-
公开(公告)号:CN115130109A
公开(公告)日:2022-09-30
申请号:CN202210713214.8
申请日:2022-06-22
Applicant: 上海大学
Abstract: 本发明提供一种面向Net反序列化漏洞挖掘的静态代码双流相向分析方法,可针对反序列化调用连通路径进行更加高效的代码分析,大大降低漏洞挖掘与分析工作的人力成本。该方法包括如下步骤:1)待测对象反编译:运用反编译技术,将.NET程序集反编译为C#源代码以供分析;2)数据流正向分析:使用自动化检测软件进行数据流的正向路径分析;3)控制流反向分析:使用自动化分析工具进行控制流的反向路径分析;4)人工路径匹配:基于数据流和控制流的双流相向分析结果进行漏洞利用通路的人工匹配和验证。本发明方法能够有效提高C#代码的分析速率和反序列化漏洞的挖掘效率。
-
公开(公告)号:CN115329336A
公开(公告)日:2022-11-11
申请号:CN202210658233.5
申请日:2022-06-10
Applicant: 上海大学
IPC: G06F21/57
Abstract: 本发明面向开源软件供应链安全提出了基于依赖项检测和开源评分体系的NET平台开源软件供应链漏洞评分方法,可有针对性的解决对开源.Net软件供应链场景下安全漏洞评分系统未考虑上下游依赖关系问题。该方法包括如下步骤:1)依赖项检测:使用依赖项检测程序获取开源组件的上下游依赖项数据信息;2)开源评分体系:基于针对上下游依赖关系的评分指标提出开源评分体系及计分公式。在本发明中,运用NuGet平台的依赖项检测为开源漏洞评分提供了评判供应链上下游依赖关系影响程度的度量指标,开源评分体系对开源组件漏洞评估时能够给出更加准确的严重性评分,最终形成的.Net开源供应链漏洞评分方法能有效提高.Net安全漏洞在严重性评分过程中的客观性和全局性。
-
Search Results
2
records
(took 0.011 seconds)
