互聯(lián)網(wǎng)在為人們提供便利的同時(shí)也逐漸成為了攻防領(lǐng)域的核心戰(zhàn)場(chǎng),漏洞信息的不對(duì)稱性導(dǎo)致越來(lái)越多的安全事件造成了大規(guī)模的影響。隨著Oday漏洞變成一種重要武器,漏洞挖掘逐漸成為各大高校和企業(yè)安全研究的熱點(diǎn)。軟件漏洞是網(wǎng)絡(luò)攻防中的重要一環(huán),模糊測(cè)試技術(shù)是挖掘軟件漏洞的一種有效手段�；诖�,本文聚焦在ActiveX控件的智能模糊測(cè)試技術(shù)研究上。通過(guò)調(diào)研發(fā)現(xiàn),目前國(guó)內(nèi)外主流的ActiveX控件模糊測(cè)試工具都存在模糊測(cè)試自動(dòng)化能力弱、變異算法盲目、挖掘效率低下等問(wèn)題。為了解決現(xiàn)有工具的不足,本文研究了面向ActiveX的智能模糊測(cè)試技術(shù),并提出了三個(gè)創(chuàng)新點(diǎn)。為了使模糊測(cè)試更加自動(dòng)化、覆蓋更多漏洞類型,本文提出了一種基于功能預(yù)測(cè)的邏輯漏洞模糊測(cè)試模型,能夠通過(guò)文本分類算法預(yù)測(cè)函數(shù)功能,標(biāo)注控件中的不安全函數(shù),智能化的測(cè)試控件中的邏輯漏洞。為了解決現(xiàn)有工具效率低下的問(wèn)題,本文提出了一種基于權(quán)重優(yōu)化的漏洞導(dǎo)向型模糊測(cè)試技術(shù),通過(guò)靜態(tài)控制流分析和動(dòng)態(tài)污點(diǎn)跟蹤技術(shù),能夠?qū)ctiveX控件中的方法和參數(shù)進(jìn)行優(yōu)先級(jí)排序,使得模糊測(cè)試能夠按照優(yōu)先級(jí)順序智能地發(fā)現(xiàn)控件中的漏洞。最后本文提出了一種復(fù)雜場(chǎng)景下的基于路徑... 

【文章來(lái)源】：北京郵電大學(xué)北京市 211工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：77 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２－１?ＣＯＭＲａｉｄｅｒ的初始化界面??（２）這里我們選擇ＣＯＭＲａｉｄｅｒ自帶的ＣＯＭ組件ｖｕｌｎ．ｄｌｌ作為演示

圖２－２?ＣＯＭＲａｉｄｅｒ解析出來(lái)的控件內(nèi)部信息??（３）接下來(lái)我們需要在左邊接口函數(shù)列進(jìn)行右擊選擇“Ｆｕｚｚｍｅｍｂｅｒ”來(lái)對(duì)選??擇好的接口函數(shù)進(jìn)行模糊測(cè)試。點(diǎn)擊后，ＣＯＭＲａｉｄｅｒ會(huì)根據(jù)函數(shù)的參數(shù)??類型和個(gè)數(shù)，生成一定數(shù)量的ｗｓｆ文件作為測(cè)試樣例，在本例中??ＣＯＭＲａｉｄｅｒ只生成了?１７個(gè)測(cè)試用例：??ｒｉ?ＣＯＭＲａｉｄｅｒ?Ｓ?１＾＆＞｜??ＣＯＭ?Ｓｅｒｖｅｒ?ｊｃ＼ｉＤｄ杉扣ｋｖｄｎｄｌｌ?」Ｊ?Ｐ?Ｓｈｏｗ〇吻幻說(shuō)ｂ�。�??ｉ?ＶＵＬＮＬｉｂ?＾Ｆｕｎｃｔｉｏｎ?Ｍｅｔｈｏｄｌ?（??Ｉ?Ｂ?４Ｓ?ｓｗｖｅｒ?ＢｙＹａｌ?ｓＰａｔｈ?Ａｓ?Ｓｔｒｉｎｇ??Ｓ?＊〇?Ｉｓｅｒｖｅｉ?）?Ａｓ?Ｌｏｎｇ??＾?ＨｅａｐＣｏｒｒｕｐｔｉｏｎ??辦�。海河狻�，ｒ??Ｆｕｚｚ?ｍｅｍｂｅｒ??＾?Ｍｅｔｈｏ？?Ｆｕｚｚ?Ｌｉｂｒａｒｙ??辦?Ｍｅｌｈｏｉ??Ｅｘｐａｎｄ?Ａｌｌ??Ｃｏｌｌａｐｓｅ?Ａｌｌ?，??１?－］，．?；??｜ＣＡＣ０ＭＲａｉｄｅｒ＼ＶｌｌＬＮＬｉｂ＼ｓｅｒｖｅｒ＼ＭｅｆｉＴＯｄ１?＼１７３７７５３８３３．?ｗｓｆ??Ｃ：＼Ｃ０ＭＲａｉｄｅｒＷＵＬＮＬｉｂ＼ｓｅｆｖｅｆ＼ＭｅＪｈｏｄ１?＼１８５３２８７８３０．?ｗｓｆ?－??ｉＣ＾ＯＭＲ〇ｉｄｅｒ＼ＶＵＬＮＬｉｂ＼ｓｅｒｖｅｒ＼Ｍｅｔｈｏｄｌ＼２３７３７１５３３．ｗ￥｛??Ｃ：＼Ｃ０ＭＲｄｉｄｅｆ＼ＷＬＮＬｉｂ＼ｓｅｒｖｅｊ＼Ｍｅｌｈｏｄ１?＼１?Ｓ４５２２２５９１?ｍｆ??Ｉ?Ｃ：＼Ｃ０ＭＲ＾ｉｄｅｉ＼ＶＵＬＮＬｉｂ＼ｓｅｒｖｅＡＭｅｔｈｏｄ１?＼５１２３７３２５２?ｗｓ／??Ｉ?Ｃ：＼ＣＯＭＲａｉｄｅｔ＼＼／

圖２－４?ＣＯＭＲａｉｄｅｒ生成的測(cè)試樣例??（５）在文件生成后，我們可以通過(guò)點(diǎn)擊“Ｂｅｇｉｎ”按鈕開(kāi)始進(jìn)行模糊測(cè)試

【參考文獻(xiàn)】：
期刊論文
[1]從自動(dòng)化到智能化:軟件漏洞挖掘技術(shù)進(jìn)展[J]. 鄒權(quán)臣,張濤,吳潤(rùn)浦,馬金鑫,李美聰,陳晨,侯長(zhǎng)玉.  清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2018(12)
[2]基于Fuzzing的ActiveX控件漏洞挖掘技術(shù)研究[J]. 楊丁寧,肖暉,張玉清.  計(jì)算機(jī)研究與發(fā)展. 2012(07)
[3]ActiveX控件漏洞挖掘與分析技術(shù)研究[J]. 黃誠(chéng),方勇.  信息安全與通信保密. 2012(02)
[4]ActiveX控件中不安全方法漏洞的檢測(cè)技術(shù)[J]. 李永成,黃曙光,唐和平.  微型機(jī)與應(yīng)用. 2010(06)



本文編號(hào)：3262515