漏洞挖掘技术研究
立即下载
那月静好
2024-04-16
漏洞
错误
挖掘
验证
系统
分类
技术
Error
研究
软件
18.1 KB
漏洞挖掘技术研究
【摘要】漏洞挖掘是网络攻防技术的重要组成部分。
首先介绍了漏洞的概念、漏洞的成因、漏洞的主要分类以及
漏洞挖掘一般流程,然后研究了补丁分析和测试技术两种漏
洞挖掘方法,重点对二进制补丁比较、白盒测试、黑盒测试
等具体漏洞挖掘技术进行了分析,比较了各种漏洞挖掘技术
的优缺点。
【关键词】漏洞;漏洞挖掘;测试技术
1引言
目前,无论从国家层面的网络安全战略还是社会层面的
信息安全防护,安全漏洞已成为信息对抗双方博弈的核心问
题之一。然而,针对具体安全漏洞, 安全研究者往往进行
大量的重复工作, 研究效率和效果上也有相当的局限性。
因此,应该加大对漏洞挖掘的研究力度,以便对各类漏洞采
取更为主动合理的处理方式。
2漏洞的概念及分类
2.1什么是漏洞
任何系统和软件的运行都会假定一个安全域,这个安全
域是由安全策略规定的,在该域内的任何操作都是安全的、
可控的,一旦超出了该域或者违反了安全策略,系统或者软
件的运行就是不可控的、未知的。漏洞是由安全域切换到非
安全域的触发点,即在计算机安全领域因设计不周而导致的
系统或软件存在的缺陷,从而可以使攻击者在非授权的情况
下访问或者破坏系统。漏洞是静态的、被动的,但是可触发
的。
2.2漏洞的分类
每一个漏洞都有多个特征,而根据不同的特征可以将漏
洞按照不同的方式分类。一般情况下,漏洞信息应包括漏洞
名称、漏洞成因、漏洞级别、漏洞影响、受影响的系统、漏
洞解决方案、漏洞利用类型和漏洞利用方法等。本文根据漏
洞的成因对漏洞进行分类,具体可分为:
缓冲区溢出错误( Buffer Overflow ),未对输入缓冲区的
数据进行长度和格式的验证;
输入验证错误 ( Input Validation Error ),未对用户输入的
数据进行合法性验证;
边界条件错误( Boundary Condition Error ),未对边界条
件进行有效性验证;
访问验证错误( Access Validation Error ),访问验证存在
逻辑上的错误;
意外条件错误( Exceptional Condition Error ),程序逻辑
未考虑意外和特例;
配置错误( Configuration Error ),系统或软件的参数或
策略配置错
漏洞/错误/挖掘/验证/系统/分类/技术/Error/研究/软件/
漏洞/错误/挖掘/验证/系统/分类/技术/Error/研究/软件/
-->