-
公开(公告)号:CN114329478A
公开(公告)日:2022-04-12
申请号:CN202111484888.7
申请日:2021-12-07
Applicant: 复旦大学
IPC: G06F21/57
Abstract: 本发明属于软件漏洞挖掘技术领域,具体为一种安卓系统服务内存消耗类漏洞挖掘方法。本发明方法分为静态分析和动态模糊测试两个阶段;静态分析阶段的任务是定位潜在漏洞,首先通过启发式规则定位数据存储指令和能够到达这些指令的系统服务接口;然后收集到达数据存储指令的约束条件,并根据约束条件生成模糊测试的初始输入。动态模糊测试阶段是判断时间窗口内对数据存储指令的攻击是否足以造成安全影响;在动态模糊测试过程中,在反馈收集、种子选择、种子生成和变异、攻击代码生成这四个方面提出了新的方法,从而实现高效的模糊测试:本发明可以高效、准确地检测安卓系统服务中的内存消耗类漏洞。
-
公开(公告)号:CN115422543A
公开(公告)日:2022-12-02
申请号:CN202211000984.4
申请日:2022-08-19
Applicant: 复旦大学
Abstract: 本发明属于漏洞检测与测试技术领域,具体为一种基于小程序框架的漏洞检测方法。本发明所述漏洞为两种类型:云侧软件成分加载漏洞和端侧应用API访问控制漏洞;对于前者,用模糊测试技术,将启动小程序的链接中的部分字段进行变异,然后通过安卓中的intent机制启动对应的APP并在其对应的小程序中加载相应的软件成分,通过加载结果来判断是否存在该类型的漏洞;对于后者,采用动态测试技术,在每次测试中控制单一变量,通过观察同一个敏感API的在不同实验环境下的调用结果来判断是否存在该类型的漏洞。本发明能够自动、快速检测出APP中(类)小程序框架中的两种漏洞,发现其在安全策略上存在的缺陷,从而阻挡攻击者的恶意攻击。
-
Search Results
2
records
(took 0.014 seconds)
