二维码(扫一下试试看!) | | WebView组件漏洞自动化检测与验证方法 | | An Automated Detection and Verification Method for WebView Component Vulnerabilities | | 投稿时间:2017-07-25 | | DOI:10.15918/j.tbit1001-0645.2017.359 | | 中文关键词:移动安全漏洞检测静态分析动态验证 | | English Keywords:mobile securityvulnerability detectionstatic analysisdynamic verification | | 基金项目:国家自然科学基金资助项目(61672534);NSFC-通用技术联合基金资助项目(U1636115) | | | 摘要点击次数:717 | | 全文下载次数:214 | | 中文摘要: | | Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低. | | English Summary: | | With Android WebView component widely used, its vulnerabilities will cause significant risks, but current detection methods which rely on static pattern matching have high rate of false positives. Therefore this paper proposes an automatic detection and verification method for WebView component vulnerabilities, based on static analysis and dynamic verification combination. The reachability analysis of vulnerable suspicious points was used to avoid the futile dynamic verification of invalid paths, for improving analysis efficiency. The data dependency analysis was combined with the dynamic verification that can simulate real attack behaviors to trigger and confirm vulnerabilities timely, for reducing false positives. The prototype tool XWebViewDigger has been developed and tested on 80 real Android applications, with 18 vulnerable applications detected and verified. Compared with current methods, the false positive rate was effectively reduced. | | 查看全文查看/发表评论下载PDF阅读器 | |
.北京理工大学学报2020年总目次(第40卷)[J].北京理工大学学报(自然科学版),2020,40(12):1369~1386..[J].TransactionsofBeijingInstituteofTechnology,2020,40(12):1369-1386.二维码(扫一下试试看!)北京理 ... 北京理工大学科研学术 本站小编 Free考研考试 2021-12-21简容,黎桐辛,周渊,李舟军,韩心慧.一种多层次的自动化通用Android脱壳系统及其应用[J].北京理工大学学报(自然科学版),2019,39(7):725~731.JIANRong,LITong-xin,ZHOUYuan,LIZhou-jun,HANXin-hui.DesignandApplica ... 北京理工大学科研学术 本站小编 Free考研考试 2021-12-21.北京理工大学学报2019年总目次(第39卷)[J].北京理工大学学报(自然科学版),2019,39(12):1321~1338..[J].TransactionsofBeijingInstituteofTechnology,2019,39(12):1321-1338.二维码(扫一下试试看!)北京理 ... 北京理工大学科研学术 本站小编 Free考研考试 2021-12-21.北京理工大学学报2018年总目次(第38卷)[J].北京理工大学学报(自然科学版),2018,38(12):1321~1338..[J].TransactionsofBeijingInstituteofTechnology,2018,38(12):1321-1338.二维码(扫一下试试看!)北京理 ... 北京理工大学科研学术 本站小编 Free考研考试 2021-12-21沈思,朱丹浩.基于深度学习的中文地名识别研究[J].北京理工大学学报(自然科学版),2017,37(11):1150~1155.SHENSi,ZHUDan-hao.ChinesePlaceNameRecognitionBasedonDeepLearning[J].TransactionsofBeij ... 北京理工大学科研学术 本站小编 Free考研考试 2021-12-21马锐,任帅敏,马科,胡昌振,薛静锋.基于粒子群优化算法的Android应用自动化测试方法[J].北京理工大学学报(自然科学版),2017,37(12):1265~1270.MARui,RENShuai-min,MAKe,HUChang-zhen,XUEJing-feng.TestAutomation ... 北京理工大学科研学术 本站小编 Free考研考试 2021-12-21北京低边界层雨滴谱的垂直分布特征唐继顺1,2,刘晓阳1,?,刘均慧1,李爱国3,王鹏飞41.北京大学物理学院大气与海洋科学系,北京1008712.91197部队,青岛2664053.中国科学院大气物理研究所大塔分部,北京1000204.北京智阳科技有限公司,北京100020收稿日期:2020-12- ... 北京大学科研学术 本站小编 Free考研考试 2021-12-20安徽巢湖下三叠统初始巢湖裂齿鱼的再研究戴岩林1,孙作玉1,?,鲁昊2,?,江大勇1,周敏11.北京大学地球与空间科学学院,北京大学地质博物馆,北京1008712.北京大学考古文博学院,北京100871收稿日期:2020-08-06修回日期:2020-12-02出版日期:2021-09-20基金资助: ... 北京大学科研学术 本站小编 Free考研考试 2021-12-20北京市公共服务设施可达性及其对住房价格的影响李然好,龚世泽,高勇?北京大学地球与空间科学学院,北京100871收稿日期:2020-08-13修回日期:2020-12-02出版日期:2021-09-20基金资助:国家自然科学基金(41971331)资助AccessibilityofPublicServ ... 北京大学科研学术 本站小编 Free考研考试 2021-12-20冬奥会申办成功对北京旅游目的地感知形象的影响丛丽1,?,徐琳琳1,2,3,方小雨11.北京林业大学园林学院旅游管理系,北京1000832.中国科学院地理科学与资源研究所,中国科学院区域可持续发展分析与模拟重点实验室,北京1001013.中国科学院大学资源与环境学院,北京100049收稿日期:2020 ... 北京大学科研学术 本站小编 Free考研考试 2021-12-20
| |
