基于验证绕过的漏洞Fuzzing测试技术
Fuzzing测试技术广泛应用于计算机网络程序漏洞挖掘工作中,然而很多应用程序中的数据完整性验证机制严重阻碍了传统Fuzzing测试的有效性,主要原因是Fuzzing测试的样本生成原理与数据完整性校验相悖,极大地降低了传统Fuzzing测试的路径覆盖度.本文提出了一种基于验证绕过的漏洞Fuzzing测试方法,采用基于依赖度的解密内存定位与基于循环I/O的内存定位相结合的思想,定位程序运行过程中的完整性验证关键信息,为验证点绕过提供基础,保证了测试过程的路径覆盖率.为了有效构造Fuzzing测试样本数据,本文还将内存模糊测试技术与导向性测试相结合,利用内存模糊测试的结果指导测试数据的生成,保证Fuzzing测试过程中数据完整性校验的绕过,同时导向性测试使程序脆弱性检测具有针对性,提高检测效率.在此方法的基础上,开发了一套原型系统,通过实验验证了该方法的有效性。
计算机网络 漏洞Fuzzing测试技术 完整性校验 验证绕过方法 系统有效性
王欣 董国伟 邵帅 朱龙华
中国信息安全测评中心,北京100085
国内会议
长沙
中文
221-234
2014-10-16(万方平台首次上网日期,不代表论文的发表时间)