共查询到19条相似文献,搜索用时 187 毫秒
1.
针对常规模糊测试挖掘Android系统服务漏洞效率低的问题,提出并实现基于遗传算法的Anddroid系统服务漏洞挖掘框架ASFuzzer。该框架利用Binder驱动与系统服务的交互向目标发送测试用例。测试过程中根据结果的反馈,引导遗传算法对测试参数不断变异,并提出一种高效的基于概率排序与组合的遗传选择算子模型,从而提高样本覆盖率和模糊测试效率。通过框架在不同系统版本手机上的测试,挖掘到多个系统服务漏洞。与传统模糊测试方法相比,实验结果表明本文方案在漏洞挖掘效率方面更具有优势。 相似文献
2.
XIANG Qiao-lian 《数字社区&智能家居》2008,(7)
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试,并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
3.
项巧莲 《数字社区&智能家居》2008,(3):1259-1261
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试。并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
4.
网络安全问题已引起人们的广泛关注,通信协议设计和实现的健壮与否对于网络安全至关重要。使用扩展了的构造类别代数描述协议规范,基于该描述,从一致性和完备性角度对协议可能存在的漏洞进行分析;系统地给出了一种针对潜在漏洞进行脆弱性测试的测试方法,使用类似于协议测试的方法测试实现系统能否抵御针对该漏洞的攻击。实现了一个分布式的协议脆弱性测试平台KD-TclRunner,对国内外著名厂商的通信设备进行脆弱性测试。 相似文献
5.
吴羽翔 《计算机光盘软件与应用》2014,(4):161-162
在Web渗透测试中,使用自动化工具进行漏洞利用向来是安全人员比较喜欢的一种手段。但随着Web应用的不断发展,传统的自动化安全工具已无法满足渗透测试员的需求。本文提出了一种全新的Web应用攻击模型,根据此模型设计了一个开放式的基于模块化设计的Web应用程序漏洞利用框架,并简述了其部分开发细节。该框架可以实现针对特定Web应用的定制化渗透测试并通过其高度自由的模块化定制实现各类拓展。 相似文献
6.
7.
8.
Web应用安全扫描系统及关键技术研究 总被引:3,自引:3,他引:0
讨论了开放环境下一种Web应用安全扫描系统的设计方案,该系统由漏洞特征库和遍历扫描、分析引擎,攻击测试.安全审计和报告生成等部分组成.研究了漏洞特征库描述,网站拓扑结构提取、标记解析和攻击测试算法等系统关键技术.提出了一种基于XML的Web应用漏洞标记语言--WAML,基于站点遍历实现了站点拓扑结构提取.对所实现的原型系统进行了测试分析,结果表明,系统是有效的. 相似文献
9.
Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。 相似文献
10.
针对当前web应用程序漏洞的研究现状,文章设计出新型的面向Web应用的漏洞检测和挖掘系统,以切合当前Web开发的需求。该系统能够实现网络爬虫、多线程任务调度、钓鱼链接识别、模糊协议处理、网页木马检测等各项关键技术,使漏洞检测更加准确、高效。在研究Web安全相关理论和人工智能的基础上,文章采用静态分析和动态分析相结合的办法实现了网页链接和内容的恶意检测、网页漏洞的动态注入测试。文章最后对各项算法以及系统进行测试,测试结果表明该系统能够满足已知各项漏洞的检测,并且达到各项技术指标,检测结果对于提升目标站点的安全级别效果显著。 相似文献
11.
在软件开发及应用中,由于具有可复现性,模糊测试能够帮助发现漏洞和有针对性地对漏洞成因进行分析。为了解决模糊测试过程的效率及测试力度等问题,提出了软件漏洞模糊测试的关键分支探索及热点更新算法。该方法通过捕获、分析和利用受检程序在处理测试用例时的执行位置的关键信息,以指导模糊测试过程的探索方向和测试用例的生成。实验结果表明,提出的方法相较于传统随机发散的模糊测试方法在漏洞发现能力上有较大提升,在Otfcc、Swftools等14个开源程序中发现了100余个未被公布的漏洞,为模糊测试用于软件漏洞检测提供了新的可靠途径。 相似文献
12.
错误传播是分析可靠性系统不确定性中的一基本问题,可用于发现系统中最易受到错误攻击的部分及各部分之间的相互影响.分别在信号和模块级别上研究了错误在软件中的传播过程,并定义了描述此过程的参数及其计算方法,其中首次提出了模块泄漏率和活动率的概念并给出了计算方法;然后把该错误传播分析框架应用于某卫星光纤陀螺捷联航姿控制系统上.通过故障注入实验确定了其中的分析参数,验证了提出的错误传播框架的可行性与正确性. 相似文献
13.
软件漏洞检测是确保软件安全的重要方法之一.现有可执行程序漏洞检测方法主要分为白盒测试和黑盒测试两类:前者需要完整构造程序漏洞产生表达式,因此存在路径爆炸以及表达式难以求解等问题;后者通过尝试各种输入以检测程序漏洞,针对性不强且存在过多重复计算.本文通过确定程序输入中直接影响程序检测点的部分,结合种子输入产生能够直接到达检测点的输入数据,提高黑盒测试过程的针对性.分析检测点间守护条件和检测条件的相关性,去除检测过程中冗余的检测点,提高整体检测效率.提出了彩色污点传播的方法,快速确定程序检测点与外部输入及约束条件间的依赖关系.通过对4款现有应用软件的分析试验,结果表明本方法提高了黑盒测试的针对性和分析效率. 相似文献
14.
军工数字制造网络安全漏洞分析存在漏洞信息难以获取、分析和验证耗时长而且精度低等问题,传统的企业信息安全漏洞分析、测试验证技术不能够完全解决该问题,所以提出了基于多核架构的漏洞分析、验证、测补技术平台.将漏洞探测与分析技术、启发式漏洞渗透性测试技术、动态临时补丁生成和安装技术与基于多核处理器的软件架构相结合,实现漏洞分析... 相似文献
15.
渗透测试是一种有效的安全测试方法,自动化渗透测试的关键问题之一是将发现的系统漏洞与已知漏洞利用代码进行匹配。文章提出基于开放端口和基于漏洞编号的两种匹配方法,通过将系统漏洞的端口号或漏洞编号,与漏洞利用代码中描述的端口号或漏洞编号对应检查完成匹配。实验结果表明,两种方法的查全率分别达到96.8%和90.3%,可以有效实现匹配。该方法可实际应用于自动化渗透测试。 相似文献
16.
17.
Paul Midian 《Computer Fraud & Security》2002,2002(6):15-17
This article discusses some obvious findings revealed by penetration testing. I run the security testing services team for a risk management and security consultancy and I have been involved with ‘pure’ penetration testing for four years now; prior to that I worked on ITSEC evaluations (which also contained an element of penetration testing). Well, someone has too! Actually, what the ITSEC scheme gave me is a good understanding of software vulnerabilities — why they occur, how they can be found, how they can be patched, etc. This has proved very useful on penetration testing engagements as it has given me an understanding of why software is insecure. At a code level, software can be vulnerable for many reasons, i.e. the ubiquitous buffer overrun, executing as root, not handling error conditions, etc. However, at a system level the reasons are much simpler. This is what I will be discussing in this article. 相似文献
18.
The number of vulnerabilities discovered in computer systems has increased explosively. Thus, a key question for system administrators is which vulnerabilities to prioritize. The need for vulnerability prioritization in organizations is widely recognized. The significant role of the vulnerability evaluation system is to separate vulnerabilities from each other as far as possible. There are two major methods to assess the severity of vulnerabilities: qualitative and quantitative methods. In this paper, we first describe the design space of vulnerability evaluation methodology and discuss the measures of well-defined evaluation framework. We analyze 11,395 CVE vulnerabilities to expose the differences among three current vulnerability evaluation systems (X-Force, CVSS and VRSS). We find that vulnerabilities are not separated from each other as much as possible. In order to increase the diversity of the results, we firstly enable vulnerability type to prioritize vulnerabilities using analytic hierarchy process on the basis of VRSS. We quantitatively characterize the vulnerability type and apply the method on the set of 11,395 CVE vulnerabilities. The results show that the quality of the quantitative scores can be improved with the help of vulnerability type. 相似文献
19.
由于语言特性导致的JavaScript引擎漏洞是当今应用软件软件安全的重要威胁之一,攻击者通常间接利用JavaScript引擎漏洞造成远程命令执行,获得系统的控制权。介绍了引擎的基本信息,对引擎中经常出现的漏洞进行了分类,分别综述了静态和动态分析检测的基本步骤和发展脉络,提出了针对JavaScript引擎漏洞的检测基本框架,讨论了制约检测效率瓶颈问题以及可能的解决方法,结合最新的技术应用指出了未来的发展趋势和亟待解决的问题。 相似文献