基于Fuzzing的ActiveX控件漏洞挖掘技术研究

作     者：杨丁宁 肖晖 张玉清 Yang Dingning;Xiao Hui;Zhang Yuqing

作者机构：中国科学院研究生院国家计算机网络入侵防范中心北京100049 

基　　金：国家自然科学基金项目(60773135 90718007 60970140) 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2012年第49卷第7期

页      码：1525-1532页

摘      要：ActiveX控件漏洞存在广泛且往往具有较高的威胁等级,有必要对此类漏洞的挖掘技术展开研究,发现并修复漏洞,从而杜绝安全隐患.在对ActiveX控件特性进行分析的基础上,设计并实现了ActiveX控件漏洞挖掘工具——ActiveX-Fuzzer.它基于黑盒Fuzzing测试技术,能够自动地构造半有效数据对控件接口展开测试,尝试发现潜在的缓冲区溢出、整数溢出及格式化字符串错误等安全问题.通过使用该工具对常用ActiveX控件进行广泛的测试,发现多个未公布的高危漏洞,受影响的软件包括腾讯QQ、WinZip、微软Office等国内外重要软件,以及部分知名银行的网上服务中使用的控件.该测试结果表明了ActiveX-Fuzzer的有效性和先进性.

主 题 词：软件脆弱性 漏洞挖掘 安全性测试 Fuzzing技术 ActiveX控件 

学科分类：0839[0839] 08[工学] 

核心收录：

馆 藏 号：203102684...