的局限。针对工业物联网协议的漏洞挖掘挑战,文中从漏洞检测规则的自动化分析与生成展开研究,提出基于生成对抗网络与变异策略结合的网络协议漏洞挖掘方法。首先,采用一种基于生成对抗网络的网络协议分析模型,通过对报文序列进行深层信息挖掘,提取报文格式及相关特征,实现对网络协议结构的识别。然后,结合基于变异算子库指导的迭代变异策略,构建有导向性的测试用例生成规则,缩短漏洞发现的时间;最终,形成面向未知工控网络协议的自动化漏洞挖掘方法,满足现有工控应用领域对协议自动化漏洞挖掘的需求。基于上述方法,对两种工控协议(Modbus-TCP和S7)进行测试,并对生成用例的测试接收率、漏洞检测能力、用例生成时间及其多样性方面进行了评估。实验结果表明,所提方法在TA指标上高达89.4%,本方法检测模拟系统ModbusSlave的AD指标为6.87%,缩短了有效用例的生成时间,提升了工控协议漏洞挖掘的效率。 相似文献
8.
网络协议软件部署和应用非常广泛, 在网络空间提供了诸如通信、传输、控制、管理等多样化的功能. 近年来, 其安全性逐渐受到学术界和工业界的重视, 及时发现和修补网络协议软件漏洞, 成为一项重要的课题. 网络协议软件由于部署形态多样、协议交互过程复杂、相同协议规范的多个协议实现存在功能差异等特点, 使得其漏洞挖掘技术面临诸多挑战. 首先对网络协议软件漏洞挖掘技术进行分类, 对已有关键技术的内涵进行界定. 其次, 进一步综述网络协议软件漏洞挖掘4个方面的技术进展, 包括网络协议描述方法、挖掘对象适配技术、模糊测试技术和基于程序分析的漏洞挖掘方法, 通过对比分析归纳不同方法的技术优势及评价维度. 最后, 总结网络协议软件漏洞挖掘的技术现状和挑战, 并提炼5个潜在研究方向. 相似文献
9.
10.
11.
项巧莲 《数字社区&智能家居》2008,(3):1259-1261
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试。并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
12.
XIANG Qiao-lian 《数字社区&智能家居》2008,(7)
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试,并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
13.
14.
Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。 相似文献
15.
Fuzzing测试是一种基于缺陷注入的自动软件测试技术.近几年来,广泛应用于软件测试、安全漏洞挖掘等领域.Peach 是基于Fuzzing技术实现的跨平台测试框架,具有灵活性、可重用等特点,是Fuzzing测试的代表工具之一.Fuzzing测试要求对测试用例进行优化来提高测试效率,对Peach的样本优化工具minset... 相似文献
16.
17.
18.
Fuzzing是一种自动化的漏洞挖掘技术。该文介绍了一种基于Fuzzing的漏洞挖掘思路,并将这一漏洞挖掘思路应用在TFTP协议上。设计并实现了一个针对TFTP服务器的fuzzer工具——tftpServerFuzzer,并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试,发现了8种TFTP服务器的13个安全漏洞,其中未曾公布过的漏洞有7个。该实践结果表明了tftpServerFuzzer的有效性和先进性。 相似文献
19.
对存在的多维Fuzzing技术中使用的遗传算法不能表示多种输入类型元素,不能充分使用已得到知识从而大大降低了基于知识的多维Fuzzing技术中提出的多维Fuzzing技术挖掘的漏洞的范围和能力,设计了一个包含选择、交叉、变异、修补等操作的可以表示大多数输入元素类型的遗传算法,提出一种多个输入元素的小染色体级连成一个大染色体,大染色体的遗传算子操作分解到各个小染色体之间操作的编码及操作方案,针对字符串型输入元素,提出一套可变长染色体的实值编码及操作方法.漏洞挖掘实验结果显示应用论文设计的遗传算法的多维Fuzzing技术具有更好的漏洞挖掘能力和更好的漏洞挖掘效率. 相似文献