检索结果-南通市图书馆

在线全文

同方期刊数据库

学校读者我要写书评

暂无评论

漏洞自动修复研究综述

软件学报 2024年第1期35卷 136-158页

作者：徐同同刘逵夏鑫华为公司软件工程应用技术实验室浙江杭州310007

软件漏洞是计算机软件系统安全方面的缺陷,给现代软件及其应用数据的完整性、安全性和可靠性带来巨大威胁.人工治理漏洞费时且易错,为了更好应对漏洞治理挑战,研究者提出多种自动化漏洞治理方案,其中漏洞自动修复方法近来得到研究者广... 详细信息

软件漏洞是计算机软件系统安全方面的缺陷,给现代软件及其应用数据的完整性、安全性和可靠性带来巨大威胁.人工治理漏洞费时且易错,为了更好应对漏洞治理挑战,研究者提出多种自动化漏洞治理方案,其中漏洞自动修复方法近来得到研究者广泛关注.漏洞自动修复技术旨在辅助开发人员修复漏洞,涵盖漏洞根因定位、补丁生成、补丁验证等功能.现有工作缺乏对漏洞修复技术系统性的分类与讨论,为了促进漏洞修复技术发展,加深研究人员对漏洞修复问题的认知理解,对现有漏洞修复方法技术的理论、实践、适用场景和优缺点进行全面洞察,并撰写了漏洞自动修复技术的研究综述.主要内容包括:(1)按照修复漏洞类型不同整理归纳特定类型漏洞的修复方法以及通用类型漏洞的修复方法;(2)按照所采用的技术原理将不同修复方法进行分类与总结;(3)归纳漏洞修复主要挑战;(4)展望漏洞修复未来发展方向.

关键词：软件漏洞漏洞自动修复漏洞分析漏洞定位

在线全文

学校读者我要写书评

暂无评论

填埋场垂直HDPE膜漏洞定位算法研究

填埋场垂直HDPE膜漏洞定位算法研究

作者：常景润山东工商学院

学位级别：硕士

垂直铺塑技术,即将高密度聚乙烯膜(High Density Polyethylene,HDPE)在地层中垂直铺设,通过HDPE膜的不透水性和岩土体介质的强度共同修筑防渗体系。该技术属于地下隐蔽工程,受限于原生缺陷、安装缺陷和地层环境等影响,出现局部破损。因... 详细信息

垂直铺塑技术,即将高密度聚乙烯膜(High Density Polyethylene,HDPE)在地层中垂直铺设,通过HDPE膜的不透水性和岩土体介质的强度共同修筑防渗体系。该技术属于地下隐蔽工程,受限于原生缺陷、安装缺陷和地层环境等影响,出现局部破损。因此,对HDPE膜漏洞进行有效定位,及时排查防渗工程安全隐患,对于填埋场正常运营及周边环境的保护具有重要意义。本文主要针对HDPE膜漏洞定位进行研究,根据垂直HDPE膜的结构特点和场地条件,提出将双排列电测装置(CP电测装置)应用到HDPE膜检测,并指出了CP电测装置的不足之处加以改进。主要完成以下工作:(1)从电场理论出发,分析漏洞检测的前提条件,选取适合的检测装置。由于HDPE膜具有高阻特性,HDPE膜出现漏洞后,使得HDPE膜两侧电位差变小,因此,可以通过电场的变化确定漏洞的位置。(2)漏洞定位正演算法采用网格质量较高、可以灵活控制网格疏密的四面体网格,对研究区域进行网格剖分,实现了局部加密,在不增加计算量的同时提高了计算精度和计算效率。(3)在目标函数中,加入正则化约束条件,对区域进行约束,根据工况对HDPE膜漏洞的不同形态做了分析,主要对点状破损、线状破损进行数值模拟,采用高斯牛顿法对模型参数进行反演。首先验证了CP电测装置的有效性,对于线状破损具有很好的识别能力,但对于点状破损其水平方向的分辨率较高,垂直方向的分辨率较低,为此,进行了改进,对比改进后不同装置的反演结果,为实际场地HDPE膜的检测提供了依据。(4)对某危废填埋场的HDPE膜进行检测,将采集数据,通过漏洞定位算法,对HDPE膜漏洞进行精准定位。从现场角度对算法进行校验,并参考HDPE膜外侧电极采集数据反演结果和现场水文地质情况进行了反演解释,其位置相吻合,定位误差小于0.3m左右,证明该算法是行之有效的。研究表明漏洞定位算法在HDPE膜漏洞检测中是有效的,对今后的研究和实际检测提供一定的参考价值。

关键词：填埋场垂直HDPE膜电阻率法漏洞定位

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于污点跟踪的固件漏洞定位研究

山东大学学报（理学版） 2016年第9期51卷 41-46,52页

作者：戴忠华费永康赵波王婷武汉大学计算机学院湖北武汉430072 武汉大学空天信息安全与可信计算教育部重点实验室湖北武汉430072 中国信息安全测评中心北京100085

在嵌入式设备的漏洞挖掘过程中,由于物理设备资源有限且运行环境封闭,导致由Fuzzing得到的异常无法得到及时确认和利用。以嵌入式固件为研究对象,提出一种基于污点跟踪的固件漏洞定位方法,该方法在仿真环境中进行动态分析,可以快速定位... 详细信息

在嵌入式设备的漏洞挖掘过程中,由于物理设备资源有限且运行环境封闭,导致由Fuzzing得到的异常无法得到及时确认和利用。以嵌入式固件为研究对象,提出一种基于污点跟踪的固件漏洞定位方法,该方法在仿真环境中进行动态分析,可以快速定位异常位置,判定异常原理,评估利用方法。基于该方法,在路由器、IP摄像头等多款嵌入式设备上进行实验,成功利用了ARM、MIPS架构下多个0day漏洞,对嵌入式设备漏洞挖掘有很好的参考价值。

关键词：设备仿真动态调试污点跟踪漏洞定位

基于RASP技术的Java Web框架漏洞通用检测与定位方案

在线全文

学校读者我要写书评

暂无评论

武汉大学学报（理学版） 2020年第3期66卷 285-296页

作者：邱若男胡岸琪彭国军张焕国武汉大学空天信息安全与可信计算教育部重点实验室湖北武汉430072 武汉大学国家网络安全学院湖北武汉430072 滴滴出行有限公司信息安全部浙江杭州310000

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)... 详细信息

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88.2%,且该方案性能消耗小。

关键词：运行时应用自我保护漏洞定位攻击检测 Java Web

在线全文

学校读者我要写书评

暂无评论

Web应用系统漏洞定位技术研究与实现

Web应用系统漏洞定位技术研究与实现

作者：张莹莹广东工业大学

学位级别：硕士

SQL注入攻击和XSS跨站脚本攻击是Web应用系统面临的最严重的安全问题,轻则导致数据丢失、数据破坏或拒绝服务,重则主机被完全接管、系统瘫痪,因此对其检测问题研究具有重要的现实意义。模糊测试是一种基于缺陷注入的自动或半自动化的漏... 详细信息

SQL注入攻击和XSS跨站脚本攻击是Web应用系统面临的最严重的安全问题,轻则导致数据丢失、数据破坏或拒绝服务,重则主机被完全接管、系统瘫痪,因此对其检测问题研究具有重要的现实意义。模糊测试是一种基于缺陷注入的自动或半自动化的漏洞挖掘技术,它通过向目标(如文件格式、网络协议、API等)提供大量半有效的数据作为输入并监测程序是否出现异常,以此发现Web应用系统中潜在的安全漏洞。动态污点分析是一种数据流跟踪技术,通过标记和跟踪数据随在程序运行中的传播过程,找出目的数据结果和源数据之间的依赖关系。本文研究常见的Web应用系统漏洞检测方法,并分析基于黑盒测试的扫描器和基于白盒测试的代码审计工具特点,扫描器检测速度快却不能定位漏洞产生的具体代码,代码审计工具能定位产生漏洞代码却因要分析所有的源代码而耗费大量时间,进而提出一种基于模糊测试和动态污点分析技术的Web应用系统漏洞定位方法,设计系统原型并进行实验验证和测试。本文的主要工作如下：(1)分析SQL注入漏洞及XSS漏洞的产生原因、分类、危害、预防及检测方式。归纳分析SQL注入及XSS跨站脚本的攻击方式,设计攻击向量库。(2)提出一种基于模糊测试和动态污点分析技术的Web应用系统漏洞定位方法。该方法在模糊测试阶段快速得到存在SQL注入及XSS漏洞的注入点,动态污点分析阶段通过跟踪这些注入点的数据在程序中的传播过程,得到SQL注入及XSS漏洞在程序中从注入点到陷入点的全过程,完成对漏洞的定位。(3)研究动念污点分析的原理及过程,并将其用于SQL注入及XSS漏洞的定位。在源代码级别实现动态污点数据的标记、跟踪及检测,设计基于高级语言的污点传播规则。(4)针对提出的基于模糊测试和动态污点分析的漏洞定位方法,设计检测定位SQL注入漏洞和XSS跨站脚本漏洞的系统框架WebPOS,并实现漏洞定位系统原型。本文的创新点主要体现在以下几个方面：(1)提出了一种基于模糊测试和动态污点分析技术的Web应用系统的漏洞定位方法,实验证明有较低的误报率和较小的时间开销。(2)实现基于源代码级别的动态污点分析,设计了基于高级语言的污点传播规则并给出了实现算法,运行时开销小,速度快。(3)运用Java编程技术,设计并实现了用于检测定位SQL注入漏洞和XSS跨站脚本漏洞的系统原型WebPOS。

关键词： SQL注入 XSS跨站脚本模糊测试动态污点分析漏洞定位

一种基于补丁比对和静态污点分析的漏洞定位技术研究

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

信息网络安全 2017年第9期 5-9页

作者：达小文毛俐旻吴明杰郭敏北京计算机技术及应用研究所北京100854

目前对于开源软件的漏洞定位分析较为缺乏,且缺少一种自动化的快速定位方法。针对这些不足,文章提出一种基于补丁比对和静态污点分析的漏洞定位方法。该方法通过分析大量开源软件的缓冲区溢出错误的实例,提取6种缓冲区错误的漏洞定位模... 详细信息

目前对于开源软件的漏洞定位分析较为缺乏,且缺少一种自动化的快速定位方法。针对这些不足,文章提出一种基于补丁比对和静态污点分析的漏洞定位方法。该方法通过分析大量开源软件的缓冲区溢出错误的实例,提取6种缓冲区错误的漏洞定位模型;通过将补丁比对和污点传播结合,生成污点传播路径图;将补丁源码的污点传播路径图与定位模型匹配以定位某小块代码,采用污点查找精确定位漏洞所在行。

关键词：漏洞定位补丁比对污点分析缓冲区错误

在线全文

学校读者我要写书评

暂无评论

一种SQL注入漏洞定位检测方法

计算机应用与软件 2016年第2期33卷 314-317页

作者：张莹莹凌捷广东工业大学计算机学院广东广州510006

SQL注入是攻击Web程序的常见手段。传统的SQL注入漏洞检测工具在定位效率、检测广度很难满足目前日益增长的程序代码量。针对这种情况,分析SQL注入漏洞的特征,提出一种渗透测试与程序分析技术相结合的方法来定位程序中存在的SQL注入漏... 详细信息

SQL注入是攻击Web程序的常见手段。传统的SQL注入漏洞检测工具在定位效率、检测广度很难满足目前日益增长的程序代码量。针对这种情况,分析SQL注入漏洞的特征,提出一种渗透测试与程序分析技术相结合的方法来定位程序中存在的SQL注入漏洞。其中渗透测试部分通过模拟攻击找出可能的SQL注入点,程序分析部分对源程序代码进行分析,通过对污染变量的标记跟踪来实现SQL注入点的定位。实验结果表明,所提出的方法在定位时间、漏洞检测效果有较好表现。

关键词： SQL注入渗透测试程序分析漏洞定位

在线全文

学校读者我要写书评

暂无评论

基于代码插装的缓冲区溢出漏洞定位技术

计算机工程 2012年第9期38卷 138-140页

作者：史胜利包头师范学院信息科学与技术学院内蒙古包头014030

为准确快速地找到缓冲区溢出漏洞点,提出一种通过代码插装对二进制文件中的缓冲区溢出漏洞自动定位的方法。使用PIN提供的函数编写程序分析工具,在程序执行过程中记录所需的信息。当检测到内存访问错误异常时,判别破坏内存的情况,获取... 详细信息

为准确快速地找到缓冲区溢出漏洞点,提出一种通过代码插装对二进制文件中的缓冲区溢出漏洞自动定位的方法。使用PIN提供的函数编写程序分析工具,在程序执行过程中记录所需的信息。当检测到内存访问错误异常时,判别破坏内存的情况,获取内存破坏点,查找到非法写内存的指令定位漏洞。实例分析表明,该方法不需要源程序且效率较高,能成功地定位常见的缓冲区溢出漏洞。

关键词：漏洞定位代码插装返回地址函数指针异常缓冲区溢出

基于标志位差异分析的整数溢出漏洞溢出点定位方法

在线全文

学校读者我要写书评

暂无评论

计算机科学 2014年第12期41卷 19-23页

作者：黄克振连一峰陈恺张颖君康恺中国科学院软件研究所北京100190 中国科学院研究生院北京100049

近几年,整数溢出漏洞数量居高不下,危害性较大。目前,漏洞分析定位的方法仅在补丁自动生成或漏洞触发样本文件自动生成中有所涉及,且这些方法大多利用缓冲区溢出会覆盖其邻接内存数据的特点来进行定位分析,而整数溢出漏洞不具有直接覆... 详细信息

近几年,整数溢出漏洞数量居高不下,危害性较大。目前,漏洞分析定位的方法仅在补丁自动生成或漏洞触发样本文件自动生成中有所涉及,且这些方法大多利用缓冲区溢出会覆盖其邻接内存数据的特点来进行定位分析,而整数溢出漏洞不具有直接覆盖重要数据的特点,所以现有的方法不能对其进行有效的定位分析。现阶段对整数溢出漏洞的分析大多依靠人工完成,效率较低。为了提高分析人员的工作效率,提出了一种结合动态污点分析技术进行EFLAGS标志位信息比对的方法,来将溢出点锁定在少量的地址中。在此基础上实现了一套整数溢出漏洞溢出点定位系统,并对提出的方法进行了验证。

关键词：漏洞定位整数溢出漏洞动态污点分析