摘要:模糊测试被广泛应用于浏览器的漏洞挖掘,其效果好坏的决定因素之一是测试者编写的测试模式.针对特定测试模式实现成本高、生存时间短等问题,提出了一种基于模式生成的浏览器模糊测试器自动构造方法,通过解析已知漏洞触发样本,自动提取测试模式,对模式中每个模块应用传统的变异策略,完成畸形样本的自动生成.实验结果表明:针对5款浏览器的1 089个已知漏洞触发样本,平均仅用时11.168s即可完成1 089个不同模糊测试器的自动构建,远低于人为编写的时间消耗;随机选取其中10个模糊测试器分别对IE 10、IE 11、Firefox 54.0的全补丁版本进行测试,共产生57个不同的崩溃样本,发现1个高危未知漏洞,证明该方法具有较好的未知漏洞发现能力.
Abstract:Fuzzing is widely used for browser vulnerability mining,and one of the key factors determining its effectiveness is the test pattern written by the tester.Considering that the test pattern is written with high cost and short survival time,in this article,an automatic construction of fuzzy tester based on pattern-generation is presented.By analyzing the known vulnerability samples and extracting the test pattern automatically,the traditional mutation strategy is then applied to each module in the pattern to complete the automatic generation of the abnormal samples.Experimental results show that in average it takes only 11.168 seconds to finish the automatic construction of 1 089 different fuzzy testers based on 1 089 known vulnerabilities for five browsers,which has much lower time-consumption than that required by testers themselves.Applying on IE 10,IE11 and Firefox 54.0 Web browser with randomly selected 10 fuzzy testers,the new method discovered a total of 57 different bugs,including a high-risk unknown vulnerability.This demonstrates that this method has better capability at finding the unknown vulnerability.
PDF全文下载地址:
http://jos.org.cn/jos/article/pdf/5501
删除或更新信息,请邮件至freekaoyan#163.com(#换成@)
基于模式生成的浏览器模糊测试技术
本站小编 Free考研考试/2022-01-02
相关话题/测试 未知 实验 漏洞 样本
领限时大额优惠券,享本站正版考研考试资料!
优惠券领取后72小时内有效,10万种最新考研考试考证类电子打印资料任你选。涵盖全国500余所院校考研专业课、200多种职业资格考试、1100多种经典教材,产品类型包含电子书、题库、全套资料以及视频,无论您是考研复习、考证刷题,还是考前冲刺等,不同类型的产品可满足您学习上的不同需求。 ...考试优惠券 本站小编 Free壹佰分学习网 2022-09-19基于自适应模糊测试的IaaS层漏洞挖掘方法
摘要:云计算在为人们日常生活提供极大便利的同时,也带来了较大的安全威胁.近年来,云平台IaaS层虚拟化机制的漏洞层出不穷,如何有效地挖掘虚拟化实现过程中的拒绝服务及逃逸漏洞,是当前的研究难点.分析已知虚拟化平台的相关漏洞,抽取并推演目标数据集合,设计并实现了一种随机化的模糊测试方法,进一步基于灰度马 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02一种面向模糊测试的GUI程序空转状态实时检测方法
摘要:针对当前Windows下GUI软件模糊测试过程中,由于进入空转状态时刻判断不准确导致的测试效率降低的问题,利用自然语言处理的方法在函数执行迹的基础上来解决空转状态识别问题.首先分析了传统程序分析方法在空转状态判断上遇到的困难,提出了基于Bi-Gram模型以及统计分析的空转状态识别方法.通过Bi ...中科院软件研究所 本站小编 Free考研考试 2022-01-02基于宿主权限的移动广告漏洞攻击技术
摘要:移动广告作为市场营销的一种重要手段,越来越受到应用开发者的青睐,其市场规模也日趋增大.但是,为了追求广告的精准投放和其他非法利益,移动广告给用户的隐私与财产安全也带来了很大的威胁.目前,众多****关注广告平台、广告主和移动应用的安全风险,还未出现在广告网络中直接发起攻击的案例.提出了一种基于 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02针对特定测试样本的隐写分析方法
摘要:现今主流的图像隐写分析方法主要聚焦于设计检测特征,用以提高通用盲检测(universalblinddetection,简称UBD)模型的检测准确率,这类检测方法与待测图像无关,难以做到精准检测.在拥有大数据训练资源的前提下,研究了隐写对图像特征的影响,找出了隐写分析与图像特征之间的重要关系,基 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02Web服务组合测试综述
摘要:随着面向服务技术和云计算技术的不断成熟,尤其是面向服务体系结构SOA的不断完善以及推广,其主要内容Web服务已经被广泛应用.为了充分利用Web服务并解决单个Web服务功能有限的问题,业界将多个原子Web服务按照一定的规则和业务逻辑进行组合,以提供更多功能更强大的服务,实现了Web服务的增值和复 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02众包软件测试技术研究进展
摘要:众包测试是一种新兴的软件测试方式,得到了学术界和工业界的广泛关注.系统地总结了近年来众包软件测试研究的学术文献以及工业界实践进展:首先,从学术文献涉及的研究主题演变、涵盖的软件测试问题和众包测试流程、采用的实验对象及测试人员规模等多个角度对相关文献中提出的技术和方法进行了汇总;然后,从测试领域 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02陈海明团队在ReDoS漏洞检测与修复技术上取得重要进展
近日,中国科学院软件研究所陈海明团队在正则表达式拒绝服务攻击(ReDoS)漏洞检测与修复技术上取得重要进展,设计研发当前最先进ReDoS漏洞检测工具——ReDoSHunter,提出首个抗ReDoS漏洞正则表达式修复工具——FlashRegex,不仅解决了静态与动态ReDoS检测工具的局限性,实现了正 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02软件所互联网软件技术实验室博士生刘哲斩获ACM学生研究竞赛研究生组冠军
近日,中国科学院软件研究所互联网软件技术实验室研究员王青指导的博士生刘哲在ACM学生研究竞赛(The ACM Student Research Competition at ASE 2020)荣获研究生组第一名。 该比赛在第35届IEEE/ACM自动化软件工程国际会议(ASE 2020)期间举行, ...中科院软件研究所 本站小编 Free考研考试 2022-01-02软件所航天软件测评中心获CNAS国家实验室认可证书
近日,中国科学院软件研究所航天软件测评中心(以下简称航天软件测评中心)顺利通过中国合格评定国家认可委员会(CNAS)认可审核,获颁实验室认可证书。 自2020年3月以来,航天软件测评中心积极与CNAS工作人员沟通协调,紧密结合本中心工作实际,克服成立时间短、项目经验少等困难,扎实有序推进各项准备工 ...中科院软件研究所 本站小编 Free考研考试 2022-01-02基于多尺度特征融合网络的云和云阴影检测试验
摘要摘要:基于深度学习的高分辨率光学影像云检测过程中,云和云阴影及其边缘细节丢失较为严重,主要原因在于不同尺度空间语义信息特征融合存在不足。针对该问题,本文构建一种基于深度学习的多尺度特征融合网络(Multi-scaleFeatureFusionNetwork,MFFN)的云和云阴影检测方法,该算法 ...中科院大气物理研究所 本站小编 Free考研考试 2022-01-02
