共查询到19条相似文献,搜索用时 62 毫秒
1.
项巧莲 《数字社区&智能家居》2008,(3):1259-1261
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试。并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
2.
XIANG Qiao-lian 《数字社区&智能家居》2008,(7)
Fuzzing测试是一种自动化发掘软件漏洞的方法,本文讨论了文件格式漏洞利用的现状及Fuzzing测试的研究进展,提出了一个文件格式漏洞Fuzzing测试框架,在FileFuzz的基础上实现了一种文件格式Fuzzing测试工具,可以实现对任意文件格式的测试,并可有效地提高测试效率,最后给出了该工具测试的实例。 相似文献
3.
鉴于传统Fuzzing(模糊)测试技术在测试漏洞库中已有漏洞时覆盖率偏低的特点,提出一种基于环境的Fuzzing测试技术.通过提取程序运行所需的操作系统环境、中间件库函数依赖、环境变量等不可信环境因子,构造相应的包含了环境特征的Fuzzing测试用例集.这样的测试用例集合对漏洞库中的已有漏洞表现出了更全面的覆盖,同时还可以有效地发掘未知漏洞.以sftp服务器测试为例,选取Windows平台下的5款sftp服务器软件进行测试,除可以发掘已有漏洞外,还发现了3款软件的3个新漏洞,提交SecurityFocus并通过. 相似文献
4.
5.
基于Fuzzing的TFTP漏洞挖掘技术 总被引:3,自引:0,他引:3
Fuzzing是一种自动化的漏洞挖掘技术。该文介绍了一种基于Fuzzing的漏洞挖掘思路,并将这一漏洞挖掘思路应用在TFTP协议上。设计并实现了一个针对TFTP服务器的fuzzer工具——tftpServerFuzzer,并对现有的从互联网上搜集到的Windows平台下11种TFTP服务器进行了安全测试,发现了8种TFTP服务器的13个安全漏洞,其中未曾公布过的漏洞有7个。该实践结果表明了tftpServerFuzzer的有效性和先进性。 相似文献
6.
Fuzzing是一种利用黑盒测试思想的自动化漏洞挖掘技术。文章基于Fuzzing的漏洞挖掘思想,设计并实现了一个针对PNG文件查看软件的fuzz工具-PNGFuzzer,可以实现对PNG文件的漏洞测试,最后给出了该工具测试的实例。 相似文献
7.
8.
Fuzzing测试是一种基于缺陷注入的自动软件测试技术.近几年来,广泛应用于软件测试、安全漏洞挖掘等领域.Peach 是基于Fuzzing技术实现的跨平台测试框架,具有灵活性、可重用等特点,是Fuzzing测试的代表工具之一.Fuzzing测试要求对测试用例进行优化来提高测试效率,对Peach的样本优化工具minset... 相似文献
9.
10.
对存在的多维Fuzzing技术中使用的遗传算法不能表示多种输入类型元素,不能充分使用已得到知识从而大大降低了基于知识的多维Fuzzing技术中提出的多维Fuzzing技术挖掘的漏洞的范围和能力,设计了一个包含选择、交叉、变异、修补等操作的可以表示大多数输入元素类型的遗传算法,提出一种多个输入元素的小染色体级连成一个大染色体,大染色体的遗传算子操作分解到各个小染色体之间操作的编码及操作方案,针对字符串型输入元素,提出一套可变长染色体的实值编码及操作方法.漏洞挖掘实验结果显示应用论文设计的遗传算法的多维Fuzzing技术具有更好的漏洞挖掘能力和更好的漏洞挖掘效率. 相似文献
11.
12.
13.
14.
针对白盒模糊测试漏洞触发能力较弱的问题,提出一种基于污点分析的白盒模糊测试(WFBTA)方案,依据不同的漏洞特征,识别危险操作,获得漏洞相关的约束条件,与路径约束条件优化结合后通过约束求解器求解,产生覆盖率较高且漏洞触发能力良好的测试用例。实验结果表明,与原有的白盒模糊测试方法相比,WFBTA方案具有更强的漏洞发现能力、更低的漏报率与误报率,而平均时间开销仅增加了1.31%。 相似文献
15.
16.
模糊测试是挖掘网络协议漏洞的重要方法之一.现有的模糊测试方法存在覆盖路径不完全、效率低下等问题.为了解决这些问题,文中提出了基于深度优先搜索的模糊测试用例生成方法,该方法将状态机转换成有向无回路图,以获得状态迁移路径,并通过提高测试用例在发送报文中的占比来提升模糊测试效率.该方法主要包括合并状态迁移、消除循环路径、搜索状态迁移路径、标记重复状态迁移和基于测试用例引导的模糊测试5个阶段.在合并状态迁移阶段,将首尾状态相同的状态迁移进行合并.在消除循环路径阶段,根据深度优先搜索判断图中的循环,并通过删除边将状态机转换成有向无回路图.在搜索状态迁移路径阶段,搜索有向无回路图从初始状态到终止状态的全路径,并对原状态机图使用Floyd算法补充被去除的边构造测试路径,以确保充分测试状态机中的每一个状态迁移.在标记重复状态迁移阶段,对重复状态迁移进行标记,避免对重复的状态迁移进行反复测试,以缩减测试的冗余.在基于测试用例引导的模糊测试阶段,生成针对状态迁移的测试用例,并将测试用例均匀分发到重复的状态迁移上,其中的部分测试用例能够起到引导状态迁移的作用,对被测目标进行模糊测试.实验结果表明,所提方法能够取得更高的有效测试用例比例. 相似文献
17.
模糊测试(fuzzing)具备自动化程度高、可重现性好及易扩展等特点,是软件漏洞挖掘的有效方法之一。针对其固有的测试盲目性和低效性,一批先进的灰盒模糊测试方法被提出并应用在AFL、AFLFast、Vuzzer等工具中。随着高性能芯片和云计算技术的发展,模糊测试可以充分利用其中蕴含的丰富并行计算能力、通过多实例并行的手段进一步提高单位时间内的综合测试效率,典型的代表如Xu等人提出的多核并行方法、谷歌的ClusterFuzz等。但现有并行模糊测试方法,由于不同测试实例在测试用例生成过程中缺少有效的控制,导致生成的畸形样本冗余高、测试综合覆盖率低等问题。针对该问题,本文提出了一种有效控制多测试实例间模糊测试过程的方案,该方案以变异策略为基本粒度进行并行化,定期同步不同测试实例间的有效畸形样本和优化变异策略应用比例,减少不同测试实例间的测试冗余,提高测试综合覆盖率。本文实现了一个变异策略感知的并行模糊测试框架,并选择AFL作为基本模糊测试器,使用5款开源软件及LAVA-M测试集的实验结果表明,相同测试时间内本文的方法比AFL默认调度方法提高目标覆盖率达132%、发现异常数量最多提高50余倍。 相似文献
18.
针对目前Fuzzing技术中变异因子彼此之间是独立的,存在着测试效率不高以及由于前期静态分析不正确而产生漏报的缺点,提出了变异树的概念。将变异因子以树模型的方式组织起来,设计了有效的变异策略。在当前Fuzzing平台的基础上,实现了基于变异树的Fuzzing平台设计,最后通过当前的Fuzzing平台和基于变异树的Fuzzing平台对Visualpng以及KMPlayer进行Fuzzing测试结果的比较,表明了该方法的可行性。 相似文献
19.
抽取并推演目标数据集合,设计并实现了一种随机化的模糊测试方法,进一步基于灰度马尔科夫模型设计了一种自动化预测方法,实时监督并调整模糊测试的方向,实现面向虚拟化平台的自适应模糊测试目的.最终设计并实现了原型系统VirtualFuzz,实验数据表明:所提方法可有效检测虚拟化平台中的拒绝服务及逃逸漏洞,共得到24个漏洞测试用例,其中验证了18个已知漏洞,挖掘得到了6个未知漏洞,且已有3个漏洞获得CVE授权;同时通过与其他模糊测试工具的对比突出了原型系统的性能优化效果. 相似文献