- 博客(4)
- 收藏
- 关注
RSS订阅翻译 论文学习:A Hybrid Analysis to Detect Java Serialisation Vulnerabilities(IEEE‘20)
IEEE/ACM自动化软件工程国际会议(ASE)INTRODUCTIONJava的序列化是一个有问题的功能:当对象的内部在序列化流反序列化中公开时,可能会出现格式错误的对象,这可能会触发使用输入流中的数据执行非预期代码。而在广泛使用的Java libraries(Groovy和Apache Commons Collections)中发现过任意代码执行、表达式注释、系统资源访问漏洞。 由于使用了反射、动态类加载、代理和原生方法等,所以大多数静态分析都没有太好的效果。...
2021-11-08 20:52:16
164
翻译 论文学习:ApproxiFuzzer: Fuzzing towards Deep Code Snippets in Java Programs(IEEE‘21)
计算机、软件和应用程序会议(COMPSAC)INTRODUCTION 深度代码片段是需要复杂的触发条件或隐藏在不太频繁调用的函数中的代码段,确定这些代码的可达性仍然是一项重大的挑战,符号执行和模糊测试都有局限性。所以本文提出一种近似模糊技术,给定目标代码片段,模糊器收集执行路径(w.r.t.),测试输入,计算路径和目标之间的执行距离,将可达性问题转为优化问题,然后变异种子以探索输入空间,并将模糊过程引导到生成到达目标代码片段的测试输入。PROBLEM FORMULATION...
2021-11-05 10:27:48
132
原创 论文学习:面向Java程序的智能模糊测试关键技术研究
基于依赖性分析的测试类自动生成(1)依赖性分析: 本文在方法调用图的基础上,定义了使用图和修改图来表示方法和字段之间的关系。(2)方法序列构建: 基于分析结果,构建能够修改待测方法访问字段的方法序列。基于使用图获取待测方法访问的字段,基于修改图得到能够修改指定字段的方法集合。根据解析得到的访问字段集合,对其中的每一个字段都从修改方法集合中寻找合适的方法构造方法序列。选择方法时需要满足修改给定字段的要求,同时也要尽量简单,避免重复修改,还要考虑到选择出的方法能被实例化和赋值...
2021-11-03 16:00:40
2905
翻译 论文学习:Directed Greybox Fuzzing(CCS‘17)
INTRODUCTION 本文引入了定向模糊测试(DGF),专注于到达程序中给定的目标位置。在高层次上,本文将可达性视为算法中的优化问题,并采用特定的元启发式,以最大限度地缩短生成的种子和目标的距离。为了计算种子距离,本文首先计算并插桩每个基本块到目标的距离。虽然种子距离是程序间的,但本文的新措施只需要对调用图和每个程序内CFG进行一次分析。运行时,模糊器聚合每个运行到的基本块的距离值,计算种子距离作为平均值。DGF以模拟退火算法作为最小化种子距离的元启发式,并且以能量分配来实现。一个种子的...
2021-10-27 16:55:34
814
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人