软件脆弱性测试技术研究.pdfVIP

软件脆弱性测试技术 摘要 攻防的焦点往往集中在对漏洞的发现和利用上。通过对漏洞的原理分析，建 立一个能够指导实践的脆弱性模型，并在此基础上研兄主动发现系统妥全隐患的 技术，对网络攻防战具有重要的意义。本论文的主要工作是研究漏洞发现和利用 这个领域里一些规律性的东西，主要分析三个方面的问题:漏洞是如何产生的， 如何开发一些工具来帮助我们查找漏洞，如何设计一个通用的模式来利用最常见 的缓冲区溢出漏洞。本文在总结国外相关研究现状的基础上，首先建立起安全漏 洞的分析和分类模型，特别对一种特殊的安全漏洞，开发商留下的后门作详细的 分析。然后从安全需求出发，归纳了一些常见的不安全编程的类型。其后具体阐 述了如何检测软件中存在的安全漏洞，分为源代码扫描、软件错误注入和逆向工 程三种办法。最后就如何编写通用的缓冲区溢出代码进行了分析和举例，还介绍 了一种新的攻击手段，基于信号量的攻击。 总的来说，漏洞的发现和利用虽然是一项充满了灵感和机遇的技术，但是仔 细分析起来，其中仍然存在明显的规律，掌握了这些规律，攻击技术就不单单是 少数专家手中的魔术，而可以被更多的人所掌握，为国家所用 本文在安全需求 分析、测试软件开发等方面作出了一些有创新性的成果。 关键字:积极防御、漏洞、源代码扫描、错误注入、逆向工程 SoftwareVulnerabilityTestTechnology WangHang(ComputerApplicationTechnology) DirectedbyFengDengGuo,DaiYingXia Abstract Findingandexploitingvulnerabilityisaveryimportantaspectofnetwork antagonism.Byanalyzingtheprincipleofvulnerabiliyt,wecanbuildavulnerability model,whichcanguideusinfindingvulnerabilitiesactively.Asweknow, undocumentedvulnerabilitiesareextremelyimportantfornetworkwar.Mymain workfocusesonthreeaspects:howsecurityvulnerabilitiesareintroduced,howto developsoftwaretoautomatethefnidingprocess,andhowtodesigngeneral programmingtemplatestoexploitbufferoverflowvulnerabilities.Inthisthesis,Ifirst introducethecurrentresearchsituationinrelatedfields,thenIintroducetheanalysis andclassificationmodels,especially,Ianalyzesystembackdoorindetail.Second, basedonsecurityneedanalysis,Iinducesomeinsecureprogrammingtemplates Third,Ipresentthreemethodstofindvulnerabilities:sourcescan,faultinjectionand reverseengineering.Last,Igivesomeexamplesonhowtowriteexploitprograms afterfindingvulnerabilities.Ialsointroduceanewexploitmethod:exploitbasedon softwaresignal. GeneralSpeaking,thedetectionofthevulnerabiliytisatechniquefilledwith inspirationandluck,butthoroughanalysisshowsitisalsodeducible.Ifmorepeople understandthehackingtechnique,itwillnolongerbemagicmasteredonlybyafew