首页 | 本学科首页   官方微博 | 高级检索  
     

面向资源泄漏的浏览器沙箱测试方法
引用本文:赵旭,颜学雄,王清贤,魏强,李继中.面向资源泄漏的浏览器沙箱测试方法[J].电子学报,2017,45(7):1775-1783.
作者姓名:赵旭  颜学雄  王清贤  魏强  李继中
作者单位:1. 解放军信息工程大学网络空间安全学院, 河南郑州 450001; 2. 63892 部队, 河南洛阳 471003; 3. 郑州战略投送基地, 河南郑州 450002
基金项目:国家863高技术研究发展计划
摘    要:资源泄漏是导致浏览器沙箱逃逸的重要缺陷之一,已有浏览器沙箱测试方法不完全适用于发现资源泄漏缺陷.基于大多数导致沙箱逃逸的资源具有相同或相似属性取值的分析,本文提出了一种面向资源泄漏的浏览器沙箱测试方法.该方法首先分析并约简敏感资源的属性来生成资源筛选规则;其次,定义资源与资源筛选规则前件的最大加权语义相似度为逃逸指数,并使用逃逸指数阈值来筛选测试资源;再次,设计并实现了原型系统BSTS(Browser Sandbox Testing System),并在BSTS内分析了方法的性能.进一步,选择多个主流浏览器沙箱来测试本文方法的资源泄漏发现能力,实验结果显示本文方法具有良好的资源泄漏发现能力.
关 键 词:浏览器沙箱  资源泄漏  粗糙集理论  语义匹配  
收稿时间:2016-01-27

A Resource-Leakage Oriented Browser Sandbox Testing Method
ZHAO Xu,YAN Xue-xiong,WANG Qing-xian,WEI Qiang,LI Ji-zhong.A Resource-Leakage Oriented Browser Sandbox Testing Method[J].Acta Electronica Sinica,2017,45(7):1775-1783.
Authors:ZHAO Xu  YAN Xue-xiong  WANG Qing-xian  WEI Qiang  LI Ji-zhong
Affiliation:1. College of Cyberspace Security PLA Information Engineering University, Zhengzhou, Henan 450002, China; 2. 63892 Unit, Luoyang, Henan 471003, China; 3. Strategic Delivery Base, Zhengzhou, Henan 450002, China
Abstract:Resource leakage is one of the important defects of sandbox escape.The existing browser sandbox testing methods are insufficient to discover leak resources.Based on the analysis that most leaking resources have same or similar attribute values,this paper designed a resource-leakage oriented browser testing method.The method firstly analyzes resources attributes and creates resource selecting rules;secondly,calculates the escape index of every resource of system and uses threshold to select testing resources;thirdly,designs and implements a prototype system-Browser Sandbox Testing System(BSTS) and analysis the capability of our method;then we select and test some browser sandboxes;in the end,we found an undisclosed resource leakage vulnerability.
Keywords:browser sandbox  resource leakage  rough set theory  semantic match
本文献已被 万方数据 等数据库收录!
点击此处可从《电子学报》浏览原始摘要信息
点击此处可从《电子学报》下载全文
设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号