浅谈ActiveX控件漏洞及安全防范

ActiveX控件多是第三方开发,并嵌入到IE浏览器中使用,存在很多安全漏洞并广泛被黑客利用。本文从ActiveX控件的工作原理分析了漏洞产生的原因,讨论了其漏洞产生的危害,并对ActiveX控件漏洞的安全防范进行了深入探讨。     

浅谈Flash应用程序漏洞挖掘要点与利用分析

当前,Flash漏洞严重威胁了Web系统,本文重点分析了常见的Flash漏洞,并就Flash漏洞挖掘技术及其利用进行了探讨,以确保Flash在网络应用中更安全、更可靠。     

基于程序流程控制漏洞挖掘技术研究

随着计算机扮演着越来越重要的角色,计算机安全问题也越加凸显。计算机安全问题不仅涉及个人和企业利益,而且关乎国家安全。信息系统软件漏洞危害大、范围广,是病毒、木马等的直接载体,因此软件漏洞挖掘也是信息安全研究中的重要领域。文中提出了一种将静态分析和动态监测相结合的漏洞挖掘技术方案,通过对windows下多款软件进行测试,发现了windows平台下的多个漏洞,其中有3个被中国国家信息安全漏洞库(CNNVD)收录,证明了用这种软件控制挖掘技术来寻找漏洞是有效性。     

面向JRENative漏洞的寄存器符号化监测

Java语言是最为流行的编程语言之一,拥有非常大的用户群,其安全问题十分重要,其中JRENative漏洞逐渐成为研究热门。本项研究基于符号执行技术提出一种寄存器符号化监测方法,选取符号执行平台S2E作为漏洞挖掘工具,并且实现了针对JRENative漏洞挖掘的辅助插件SymJava和SymRegMonitor,基于OpenJDK和OracleJRE逆向代码进行源代码白盒审计并构建了用于进行漏洞挖掘的Java测试用例,最后对36个调用JavaNativeAPI的Java测试用例进行测试,发现了6个JRENative安全隐患,其中2个可被攻击者恶意利用。     

软件漏洞智能化挖掘技术研究进展

软件规模的不断扩大和新技术平台的发展对软件漏洞挖掘方法提出了新的挑战。在突破漏洞挖掘技术瓶颈的过程中,研究人员将机器学习方法应用于漏洞挖掘,利用机器学习模型自动学习代码的深层语法和语义规律,以提高漏洞挖掘的智能化水平和有效性,软件漏洞智能化挖掘技术已成为当前研究的热点。围绕软件漏洞智能化挖掘技术的研究展开分析,从静态挖掘和动态挖掘2个方面,对机器学习与漏洞挖掘技术结合的研究进行了深入分析。在漏洞智能化静态挖掘方面,从基于代码度量、基于代码模式和基于代码相似性3个方面梳理了现有研究工作;在漏洞智能化动态挖掘方面,则分类阐述了机器学习方法与动态挖掘方法结合的相关研究。依据对现有工作的总结,对未来漏洞智能化挖掘的发展趋势进行了展望。     

面向工业互联网环境的模糊测试系统设计研究与实现

针对工业互联网环境下漏洞发现技术进行了研究,文章首先分析工业互联网安全问题、安全态势并介绍典型的工控系统漏洞,然后介绍常用的网络安全漏洞挖掘方法即模糊测试法,同时分析常用的模糊测试开源框架,在此基础上,文章设计并实现了面向工业互联网环境模糊测试工具系统,并利用此系统对国产PLC进行测试,验证了该系统的有效性。     

Android平台NFC应用漏洞挖掘技术研究

为了提高NFC技术的安全性,针对Android平台NFC应用进行NDEF协议漏洞挖掘研究,提出了一种基于Fuzzing技术的测试方法。该方法采用手工、生成和变异3种策略构造测试用例,使用报文逆向分析和嗅探2种手段辅助分析并构造报文;然后,利用构造的测试用例对NFC应用目标进行漏洞挖掘并输出结果。根据该方法,开发了一个NFC应用安全漏洞挖掘系统ANDEFVulFinder,采用logcat和进程监控的手段在漏洞挖掘过程中对目标进行监测,并通过模拟标签和触碰操作实现漏洞挖掘过程自动化。最后,通过测试MIUI系统和6个应用,发现了8个漏洞,结果表明了漏洞挖掘方法的有效性。     

浅论网络计算机安全隐患及漏洞挖掘技术

本文分析了计算机在网络环境中存在的不安全因素，研究其可能出现的安全问题，提出了几种漏洞挖掘的方式并进行对比，用Fuzz的方法实现了一个漏洞的挖掘，提出了计算机安全的简单防护。     

基于软件体系结构分析的漏洞挖掘技术研究

为了提高漏洞挖掘效率,在软件体系结构的基础上,结合符号执行、污点分析和模糊测试中的优点,设计并实现了基于软件体系结构分析的漏洞挖掘系统Fast Fuzzing。该系统主要由体系结构分析、指令追踪、符号执行、污点分析和动态测试五个模块组成,为提高系统效率,系统针对传统技术方法进行了优化处理。实验结果表明Fast Fuzzing系统能够有效发现IE8和IE10中的安全问题,成功触发了IE8和IE10中的多个漏洞,适用于常用软件的安全测试。     

论漏洞扫描技术与网络安全

随着辽阳石化公司信息系统不断建成应用和信息化的加快推进,信息系统安全变得越来越重要。如何使现有网络更安全呢？作者结合自己工作经验,试图对这一问题进行探讨。本文从漏洞扫描的概念、步骤和分类等方面进行了描述,并对四种主要的漏洞扫描技术——基于主机的漏洞扫描技术、基于网络的漏洞扫描技术、主动漏洞扫描技术和被动漏洞扫描技术分别进行了分析,结合辽阳石化公司实际情况阐述了漏洞扫描在计算机网络安全中的作用。     

网络系统安全脆弱性分析技术研究

计算机网络系统安全问题日益突出,其根本原因在于网络系统存在安全脆弱点,因此在网络系统安全脆弱性被利用之前去识别和减少或消除脆弱性是非常关键的。文章研究了主流的网络系统安全脆弱性分析技术及相关工具软件的工作机制,分析了各种脆弱性分析技术的优缺点。     

Adobe Reader漏洞分析及防御策略研究

随着PDF文档格式的大规模应用,解析PDF文件的Adobe Reader软件也得到了极大应用,但是它面临的安全威胁也越来越严重.Adobe Reader漏洞已经是最为常见的漏洞类型之一.通过对常见漏洞机理进行细致的逆向分析,针对漏洞的利用方式进行分类阐述,然后解析造成漏洞猖獗的原因,总结出针对Adobe Reader漏洞行之有效的安全防御措施.     

国家安全漏洞库的设计与实现

在研究国内外安全漏洞库的基础上,结合我国国情和安全保障的需求,设计了一个兼容多个漏洞标准的、并将漏洞属性划分为相应群组的漏洞库结构模型。基于此模型,开发实现了国家安全漏洞库,并将其用于国内安全预警和应急响应领域,在实际应用中取得了良好的效果。     

基于关联分析的软件漏洞评估方法

目前国家信息化水平正在逐步提升,但信息化发展过程中也凸显出日益严重的信息安全问题。信息系统中的软件漏洞层出不穷,攻击者通过攻击多个低级别的软件漏洞来触发高级别的软件漏洞,使用多步攻击方法提升自己的权限,达到损害或控制信息系统的目的。文中以软件漏洞之间的位置关系为基础,深入分析了不同情况下软件漏洞之间的关联关系并提出相应的量化方法,为正确评估软件漏洞对整个系统的危害提供了有效的依据。     

软件漏洞的攻击与防范

软件漏洞已经成为威胁信息安全的一个重要课题.本文介绍了软件漏洞的现状、软件漏洞攻击技术.最后对如何防范漏洞攻击提出了自己的建议.     

Application of artificial intelligence technology in the field of security vulnerability

The large number of software and the enhancement of complexity have brought severe challenges to the research of software security vulnerabilities.The efficiency of manual research on security vulnerabilities is low and cannot meet the needs of cyberspace security.Therefore,how to apply artificial intelligence techniques such as machine learning and natural language processing to the study of security vulnerabilities has become a new hot spot.Artificial intelligence technology can intelligently process vulnerability information,which can assist in the research of security vulnerabilities and improve the efficiency of research on security vulnerabilities such as vulnerability mining.Firstly,the key technologies of automatic mining,automatic assessment,automatic exploitation and automatic repair of security vulnerabilities were analyzed,which pointed out that the automation of security vulnerability mining was the key of the application of artificial intelligence in the field of security vulnerability.Then,the latest research results of applying artificial intelligence technology to the research on security vulnerabilities was analyzed and summarized in recent years,which pointed out some problems in the application and gave corresponding solutions.Finally,the development trend of intelligent research on security vulnerabilities was prospected.     

刍议计算机软件安全漏洞检测技术

本文就计算机软件安全漏洞检测技术展开论述,针对于计算机软件安全漏洞的动态化检测以及静态化检测技术做以分析,并就格式化、竞争条件、缓冲区、随机性等方面的安全漏洞,探究了计算机软件安全漏洞检测技术的实际应用,以期为计算机软件安全提供保证,推进计算机软件安全漏洞检测技术的逐步完善。     

核电工控系统的脆弱性分析

核电工控系统的信息安全关系国计民生,通过搜集来自ICS-CERT、CVE等知名机构发布的漏洞信息,形成了核电工控系统脆弱性漏洞库。从技术与管理两个方面对核电工控系统的脆弱性进行了分析,并总结了当前核电工控系统亟需采取的安全措施,展望了核电工控系统信息安全的发展趋势。     

基于知识图谱的电网安全漏洞扩展攻击图研究

传统电网安全漏洞攻击图存在预测误差大、耗时长的问题,导致电网运行成本较高.为此,提出基于知识图谱的电网安全漏洞扩展攻击图研究方法.建立电网安全漏洞的挖掘关联规则与漏洞判断矩阵,获取出现安全漏洞概率最大的路径;追踪出现安全漏洞的异常数据来源;对电网安全漏洞处拓扑扫描与漏洞扫描,生成电网安全漏洞扩展攻击图.研究结果表明:在...     

美国国家标准和技术研究院信息安全标准化系列研究(十二) SP800-115《信息安全测试技术指南》分析

介绍了SP 800-115《信息安全测试技术指南》主要内容,对信息安全测试的基本概念与技术组成进行了分析,对安全审查(如文档审查与网络嗅探等)、目标识别与发现、漏洞分析等安全测试技术进行了介绍与评论。