检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
名 称:
注 释:
作 者:王瑞[1,2,3,4] 连一峰[1,3] 陈恺[1]
机构地区:[1]中国科学院软件研究所信息安全国家重点实验室,北京100190 [2]中国科学院研究生院信息安全国家重点实验室,北京100049 [3]信息安全共性技术国家工程研究中心,北京100190 [4]信息网络安全公安部重点实验室(公安部第三研究所),上海201204
出 处:《计算机应用与软件》2012年第9期14-17,53,共5页Computer Applications and Software
基 金:国家自然科学基金项目(61100226);国家高技术研究发展计划项目(2011AA01A203);北京市自然科学基金项目(4122085);公安部三所开放基金课题(C10606)
摘 要:基于源代码的静态分析技术是检测软件脆弱性的重要手段之一。针对Linux平台下由不安全方式创建临时文件问题引起的符号链接脆弱性,提出一种基于污点传播分析的脆弱性检测方法。通过查找打开或创建文件等导致脆弱性的特征函数从源代码中识别漏洞触发变量,采用后向污点传播分析方法分析变量传递路径,判断其是否来源于污点源,从而检测出可能存在符号链接脆弱性。利用该方法对XEN 3.03版本的源代码进行检测,成功发现了2个漏洞,其中包括1个未知漏洞。实验表明,该方法是一种有效的脆弱性检测方法。Source code-based static analysis technology is one of an important means to detect software vulnerabilities.To cope with the problem of unsafe creation of temporary file on Linux platform leading to vulnerabilities in symbol link,a vulnerability detection method based on tainting analysis is proposed.The method recognises the trigger variable of bugs from source code by checking characteristic function of the file open or creation which lead to vulnerabilities,and uses backward tainting analysis method to analyse the variable transition path,and judge whether it comes from the taint data source,so as to find the symbol link vulnerability possibly existing.With this method 2 vulnerabilities have been found in the source code of XEN 3.03,including an unknown vulnerability.The results of experiment show that the method is an effective vulnerability analysis method.
分 类 号:TP393.08[自动化与计算机技术—计算机应用技术]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.33