• 主题
高级搜索  >
历史搜索 清空历史
首页> 中文期刊>软件学报 >基于模式生成的浏览器模糊测试技术

基于模式生成的浏览器模糊测试技术

     
页面导航
  • 摘要
  • 著录项
  • 相似文献
  • 相关主题

摘要

Fuzzing is widely used for browser vulnerability mining,and one of the key factors determining its effectiveness is the test pattern written by the tester.Considering that the test pattern is written with high cost and short survival time,in this article,an automatic construction of fuzzy tester based on pattern-generation is presented.By analyzing the known vulnerability samples and extracting the test pattern automatically,the traditional mutation strategy is then applied to each module in the pattern to complete the automatic generation of the abnormal samples.Experimental results show that in average it takes only 11.168 seconds to finish the automatic construction of 1 089 different fuzzy testers based on 1 089 known vulnerabilities for five browsers,which has much lower time-consumption than that required by testers themselves.Applying on IE 10,IE 11 and Firefox 54.0 Web browser with randomly selected 10 fuzzy testers,the new method discovered a total of 57 different bugs,including a high-risk unknown vulnerability.This demonstrates that this method has better capability at finding the unknown vulnerability.%模糊测试被广泛应用于浏览器的漏洞挖掘,其效果好坏的决定因素之一是测试者编写的测试模式.针对特定测试模式实现成本高、生存时间短等问题,提出了一种基于模式生成的浏览器模糊测试器自动构造方法,通过解析已知漏洞触发样本,自动提取测试模式,对模式中每个模块应用传统的变异策略,完成畸形样本的自动生成.实验结果表明:针对5款浏览器的1 089个已知漏洞触发样本,平均仅用时11.168s即可完成1 089个不同模糊测试器的自动构建,远低于人为编写的时间消耗;随机选取其中10个模糊测试器分别对IE 10、IE 11、Firefox 54.0的全补丁版本进行测试,共产生57个不同的崩溃样本,发现1个高危未知漏洞,证明该方法具有较好的未知漏洞发现能力.

著录项

  • 来源
    《软件学报》|2018年第5期|1275-1287|共13页
  • 作者

    霍玮; 戴戈; 史记; 龚晓锐; 贾晓启; 宋振宇; 刘宝旭; 邹维;

  • 作者单位

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

    中国科学院信息工程研究所,北京 100195;

    中国科学院网络测评技术重点实验室(中国科学院信息工程研究所),北京100195;

    网络安全防护技术北京市重点实验室(中国科学院信息工程研究所),北京 100195;

    中国科学院大学网络空间安全学院,北京 100049;

  • 原文格式 PDF
  • 正文语种 chi
  • 中图分类 程序设计、软件工程;
  • 关键词

    模糊测试; 漏洞挖掘; 浏览器; 模式;

  • 入库时间 2022-08-18 05:33:25

相似文献

  • 中文文献
  • 外文文献
  • 专利
获取原文

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有

  • 客服微信

  • 服务号