-
题名一种虚拟化环境的脆弱性检测方法
- 1
-
-
作者
王瑞
连一峰
陈恺
-
机构
中国科学院软件研究所信息安全国家重点实验室
中国科学院研究生院信息安全国家重点实验室
信息安全共性技术国家工程研究中心
信息网络安全公安部重点实验室(公安部第三研究所)
-
出处
《计算机应用与软件》
CSCD
北大核心
2012年第9期14-17,53,共5页
-
基金
国家自然科学基金项目(61100226)
国家高技术研究发展计划项目(2011AA01A203)
+1 种基金
北京市自然科学基金项目(4122085)
公安部三所开放基金课题(C10606)
-
文摘
基于源代码的静态分析技术是检测软件脆弱性的重要手段之一。针对Linux平台下由不安全方式创建临时文件问题引起的符号链接脆弱性,提出一种基于污点传播分析的脆弱性检测方法。通过查找打开或创建文件等导致脆弱性的特征函数从源代码中识别漏洞触发变量,采用后向污点传播分析方法分析变量传递路径,判断其是否来源于污点源,从而检测出可能存在符号链接脆弱性。利用该方法对XEN 3.03版本的源代码进行检测,成功发现了2个漏洞,其中包括1个未知漏洞。实验表明,该方法是一种有效的脆弱性检测方法。
-
关键词
虚拟化环境
符号链接
污点传播分析
-
Keywords
Virtual environment, Symbol link ,Tainting analysis
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-