期刊文献+
共找到46篇文章
< 1 2 3 >
每页显示 20 50 100
基于ECA规则和动态污点分析的SQL注入攻击在线检测 被引量:1
1
作者 刘吉会 何成万 《计算机应用》 CSCD 北大核心 2023年第5期1534-1542,共9页
SQL注入攻击是一种常见的针对Web应用程序漏洞的攻击形式。任何形式的SQL注入攻击最终都会改变原有SQL语句的逻辑结构,违背设计者的初衷。现有的SQL注入攻击检测方法存在检测代码不易被重用、不能被在线注入Web应用程序等不足。因此,提... SQL注入攻击是一种常见的针对Web应用程序漏洞的攻击形式。任何形式的SQL注入攻击最终都会改变原有SQL语句的逻辑结构,违背设计者的初衷。现有的SQL注入攻击检测方法存在检测代码不易被重用、不能被在线注入Web应用程序等不足。因此,提出一种基于ECA(Event Condition Action)规则和动态污点分析的在线检测SQL注入攻击的模型。首先,定义污点标记规则监视污点源函数以标记系统外部引入数据;然后,定义污点传播规则实时跟踪污点数据在应用内部的流向;接着,定义污点检查规则以拦截污点汇聚点函数的参数,并解析它可能携带的污点状态;最后,在原始的Web应用运行时加载ECA规则脚本达到在线检测SQL注入攻击的目的,Web应用无须重新编译、打包和部署。使用Byteman实现了所提模型。在两个不同的Web应用测试实验中,该模型可以识别绝大多数的SQL注入攻击样本,对于正常请求样本没有误报,检测准确率可达99.42%,优于基于支持向量机(SVM)和基于词频逆向文件频率(TF-IDF)的方法;与基于面向方面编程(AOP)的方法相比,该模型易于在Web应用启动后在线加载检测模块。实验结果表明所提模型能够在不修改应用程序执行引擎及源码的情况下,检测6种常见的SQL注入攻击类型,且具有在线检测的优点。 展开更多
关键词 SQL注入攻击 动态污点分析 ECA规则 WEB应用 在线检测
下载PDF
基于二进制程序的动态污点分析技术研究综述 被引量:1
2
作者 黄冬秋 韩毅 +1 位作者 杨佳庚 田志宏 《广州大学学报(自然科学版)》 CAS 2020年第2期57-68,共12页
随着程序变得越来越庞大、难以处理,黑客攻击技术越来越复杂,网络空间安全形势日趋严峻,因此,实施有效的自动漏洞检测技术和相关修补技术以防御零day攻击变得愈发重要.动态污点分析技术是将不受信任来源的输入数据视为污染数据,然后监... 随着程序变得越来越庞大、难以处理,黑客攻击技术越来越复杂,网络空间安全形势日趋严峻,因此,实施有效的自动漏洞检测技术和相关修补技术以防御零day攻击变得愈发重要.动态污点分析技术是将不受信任来源的输入数据视为污染数据,然后监视程序的执行情况以跟踪污染数据传播,并检查污染数据何时被使用.该技术被广泛应用于程序分析、模糊测试、漏洞检测、信息泄露检测、逆向工程和恶意软件分析等安全领域.文章对目前比较流行的动态污点分析框架的研究现状和应用领域进行综述.首先,详细介绍了动态污点分析的支撑技术动态二进制插桩技术、虚拟化技术、虚拟机自省技术和弥合语义鸿沟技术等的基本原理、相关定义、面临的问题与存在的挑战;然后简单介绍动态污点分析技术的技术原理;接着,对比较流行的动态污点分析框架进行调研和分析,根据发展阶段和应用方向将动态污点分析技术划分为进程级动态污点分析技术和全系统级动态污点分析技术,并分别进行详细阐述;最后,简要分析了两类动态污点分析技术的缺点和不足,并展望该技术的研究前景和发展趋势. 展开更多
关键词 动态二进制插桩技术 动态污点分析技术 进程级动态污点分析技术 全系统级动态污点分析技术
下载PDF
基于动态污点分析的DOM XSS漏洞检测算法 被引量:14
3
作者 李洁 俞研 吴家顺 《计算机应用》 CSCD 北大核心 2016年第5期1246-1249,1278,共5页
针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox Spider Monkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS... 针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox Spider Monkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和Spider Monkey字符串编码格式的修改可以完成污点数据标记;遍历Java Script指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%。 展开更多
关键词 动态污点分析 注入点 输出点 执行路径
下载PDF
基于动态污点分析的恶意代码通信协议逆向分析方法 被引量:10
4
作者 刘豫 王明华 +1 位作者 苏璞睿 冯登国 《电子学报》 EI CAS CSCD 北大核心 2012年第4期661-668,共8页
对恶意代码通信协议的逆向分析是多种网络安全应用的重要基础.针对现有方法在协议语法结构划分的完整性和准确性方面存在不足,对协议字段的语义理解尤为薄弱,提出了一种基于动态污点分析的协议逆向分析方法,通过构建恶意进程指令级和函... 对恶意代码通信协议的逆向分析是多种网络安全应用的重要基础.针对现有方法在协议语法结构划分的完整性和准确性方面存在不足,对协议字段的语义理解尤为薄弱,提出了一种基于动态污点分析的协议逆向分析方法,通过构建恶意进程指令级和函数级行为的扩展污点传播流图(Extended Taint Propagation Graph,ETPG),完成对协议数据的语法划分和语义理解.通过实现原型系统并使用恶意代码样本进行测试,结果表明本方法可以实现有效的语法和语义分析,具有较高的准确性和可靠性. 展开更多
关键词 恶意代码 协议逆向分析 动态污点分析
下载PDF
基于最大频繁子图挖掘的动态污点分析方法 被引量:5
5
作者 郭方方 王欣悦 +5 位作者 王慧强 吕宏武 胡义兵 吴芳 冯光升 赵倩 《计算机研究与发展》 EI CSCD 北大核心 2020年第3期631-638,共8页
目前,传统面向恶意代码识别的动态污点分析方法广泛存在行为依赖图数量巨大、匹配时间消耗长的问题.提出一种动态污点分析方法——基于最大频繁子图挖掘的动态污点分析方法.该方法从恶意代码家族行为依赖图挖掘出代表家族显著共性特征... 目前,传统面向恶意代码识别的动态污点分析方法广泛存在行为依赖图数量巨大、匹配时间消耗长的问题.提出一种动态污点分析方法——基于最大频繁子图挖掘的动态污点分析方法.该方法从恶意代码家族行为依赖图挖掘出代表家族显著共性特征的最大频繁子图,被挖掘出的最大频繁子图即为某类恶意代码家族以及该家族所有变种之间最为突出的共有特征,使用挖掘出的最大频繁子图与被测行为依赖图进行比较匹配即可.既能够保证原有恶意代码特征无丢失又削减了行为依赖图数量,并在此基础上进一步提升了识别效率.经实验分析,提出的这种新的动态污点分析方法相比于传统方法,当最小支持度为0.045时,行为依赖图数量减少了82%,识别效率提高了81.7%,准确率达到了92.15%. 展开更多
关键词 恶意代码识别 恶意代码家族 动态污点分析 行为依赖图 最大频繁子图挖掘
下载PDF
基于可回溯动态污点分析的攻击特征生成方法 被引量:6
6
作者 刘豫 聂眉宁 +1 位作者 苏璞睿 冯登国 《通信学报》 EI CSCD 北大核心 2012年第5期21-28,共8页
现有黑盒或白盒的攻击特征生成方法面临样本采集困难、自动化程度较低、依赖源代码等问题。为此提出了一种基于可回溯动态污点分析的攻击特征生成方法,通过监控进程动态执行流程,提取与攻击输入相关的操作序列和约束条件,重建特征执行... 现有黑盒或白盒的攻击特征生成方法面临样本采集困难、自动化程度较低、依赖源代码等问题。为此提出了一种基于可回溯动态污点分析的攻击特征生成方法,通过监控进程动态执行流程,提取与攻击输入相关的操作序列和约束条件,重建特征执行环境并添加判定语句,生成图灵机式的攻击特征。构造原型系统并进行测试的结果表明该方法能快速生成简洁高效的攻击特征。 展开更多
关键词 恶意代码 攻击特征生成 动态污点分析 攻击路径
下载PDF
一种粗细粒度结合的动态污点分析方法 被引量:9
7
作者 史大伟 袁天伟 《计算机工程》 CAS CSCD 2014年第3期12-17,22,共7页
针对当前污点分析工具不能兼顾速度和精确度的缺陷,研究并实现一种粗细粒度结合的二进制代码动态污点分析方法。对比粗粒度污点分析和细粒度污点分析的实现过程,提出两者结合的新型分析框架。预先在线执行粗粒度污点分析以筛选有效指令... 针对当前污点分析工具不能兼顾速度和精确度的缺陷,研究并实现一种粗细粒度结合的二进制代码动态污点分析方法。对比粗粒度污点分析和细粒度污点分析的实现过程,提出两者结合的新型分析框架。预先在线执行粗粒度污点分析以筛选有效指令,之后离线执行细粒度污点分析以计算污点信息。根据粒度的差异分别建立粗细粒度污点数据的引入标记方法,制定粗细粒度条件下的数据流和控制流传播策略,设计离线轨迹记录结构作为粗细粒度污点分析的传递文件。在原型系统上的测试结果表明,该方法通过在线粗粒度模式保证了污点分析信息采集的快速性,同时采用离线细粒度模式以合理的时间消耗提升了污点分析的精确度。 展开更多
关键词 粗粒度 细粒度 动态污点分析 离线轨迹 污点传播 二进制
下载PDF
二进制程序动态污点分析技术研究综述 被引量:11
8
作者 宋铮 王永剑 +1 位作者 金波 林九川 《信息网络安全》 2016年第3期77-83,共7页
随着网络安全形势日趋严峻,针对基于漏洞利用的高级可持续威胁攻击,采用相应的攻击检测技术,及时有效地发现漏洞,进而保障网络基础设施及重要应用安全显得愈发重要。动态污点分析技术通过将非信任来源的数据标记为污点数据的方法,追踪... 随着网络安全形势日趋严峻,针对基于漏洞利用的高级可持续威胁攻击,采用相应的攻击检测技术,及时有效地发现漏洞,进而保障网络基础设施及重要应用安全显得愈发重要。动态污点分析技术通过将非信任来源的数据标记为污点数据的方法,追踪其在程序执行过程中的传播路径,以达到获取关键位置与输入数据之间关联信息的目的,是检测漏洞利用攻击的有效技术方案之一。文章首先介绍了二进制程序动态污点分析技术的相关原理及在几种典型系统中的发展现状,随后分析了二进制程序动态污点分析技术现有的突出问题,最后介绍动态污点分析技术的应用情况。文章对二进制程序动态污点分析技术进行了系统介绍,有助于提升重要信息系统网络安全保护水平。 展开更多
关键词 动态污点分析 网络安全 信息流追踪
下载PDF
基于对象跟踪的J2EE程序动态污点分析方法 被引量:2
9
作者 曾祥飞 郭帆 涂风涛 《计算机应用》 CSCD 北大核心 2015年第8期2386-2391,共6页
Web程序的安全威胁主要是由外部输入未验证引发的安全漏洞,如数据库注入漏洞和跨站脚本漏洞,动态污点分析可有效定位此类漏洞。提出一种基于对象跟踪的动态分析方法,与现有动态方法跟踪字符和字符串对象不同,追踪所有可能被污染的Java... Web程序的安全威胁主要是由外部输入未验证引发的安全漏洞,如数据库注入漏洞和跨站脚本漏洞,动态污点分析可有效定位此类漏洞。提出一种基于对象跟踪的动态分析方法,与现有动态方法跟踪字符和字符串对象不同,追踪所有可能被污染的Java对象。方法应用对象哈希值表示污点对象,定义方法节点和方法坐标记录污点传播时的程序位置,支持污点传播路径追踪,针对Java流对象装饰模式提出流家族污点传播分析。方法设计一种语言规范对Java类库中污点传播相关的方法集合以及用户自定义方法建模,按照污点引入、传播、验证和使用,对方法集分类后设计和形式化定义各类方法的污点传播语义。在SOOT平台实现对J2EE源码或字节码插桩框架,使用静态分析计算可达方法集以减少插桩规模,应用原型系统对真实网站的测试结果表明该方法可有效发现注入漏洞。 展开更多
关键词 动态污点分析 污点传播 插桩 SOOT 漏洞分析
下载PDF
基于动态污点分析的二进制程序导向性模糊测试方法 被引量:2
10
作者 张斌 李孟君 +1 位作者 吴波 唐朝京 《现代电子技术》 2014年第19期89-94,共6页
传统模糊测试中,由于不同的输入可能重复测试相同的状态空间,导致其效率严重低下。提出一种基于动态污点分析与输入分域技术相结合的二进制程序导向性模糊测试技术,可以对典型安全敏感操作与一般模块函数进行导向性模糊测试,很好地解决... 传统模糊测试中,由于不同的输入可能重复测试相同的状态空间,导致其效率严重低下。提出一种基于动态污点分析与输入分域技术相结合的二进制程序导向性模糊测试技术,可以对典型安全敏感操作与一般模块函数进行导向性模糊测试,很好地解决了传统模糊测试效率低下的问题。实现了二进制导向性模糊测试的原型系统TaintedFuzz,实验证明,该系统能够对二进制程序中存在的典型安全漏洞进行高效地发掘。 展开更多
关键词 安全漏洞 导向性模糊测试 动态污点分析 输入分域
下载PDF
一种应用于动态污点分析的路径自动生成方法 被引量:2
11
作者 董国良 臧洌 +1 位作者 李航 甘露 《计算机与现代化》 2017年第7期32-37,41,共7页
在对现有动态污点分析平台研究和分析的基础上,提出一种路径自动生成技术。借助二进制静态分析技术获取目标程序的指令序列,以基本块为粒度计算执行覆盖率,在目标程序动态执行中抓取其运行轨迹,由收集到的路径约束条件构造新的路径约束... 在对现有动态污点分析平台研究和分析的基础上,提出一种路径自动生成技术。借助二进制静态分析技术获取目标程序的指令序列,以基本块为粒度计算执行覆盖率,在目标程序动态执行中抓取其运行轨迹,由收集到的路径约束条件构造新的路径约束条件,经约束求解生成覆盖其它路径的新的测试用例。借助虚拟化技术实现动态污点分析各用例的并行执行,较大幅度提高污点分析的路径覆盖率和执行效率。 展开更多
关键词 动态污点分析 路径自动生成 约束求解 代码覆盖率
下载PDF
基于roBDD的细颗粒度动态污点分析(英文) 被引量:4
12
作者 王铁磊 韦韬 邹维 《北京大学学报(自然科学版)》 EI CAS CSCD 北大核心 2011年第6期1003-1008,共6页
研究了细颗粒动态污点分析的瓶颈所在,提出一种基于roBDD的细颗粒度离线污点分析方法。实验结果表明该方法能够显著提高细颗粒度污点分析的性能,并减低内存需求,为进一步扩大细颗粒度污点分析的应用提供了途径。
关键词 动态污点分析 roBDD 程序分析
下载PDF
基于动态污点分析的栈溢出Crash判定技术 被引量:2
13
作者 张婧 周安民 +3 位作者 刘亮 贾鹏 刘露平 贾丽 《计算机工程》 CAS CSCD 北大核心 2018年第4期168-173,180,共7页
Fuzzing技术和动态符号执行技术以发现程序异常为测试终止条件,却无法进一步评估程序异常的威胁严重等级。为此,阐述用于Crash可利用性分析的3种主要方法。在二进制插桩平台Pin上,提出一种基于动态污点分析技术的Crash可利用性自动化分... Fuzzing技术和动态符号执行技术以发现程序异常为测试终止条件,却无法进一步评估程序异常的威胁严重等级。为此,阐述用于Crash可利用性分析的3种主要方法。在二进制插桩平台Pin上,提出一种基于动态污点分析技术的Crash可利用性自动化分析框架。实验结果表明,该框架能够准确有效地判断Crash的可利用性程度。 展开更多
关键词 软件异常 Crash分析 可利用性判定 动态二进制插桩 动态污点分析
下载PDF
基于动态污点分析的程序脆弱性检测工具设计与实现 被引量:2
14
作者 石加玉 彭双和 +1 位作者 石福升 李勇 《信息安全研究》 2022年第3期301-310,共10页
由于程序源码和编译后的可执行文件之间存在一定的语义差异,以及用户输入的不确定性,导致在实际应用中无法保证源代码中已经验证过的性质与其可执行文件一致.因此,在不提供程序源代码的情况下,直接对其可执行程序进行脆弱性分析检测更... 由于程序源码和编译后的可执行文件之间存在一定的语义差异,以及用户输入的不确定性,导致在实际应用中无法保证源代码中已经验证过的性质与其可执行文件一致.因此,在不提供程序源代码的情况下,直接对其可执行程序进行脆弱性分析检测更有实际意义.开展了动态污点分析技术在程序脆弱性检测方面的应用研究,设计了基于libdft API程序脆弱性检测工具,并自定义了污染源和污染汇,以适应不同的脆弱性模式.该工具不需要对目标程序的源代码进行分析,可直接对二进制程序进行检测.测试结果表明,该工具可有效检测出心脏滴血攻击、格式化字符串攻击、数据泄露、ReturnToLibc攻击等多种程序脆弱性漏洞,对帮助编程人员进行程序安全性检测及保护计算机数据安全具有一定的参考价值. 展开更多
关键词 动态污点分析 系统安全 程序脆弱性 检测工具 libdft框架
下载PDF
动态污点分析技术在ActiveX控件漏洞挖掘上的应用 被引量:2
15
作者 崔化良 兰芸 崔宝江 《信息网络安全》 2013年第12期16-19,共4页
ActiveX控件以其跨平台、简单易用的特点被广泛应用于其他应用程序,例如大型统计软件、网上银行安全控件等。因此,其安全问题也越来越值得关注。目前针对ActiveX控件的漏洞挖掘的主要方法是模糊测试,但模糊测试的局限性会造成漏报。文... ActiveX控件以其跨平台、简单易用的特点被广泛应用于其他应用程序,例如大型统计软件、网上银行安全控件等。因此,其安全问题也越来越值得关注。目前针对ActiveX控件的漏洞挖掘的主要方法是模糊测试,但模糊测试的局限性会造成漏报。文章基于动态污点分析的ActiveX漏洞挖掘工具CMPTracer,分析可控数据在ActiveX控件内部的处理流程,反馈出程序内部进行正确性检测的指令,进而指导测试数据的修改,得以测试程序深层的处理逻辑。经过试验比对发现,CMPTracer可以降低漏洞挖掘过程中的漏报率,能够发现普通模糊测试工具遗漏的安全漏洞。 展开更多
关键词 漏洞挖掘 动态污点分析 ACTIVEX控件
下载PDF
基于动态污点分析的反馈式模糊测试改进方法 被引量:3
16
作者 唐枭 《信息安全研究》 2019年第2期145-151,共7页
传统反馈式模糊测试方法在产生测试用例时,需要对原始输入数据的所有字节进行变异,产生了大量无效测试用例,针对这一缺点提出一种改进方法,首先利用动态污点分析,根据程序数据流信息建立输入数据和程序变量的字节映射关系,根据污点传播... 传统反馈式模糊测试方法在产生测试用例时,需要对原始输入数据的所有字节进行变异,产生了大量无效测试用例,针对这一缺点提出一种改进方法,首先利用动态污点分析,根据程序数据流信息建立输入数据和程序变量的字节映射关系,根据污点传播路径将字节聚合为字段,按照字段是否影响分支判断条件和危险操作参数,将字段分类为代码覆盖率相关、危险操作相关和无害数据3类.然后对代码覆盖率相关字段进行基因编码,并执行遗传算法的选择变异过程,对危险操作相关字段执行边界值赋值,产生新的测试用例.通过实验证明,该方法相较于传统反馈式模糊测试方法,通过较少的输入数据更多地发现代码路径和触发程序异常. 展开更多
关键词 漏洞挖掘 动态污点分析 字段分类 模糊测试 遗传算法
下载PDF
基于动态污点分析的Android隐私泄露检测方法 被引量:2
17
作者 刘阳 俞研 《计算机应用与软件》 2017年第9期142-146,共5页
针对Android应用存在的隐私泄露问题,提出一种基于动态污点分析技术的隐私泄露检测方法。通过插装Android系统框架层API源码标记隐私数据,并修改Android应用程序的执行引擎Dalvik虚拟机,保证准确跟踪污点标记在程序执行期间的传播,当有... 针对Android应用存在的隐私泄露问题,提出一种基于动态污点分析技术的隐私泄露检测方法。通过插装Android系统框架层API源码标记隐私数据,并修改Android应用程序的执行引擎Dalvik虚拟机,保证准确跟踪污点标记在程序执行期间的传播,当有数据离开手机时检查污点标记判断是不是隐私数据。动态污点分析使得应用程序对隐私数据的使用更具透明性。实验结果表明,该方法能够有效检测出Android应用泄露用户隐私的行为,从而更好地保护用户的隐私信息。 展开更多
关键词 隐私泄露 动态污点分析 ANDROID
下载PDF
一种基于动态污点分析的注入式攻击检测模型的设计与实现
18
作者 方菽兰 郑黎黎 +1 位作者 许德鹏 张伟峰 《技术与市场》 2022年第2期102-103,共2页
在已发现的Web攻击类型中,注入式攻击发生频率最高,研究一种高准确率且高效的检测模型来应对频繁的注入式攻击,具有重要的理论意义和实际价值。设计一种动态污点分析的注入式攻击检测系统,通过动态污点分析提取攻击向量,基于语法分析技... 在已发现的Web攻击类型中,注入式攻击发生频率最高,研究一种高准确率且高效的检测模型来应对频繁的注入式攻击,具有重要的理论意义和实际价值。设计一种动态污点分析的注入式攻击检测系统,通过动态污点分析提取攻击向量,基于语法分析技术将扁平的字符串抽象画,使用卷积神经网络模型和优化的FastText分类模型建立SQL注入攻击和恶意代码注入攻击模型,从而准确有效地检测出注入式攻击的目的。 展开更多
关键词 动态污点分析 注入式攻击 卷积神经网络 FastText
下载PDF
基于类型的动态污点分析技术 被引量:6
19
作者 诸葛建伟 陈力波 +2 位作者 田繁 鲍由之 陆恂 《清华大学学报(自然科学版)》 EI CAS CSCD 北大核心 2012年第10期1320-1328,1334,共10页
为了解决目前工作在二进制层次上的动态污点分析(DTA)技术无法为软件漏洞机理分析提供高层语义的现状,该文提出了基于类型的动态污点分析技术。该技术定义外部输入变量为污点变量,并添加变量的类型信息与符号值作为污点属性,利用函数、... 为了解决目前工作在二进制层次上的动态污点分析(DTA)技术无法为软件漏洞机理分析提供高层语义的现状,该文提出了基于类型的动态污点分析技术。该技术定义外部输入变量为污点变量,并添加变量的类型信息与符号值作为污点属性,利用函数、指令的类型信息来跟踪污点变量传播过程,进行类型感知的污点传播以及面向类型变量的符号执行,从而获得污点变量传播图与程序执行路径条件,求解出输入变量的约束条件,支持全面了解输入变量在数据流中的传递和对控制流的影响,最终达到更好的安全漏洞语义理解。该文以分析浏览器安全漏洞为例应用该技术,运用动态二进制代码插装技术将分析代码插入目标进程,动态执行污点分析,设定策略规则检测进程是否非法使用污点数据,结合符号执行,解出输入变量约束条件。从数据依赖和控制依赖这2方面,获得含有外部输入类型信息的安全漏洞特征。对7个已知安全漏洞的实验结果验证,基于类型的动态污点分析方法可以有效提升安全漏洞机理分析的语义,能够输出更易理解与使用的安全漏洞特征。 展开更多
关键词 动态污点分析(DTA) 软件漏洞 类型信息 污点传播 符号执行 漏洞特征
原文传递
JavaScript优化编译执行模式下的动态污点分析技术 被引量:2
20
作者 梁彬 龚伟刚 +2 位作者 游伟 李赞 石文昌 《清华大学学报(自然科学版)》 EI CAS CSCD 北大核心 2017年第9期932-938,共7页
目前,主流的JavaScript执行引擎为了提高效率,引入优化编译执行模式,对频繁运行的热点函数进行即时优化编译。优化编译执行模式的引入,给通过动态插桩实现JavaScript程序的动态污点分析(dynamic taint analysis,DTA)带来了新的挑战。针... 目前,主流的JavaScript执行引擎为了提高效率,引入优化编译执行模式,对频繁运行的热点函数进行即时优化编译。优化编译执行模式的引入,给通过动态插桩实现JavaScript程序的动态污点分析(dynamic taint analysis,DTA)带来了新的挑战。针对这一问题,该文针对HTML5混合型安卓应用,通过修改其所使用的V8JavaScript引擎,基于动态插桩实现了一种优化编译执行模式下的动态污点分析方法。该方法使用污染包裹对象的方式对污点标签进行存储,在优化编译执行模式下的Hydrogen中间代码层面进行插桩操作。实验结果表明:该方法能够有效地在优化编译执行模式下进行污点跟踪,且性能开销也在可以接受的范围内。 展开更多
关键词 优化编译 动态污点分析(DTA) JAVASCRIPT
原文传递
上一页 1 2 3 下一页 到第
使用帮助 返回顶部