基于图同构网络的高效Web模糊测试技术研究

作     者：张展鹏 王鹃 张冲 王杰 胡宇义 ZHANG Zhanpeng;WANG Juan;ZHANG Chong;WANG Jie;HU Yuyi

作者机构：武汉大学国家网络安全学院武汉430072 武汉大学空天信息安全与可信计算教育部重点实验室武汉430072 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2024年第10期

页      面：1544-1552页

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金 科技部科技创新2030—“新一代人工智能”重大项目[2020AA0107700] 国家电网科学技术项目 

主　　题：模糊测试 Web漏洞 图同构网络 漏洞挖掘 

摘      要：现有的Web模糊测试方法主要包括基于字典的黑盒测试方法和借鉴二进制模糊测试的灰盒测试方法,这些方法存在随机性大、效率低的缺点。针对上述问题,文章提出了一种基于图同构网络的高效Web模糊测试方法。首先,利用图同构网络在图表示和图结构学习方面的强大能力,在代码的控制流图上学习漏洞语义和结构特征,并进行基本块漏洞概率预测;然后,基于漏洞预测结果提出了漏洞概率和覆盖率双导向的Web应用模糊测试指导策略,在不降低覆盖率的同时优先探索含漏洞概率更高的程序位置,有效解决了现有Web应用模糊测试工具随机性大、效率低的问题;最后,基于以上方法实现了原型系统并进行实验评估。实验结果表明,与webFuzz相比,该原型系统的漏洞挖掘效率提高了40%,覆盖率扩大了5%。