位置:成果数据库 > 期刊 > 期刊详情页
基于污点跟踪的黑盒fuzzing测试
  • ISSN号:1000-1220
  • 期刊名称:《小型微型计算机系统》
  • 时间:0
  • 分类:TP311[自动化与计算机技术—计算机软件与理论;自动化与计算机技术—计算机科学与技术]
  • 作者机构:[1]中国科学技术大学计算机科学与技术学院,合肥230026, [2]安徽省计算与通讯软件重点实验室,合肥230026
  • 相关基金:安徽省自然科学基金项目(11040606M131)资助
作者: 朱贯淼[1], 曾凡平[1,2], 袁园[1], 武飞[1]
关键词: FUZZING, 污点跟踪, 黑盒, 漏洞挖掘, fuzzing, taint trace, blackbox, vulnerability detection
中文摘要:

针对传统fuzzing测试中的低效率问题,提出一种基于污点跟踪的黑盒fuzzing测试方法.通过将合法输入标记为污染源,并记录污点在应用程序中的传播过程,提取关键的污点信息,用以指导新的测试用例的生成.这样生成的测试用例,具有更好的针对性,以及能够达到较深的代码深度,有良好的代码覆盖率,能更好的挖掘出潜在的漏洞和安全脆弱点.采用这种方法对几款图形处理软件和图形库进行了测试,发现了一个漏洞,并提交SecurityFocus通过.

英文摘要:

For the low effectiveness of traditional fuzzing test,we propose a blackbox fuzzing test method based on taint check.To extract the taint information which directs the generation of new test cases,we mark the tainted input file and track how the tainted attribute propagates.The advantages of our method are better targeted,have high probability to test code within the entire program and have a better performance in detecting potential bugs and vulnerabilities.We do experiments on several graphics software and graphics library and find a new security vulnerability which has been admitted by SecurityFocus.

同期刊论文项目
 基于不变量约束的随机测试用例自动化生成技术研究
期刊论文 8
同项目期刊论文
程序断言与切片技术在检测程序非崩溃错误中的应用
基于启发式搜索的IP数据流分类方法的研究
不变量指导的随机测试用例生成
数据流应用层载荷特征正则表达式的自动提取
程序不变量到断言的自动转换方法研究及其应用
基于多重对应分析的Android应用安全等级评估
Android应用程序的隐式控制流图构建
期刊信息
  • 《小型微型计算机系统》
  • 中国科技核心期刊
  • 主管单位:中国科学院
  • 主办单位:中国科学院沈阳计算技术研究所
  • 主编:林浒
  • 地址:沈阳市浑南新区南屏东路16号
  • 邮编:110168
  • 邮箱:xwjxt@sict.ac.cn
  • 电话:024-24696120 024-24696190-8870
  • 国际标准刊号:ISSN:1000-1220
  • 国内统一刊号:ISSN:21-1106/TP
  • 邮发代号:8-108
  • 获奖情况:
  • 中国自然科学核心期刊,中国科学引文数据库来源期刊
  • 国内外数据库收录:
  • 俄罗斯文摘杂志,波兰哥白尼索引,荷兰文摘与引文数据库,美国剑桥科学文摘,英国科学文摘数据库,日本日本科学技术振兴机构数据库,中国中国科技核心期刊,中国北大核心期刊(2004版),中国北大核心期刊(2008版),中国北大核心期刊(2011版),中国北大核心期刊(2014版),中国北大核心期刊(2000版)
  • 被引量:23212