针对整数溢出潜在漏洞的快速定位系统

导出

摘要整数溢出漏洞作为一种历史悠久的漏洞,在当前的软件生态系统中仍然存在,且仍然可能导致严重的系统安全问题。对于整数溢出漏洞的检测工作主要是通过使用或结合符号执行,污点分析,模糊测试等技术进行,也取得了较好的效果。但是由于这些方法需要对检测目标进行深入的分析,这很大程度上限制了这些检测工具的推广和使用。该文针对整数溢出漏洞,分析了漏洞的产生原因和带来的安全威胁,设计和实现了一个基于静态语义匹配搜索的面向二进制文件的整数溢出潜在漏洞的快速定位系统。经测试,该系统能够检测出已公开的整数溢出漏洞。通过该系统检测软件中的整数溢出漏洞,及时对软件进行修复防护,可以有效提高软件的健壮性,减少整数溢出漏洞带来的安全隐患。

作者温志华

机构地区广州大学

出处《网络安全技术与应用》 2022年第10期30-33,共4页 Network Security Technology & Application

关键词整数溢出静态语义匹配搜索

分类号 TP309 [自动化与计算机技术—计算机系统结构] TP311.5 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献1

1李舟军,张俊贤,廖湘科,马金鑫.软件安全漏洞检测技术[J].计算机学报,2015,38(4):717-732. 被引量：74

二级参考文献82

1陈火旺,王戟,董威.高可信软件工程技术[J].电子学报,2003,31(z1):1933-1938. 被引量：115
2赵云山,宫云战.基于符号分析的静态缺陷检测技术研究[博士学位论文].北京:北京邮电大学,2012.
3Tassey G. The economic impacts of inadequate infrastructure for software testing. Gaithershurg National. Institute of Standards and Technology, Planning Report 02-3, 2002.
4Sipser M. Introduction to the Theory of Computation. Boston, USA: Thomson Course Technology, 2006.
5Hoare C A R. An axiomatic approach to computer program- ming. Communications of the ACM, 1969, 12(10) : 576-580.
6Godefroid P, Klarlund N, Sen K. DART: Directed automated random testing//Proceedings of the ACM SIGPLAN Conference on Programming Language Design and Implementation. New York, USA, 2005:213-223.
7Ball T, Cook B, Levin V, Rajamani S K. SLAM and static driver verifierz Technology transfer of formal methods inside Microsoft//Proceedings of the Integrated Formal Methods. Canterbury, England, 2004, 1-20.
8Korel B. A dynamic approach of test data generation// Proceedings of the IEEE Conference on Software Maintenance (ICSM). San Diego, USA, 1990.. 311-317.
9Korel B. Automated software test data generation. IEEE Transactions on Software Engineering, 1990, 16(8): 870-879.
10Edvardsson J. A survey on automatic test data generation// Proceedings of the 2nd Conference on Computer Science and Engineering. Link6ping, Sweden, 1999: 21-28.

共引文献73

1张超,潘祖烈,樊靖.面向堆内存漏洞的double free攻击方法检测[J].计算机应用研究,2020,37(S01):275-278. 被引量：1
2李光杰,唐艺,易比一,张翔,何焱.开源软件供应链安全问题研究[J].智能安全,2023,2(1):82-89.
3王耀辉,王丹,付利华.面向PHP程序的SQL漏洞检测系统[J].计算机工程,2016,42(4):112-118. 被引量：5
4马金鑫,张涛,李舟军,张江霄.Fuzzing过程中的若干优化方法[J].清华大学学报（自然科学版）,2016,56(5):478-483. 被引量：11
5吴波,云雷,金先涛,刘北水.工业监控组态软件模糊测试方法研究[J].电子产品可靠性与环境试验,2016(3):33-38. 被引量：2
6李艳,黄光球,张斌.动态攻击网络Markov演化博弈安全分析模型[J].计算机科学与探索,2016,10(9):1272-1281. 被引量：4
7邱洋,王轶骏,薛质.基于符号执行的Python攻击脚本分析平台[J].计算机工程,2016,42(11):139-146. 被引量：3
8潘巍巍,陶桦.无线通信网络中攻击信号定位识别仿真研究[J].计算机仿真,2016,33(11):320-323.
9张俊贤,李舟军.基于动态符号执行的C代码缓冲区溢出检测[J].北京邮电大学学报,2016,39(B06):50-54. 被引量：1
10卢燕群,赵洪举,叶亚宏.基于交易报文指纹关系的商业银行风险交易识别与发现[J].计算机应用研究,2017,34(3):800-804.

1李军.刮板输送机链牵引装置受力分析及故障检测[J].机械管理开发,2021,36(3):127-129. 被引量：1
2李长齐,王菡,罗昊.基于树莓派的齿轮表面缺陷检测系统设计[J].仪表技术与传感器,2022(3):109-113. 被引量：3
3李梦玮,巩潇,赵郑斌,崔登祺.基于工业互联网平台的工业机器人系统安全问题研究[J].自动化与仪表,2022,37(10):44-47. 被引量：1
4傅红艳.无纸化办公环境下电子档案信息安全管理难题与对策[J].办公自动化,2022,27(19):6-9. 被引量：2
5STM32Cube软件生态系统赋能大众市场嵌入式声控技术应用[J].单片机与嵌入式系统应用,2022,22(8):65-65.

网络安全技术与应用

2022年第10期

浏览历史

内容加载中请稍等...

针对整数溢出潜在漏洞的快速定位系统

参考文献1

二级参考文献82

共引文献73

相关作者

相关机构

相关主题

浏览历史