会议专题

一种复合文档内嵌脚本引擎漏洞挖掘方法

查看全文→
以PDF JavaScript为代表的复合文档内嵌脚本引擎漏洞已经成为严重危害用户信息安全的主要漏洞类型之一.当前的模糊测试技术对这类漏洞进行挖掘时忽略了内嵌脚本的语法结构和编码压缩等问题.本文针对这些方法性的缺陷,提出一种有效的复合文档内嵌脚本引擎漏洞挖掘方法,在模糊测试中引入对脚本函数的枚举,扩大测试函数的覆盖面;并根据内嵌脚本应用的特点,在考虑函数执行权限、依赖关系和参数类型的基础上,进行面向数据类型的测试,减少了无效的测试数据,提高了测试效率.测试结果表明,该方法能自动触发历史漏洞并发现未公开的新漏洞.

应用软件 复合文档 内嵌脚本 漏洞挖掘

杨翛翔 王嘉捷 郭涛

中国信息安全测评中心,北京 100085;国际关系学院通信与信息系统专业,北京 100091 中国信息安全测评中心,北京 100085

国内会议

第五届信息安全漏洞分析与风险评估大会

上海

中文

568-577

2012-12-06(万方平台首次上网日期,不代表论文的发表时间)