会议专题

基于自动机的数据库管理系统漏洞挖掘

查看全文→
  模糊测试是一项有效的安全漏洞挖掘方法。针对数据库管理系统的网络通讯协议及通讯协议所承载的SQL、函数与存储过程调用等所具有的有状态的特点,将有限状态自动机的思想运用到模糊测试流程控制中,设计了针对数据库管理系统的带有状态机的模糊测试框架,并结合开源和国产数据库管理系统,采用基于块的用例生成方式实现了其通讯协议、SQL、存储过程/函数模糊测试用例。通过模糊测试实践发现了一些未知的漏洞,验证了方法的有效性。

数据库管理系统 漏洞挖掘 有限状态自动机 模糊测试 流程控制

冒冬冬 叶晓俊 谢丰 张翀斌 李斌

清华大学软件学院,北京 100084 中国信息安全测评中心,北京 100085

国内会议

第四届信息安全漏洞分析与风险评估大会

北京

中文

98-108

2011-10-01(万方平台首次上网日期,不代表论文的发表时间)