- 1、本文档共27页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
5-JAVA灰盒安全测试技术分享-吴卓群
基于WEB的 JAVA灰盒安全测试
技术分享
演讲人:吴卓群
职务:安恒安全研究院负责人
日期:2014年09月
China Internet Security Conference 2014
2014中国互联网安全大会
Why
• 目前常用的WEB应用自动化测试程序
– 白盒测试(源码审计系统)
• 需要获得源代码,对人员的安全专业知识要求高
• 误报率高
• 逻辑顺序关联的问题无法测试
– 黑盒测试(自动化WEB扫描器) 考虑使用
• 依靠页面响应,很多漏洞无法检测 基于灰盒
– 存储跨站 的fuzzing
– 页面无变化的注入(update, insert 等) 方式
– 大部分的代码注入
– 很多文件操作相关的漏洞
• 需要依靠爬虫的能力,测试覆盖面比较低
• 为减少漏报率,需要编写大量的测试向量
灰盒测试
• 介于白盒和黑盒之间,对应用进行深度的
测试
– 不需要源代码支持
– 能检测到黑盒无法检测的无回显差异的漏洞
– 能检测带白盒无法测试逻辑顺序复杂的漏洞
– 对测试人员要求低
利用Hook的方式进行数据劫持,并进行测试
Java Hook方式
太过繁琐,兼容性不好
无法劫持上层调用函数
修改中间
无法满足要求 件及JVM
系统提供 字节码动
的hook 态修改
Java
Hook
灰盒测试框架
• 适应灰盒测试概念, 关注J2EE 中间件关键函数污染表现
检
JDK1.5后新特征, javaagent机制 测
流
程
不
关键函数javassist字节码劫持+沙盒辅助 必
您可能关注的文档
- Samsung Galaxy J3 Pro SM-J3110(5.1.1)如何截屏.pdf
- AnyFo - Struts 2.0 爆胎易经丸.pdf
- 用友NC5.5版-招聘管理篇.pdf
- SIMATIC NET S7-1200 - PROFIBUS CM 1243-5操作说明...pdf
- CQC认证业务综合管理系统-操作手册.pdf
- AO斯密斯空气能热水机.pdf
- Samsung Galaxy J3 Pro SM -J3110(5.1.1)如何设置自定义短息铃声.pdf
- 百度统计各统计数据的含义.pdf
- ExplorerGuide-3.5.5weka教程.pdf
- Vivado生成自定义IP核及调用.pdf
最近下载
- 6天河区绿化养护第三方监督评价工作要求1.DOC
- 苏教版四年级下册数学期末试卷4套(完美版).pdf
- 实验三比值控制实验2.doc
- 【设施和环境条件管理程序】2023年医学实验室管理体系认证审核资料(内含表格).docx VIP
- 2023-2024学年《监督学》试卷及答案解析.pdf VIP
- 标准图集-浙J44《住宅防火型变压式排气道》.pdf
- 八年级物理:时间和长度的测量练习题含答案.pdf
- 【生物安全管理程序】2023年医学实验室管理体系认证审核资料(内含表格检查表).docx VIP
- 【仪器设备校准和检定管理程序】2023年医学实验室管理体系认证审核资料(内含全套表格).docx VIP
- 《运用“思维导图”提高中年级习作水平的研究策略》课题研究方案.docx
文档评论(0)