pc软件 文章资讯 手机软件

您当前的位置→图文中心新闻资讯安全播报几种漏洞发现技术简介
阅读排行

几种漏洞发现技术简介


2009/2/22  编辑:佚名 来源:本站整理

fuzzing技术。 其中二进制比较技术主要用于漏洞补丁分析, 对于未知漏洞作用不大, 在

1.1 手工测试

Web应用程序、浏览器及其他需要用户交互的程序。

1.2 静态分析

。 静态分析重点检查函数调用及返回状态, 特别是未进行边界检查或边界检查不正确的函数调用(如strcpy, strcat, snpfinf等可能造成缓冲区溢出的函数);由用户提供输入的函数;在用户缓冲区进行指针运算的程序等。

strcpy、strcat等。 静态分析主要针对程序的高级语言代码或汇编代码, 在静态分析过程中, 可以将函数调用和可疑结构特征化, 根据特征在目标程序的代码中搜索匹配, 实现自动化。 Splint、Bugscam就是漏洞静态分析工具, 这些工具虽然都存在较高的误报率和错报率, 但仍然在很大程度上减少了人工分析的工作量。

I.3 运行时分析技术

SoftIce、OllyDbg、WinDbg等

1.4 Fuzzing技术

Fuzzing是一种基于缺陷注入的自动软件测试技术。 通过编写fuzzer工具向目标程序提供某种形式的输入并观察其响应来发现问题, 这种输入可以是完全随机的或精心构造的。

Fuzzing测试通常以大小相关的部分、字符串、标志字符串开始或结束的二进制块等为重点, 使用边界值附近的值对目标进行测试。

fuzzing技术 :dumb fuzzing 这种测试无需了解协议或文件本身格式, 通过提供完全随机的输入或简单改变某些字节去发现问题。 这种方法实现起来较简单, 容易快速触发错误, 但它的完全随机性会导致产生大量无效的输入或格式。 Intelligent fuzzing 研究目标应用程序的协议或文件格式、功能配置, 了解各类漏洞的成因, 有目的地编写fuzzer。 编写有效的fuzzer需要花费时间, 但能够对某些感兴趣的部分集中测试, 因此更有效。

fuzzing的过程中, 也可能存在各种问题H]:校验和、加密、压缩等措施会大大增加fuzzer工具的编写难度;编写智能化的fuzzer依赖目标程序的协议文档, 因此

fuzzing测试的效果, 等等。 Fuzzing测试过程中需要采取措施记录目标的状态, 通常通过13志的方式记录下各种信息, 以便后续分析。 目前比较有名的fuzzer工具有SPIKE和Peach, 它们提供了对许多协议接口的支持, 现有的许多fuzzer都是基于这两个框架实现的

相关文章

百度网盘怎么扩容?百度网盘扩容的几种方法介绍:目前,各种云网盘软件已经成为用户来存储资料文件经常选择的一种方式,使用非常方便。

录制安卓手机屏幕内容的几种方法介绍:智能手机现在很多人都在使用,其中安卓手机是目前使用用户群体较多的,你们知道怎么录制安卓手机的屏幕吗?不用担心下面小编就给大家带来安卓手机屏幕的录制方法,一起来看一下吧!为你推荐:如何录制安卓手机屏幕内容就去看看:http://www.arp...。

王者荣耀英雄难度之分析:几种不同的难度:难度,关乎上手度,是玩家在考虑是否入坑某个英雄时都会考虑的农药里英雄难度区分度还是比较明显的从晕住你就不讲理一套带走的妲己,到讲究入场时机的各种刺客,再到月下无限连的露娜难度梯队有着比较明显的划分接下来是我总结的几种风格不同的难度与各位玩家...。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图