-
题名自动化漏洞利用研究进展
被引量:1
- 1
-
-
作者
靳宪龙
黄雅娟
-
机构
四川大学计算机学院
国防科技大学国际关系学院
-
出处
《现代计算机》
2019年第31期15-20,共6页
-
文摘
网络空间安全斗争形式日趋复杂,针对软件安全的攻防博弈愈演愈烈。软件漏洞挖掘与利用的复杂性及专业性,使得大量工作仅能依靠安全专家完成。近年来,漏洞数量激增,仅依靠安全专家已无法有效应对。自动化漏洞利用应运而生,该方法在提升工作效率的同时降低人力成本,并一定程度上满足了自动化攻防的迫切需求。介绍自动化漏洞利用相关概念,对关键技术进行归纳与总结,梳理国内外主流的自动化漏洞利用系统。
-
关键词
网络安全
二进制
漏洞利用
自动化
-
Keywords
Network Security
Binary
Exploit
Automation
-
分类号
TP3
[自动化与计算机技术—计算机科学与技术]
-
-
题名基于Crash的漏洞利用自动生成系统
- 2
-
-
作者
靳宪龙
徐世伟
黄雅娟
-
机构
四川大学计算机学院
中国人民解放军
国防科技大学国际关系学院
-
出处
《现代计算机》
2020年第14期98-103,共6页
-
文摘
漏洞分析、自动化攻防对漏洞利用自动生成的需求越来越迫切,在分析现有方案的基础上,结合动态分析、混合符号执行等技术,提出基于Crash的漏洞利用自动生成方法C-Rex。该方法能够针对缓冲区溢出漏洞自动生成劫持控制流的漏洞利用样本。完成以下工作:①设计路径搜索算法复现崩溃路径并挖掘新崩溃点;②分析崩溃状态,对可利用性进行判定;③根据需求采用代码注入或代码复用技术生成劫持控制流的漏洞利用样本。通过对CTF题目及10款开源应用进行测试,C-Rex均能成功生成漏洞利用样本,证明该方法的有效性。
-
关键词
网络安全
二进制
漏洞利用
符号执行
自动化
-
Keywords
Network Security
Binary
Exploit
Symbolic Execution
Automation
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
