多维深度导向的Java Web模糊测试方法

作     者：王鹃 龚家新 蔺子卿 张晓娟 WANG Juan;GONG Jiaxin;LIN Ziqing;ZHANG Xiaojuan

作者机构：武汉大学国家网络安全学院武汉430072 武汉大学空天信息安全与可信计算教育部重点实验室武汉430072 中国电力科学研究院有限公司信息通信研究所北京100192 

基　　金：国家电网有限公司科技项目 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2024年第24卷第2期

页      码：282-292页

摘      要：随着Java Web的广泛应用,其安全问题日益突出。模糊测试作为一种有效的漏洞挖掘方法,目前已经被用于Java漏洞的检测。然而,由于Java Web应用代码规模庞大、业务逻辑复杂,现有的漏洞挖掘工具在模糊测试中存在随机性高、代码检测深度低的问题,导致漏洞挖掘的准确率较低。因此,文章提出基于多维深度导向的Java Web模糊测试方法。该方法使用Jimple作为待测Java Web应用字节码的三地址码中间表示,并生成代码对应的函数间调用图和函数内控制流图,在此基础上分析每个基本块的多维深度。同时,根据多维深度和模糊测试执行时间优化模糊测试指导策略,设计相应的输入结构解析策略、能量分配策略和变异算法调度策略,提升模糊测试的准确性。实验结果表明,相较于现有的模糊测试工具Peach和Kelinci,该方法能够在性能消耗较低的情况下取得更好的漏洞检测效果。

主 题 词：模糊测试 Java Web 漏洞挖掘 

学科分类：0839[0839] 08[工学] 081201[081201] 0812[工学-测绘类] 

D　O　I：10.3969/j.issn.1671-1122.2024.02.011

馆 藏 号：203126123...