原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于WEB的 JAVA灰盒安全测试
技术分享
演讲人:吴卓群
职务:安恒安全研究院负责人
日期:2014年09月
China Internet Security Conference 2014
2014中国互联网安全大会
Why
• 目前常用的WEB应用自动化测试程序
– 白盒测试(源码审计系统)
• 需要获得源代码,对人员的安全专业知识要求高
• 误报率高
• 逻辑顺序关联的问题无法测试
– 黑盒测试(自动化WEB扫描器) 考虑使用
• 依靠页面响应,很多漏洞无法检测 基于灰盒
– 存储跨站 的fuzzing
– 页面无变化的注入(update, insert 等) 方式
– 大部分的代码注入
– 很多文件操作相关的漏洞
• 需要依靠爬虫的能力,测试覆盖面比较低
• 为减少漏报率,需要编写大量的测试向量
灰盒测试
• 介于白盒和黑盒之间,对应用进行深度的
测试
– 不需要源代码支持
– 能检测到黑盒无法检测的无回显差异的漏洞
– 能检测带白盒无法测试逻辑顺序复杂的漏洞
– 对测试人员要求低
利用Hook的方式进行数据劫持,并进行测试
Java Hook方式
太过繁琐,兼容性不好
无法劫持上层调用函数
修改中间
无法满足要求 件及JVM
系统提供 字节码动
的hook 态修改
Java
Hook
灰盒测试框架
• 适应灰盒测试概念, 关注J2EE 中间件关键函数污染表现
检
JDK1.5后新特征, javaagent机制 测
流
程
不
关键函数javassist字节码劫持+沙盒辅助 必
文档评论(0)