网络应用程序漏洞挖掘技术研究Research on vulnerability mining technology of network application program
高瑞,周彩兰,朱荣
摘要(Abstract):
研究和分析了漏洞挖掘技术,针对客户端应用程序提出一种基于Fuzzing的客户端应用程序漏洞挖掘方法,研究了网络数据自动分析的方法和基于数据包内容的Fuzzing测试的方法,解决了客户端网络数据包自动采集的问题。实验结果表明,该方法相比主流测试方法,可测试范围广,测试速度快。针对Web应用程序提出一种基于Fuzzing的Web应用程序漏洞挖掘方法。研究了基于脚本和测试数据集的Web应用程序Fuzzing测试方法,解决了Web网络数据采集的问题。实验结果表明,该方法比主流Web漏洞检测工具检测范围广,可扩展性强。
关键词(KeyWords): 漏洞挖掘;Fuzzing;网络应用程序;Web应用程序;数据采集;数据自动分析
基金项目(Foundation):
作者(Author): 高瑞,周彩兰,朱荣
DOI: 10.16652/j.issn.1004-373x.2018.03.027
参考文献(References):
- [1]杨莎滢.论软件安全漏洞挖掘技术[J].信息安全与技术,2013,4(1):32-34.YANG Shaying.Study on software security vulnerabilities mining technology[J].Information security and technology,2013,4(1):32-34.
- [2]李晓鹏,刘佳.浅论网络计算机安全隐患及漏洞挖掘技术[J].数字技术与应用,2014(1):182-183.LI Xiaopeng,LIU Jia.Discussion on network computer security hidden trouble and vulnerability mining technology[J].Digital technology&application,2014(1):182-183.
- [3]唐萍,张国强.基于软件体系结构分析的漏洞挖掘技术研究[J].现代电子技术,2016,39(9):99-102.TANG Ping,ZHANG Guoqiang.Research on vulnerability mining technology based on software architecture analysis[J].Modern electronics technique,2016,39(9):99-102.
- [4]陈震.网络计算机安全隐患及漏洞挖掘技术分析[J].网络安全技术与应用,2015(3):112-113.CHEN Zhen.Network computer security risks and vulnerability mining technology analysis[J].Network security technology&application,2015(3):112-113.
- [5]刘涛,王海东.基于Fuzzing的文件格式漏洞挖掘技术[J].中国科技信息,2014(9):160-162.LIU Tao,WANG Haidong.File format vulnerability mining technology based on Fuzzing[J].China science and technology information,2014(9):160-162.
- [6]张远,方勇.程序流程跟踪漏洞挖掘系统[J].信息安全与通信保密,2013(4):90-91.ZHANG Yuan,FANG Yong.Program flow tracing vulnerability mining system[J].Information security and communication security,2013(4):90-91.
- [7]张开便,董振华,李喜艳.基于模糊测试的网络协议漏洞挖掘研究[J].现代电子技术,2016,39(13):84-87.ZHANG Kaibian,DONG Zhenhua,LI Xiyan.Research on network protocol vulnerability mining based on fuzzy test[J].Modern electronics technique,2016,39(13):84-87.
- [8]达小文,王晓程,陈志浩.基于改进模糊测试的Web应用漏洞挖掘方法[J].计算机与现代化,2016(8):100-104.DA Xiaowen,WANG Xiaocheng,CHEN Zhihao.Web vulnerability mining method based on improved fuzzy test[J].Computer and modernization,2016(8):100-104.
- [9]王凯,刘奇旭,张玉清.基于Fuzzing的Android应用通信过程漏洞挖掘技术[J].中国科学院大学学报,2014,31(6):827-835.WANG Kai,LIU Qixu,ZHANG Yuqing.Vulnerability mining technology of Android application communication process based on Fuzzing[J].Journal of University of Chinese Academy of Sciences,2014,31(6):827-835.
- [10]黄超,李毅,麻荣宽,等.网页漏洞挖掘系统设计[J].信息网络安全,2012(9):76-80.HUANG Chao,LI Yi,MA Rongkuan,et al.Web vulnerability mining system design[J].Information network security,2012(9):76-80.