返回
关于ActiveX控件应用安全的研究论文范文

关于ActiveX控件应用安全的研究论文范文

ID:38604286

大小:17.59 KB

页数:3页

时间:2019-06-16

关于ActiveX控件应用安全的研究论文范文_第1页
关于ActiveX控件应用安全的研究论文范文_第2页
关于ActiveX控件应用安全的研究论文范文_第3页
资源描述:

《关于ActiveX控件应用安全的研究论文范文》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、计算机论文范文—关于ActiveX控件应用安全的研究论文范文    ActiveX是微软公司提出的基于COM和OLE的一种通用开放程序接口,它被广泛应用于第三方应用程序(即控件)开发。但由于第三方开发人员编程方面的原因,控件出现越来越多的漏洞,容易被恶意网站利用后进行破坏及窃取信息等活动,给个人和企业带来很大损失。因此,对ActiveX控件的应用安全进行研究具有现实意义。  1、ActiveX控件的概念  ActiveX是以微软COM模型(ComponentObjectModel)为理论基础建立起来的技术,通过建立带有接口的对象,ActiveX控

2、件能被其他COM组件或者程序调用,为代码的重用提供一种简化途径。  ActiveX控件技术提供了一个集成平台,为开发人员、用户提供了一个快速简便的在Internet或Intranet程序集成的方法。使用ActiveX控件可以轻松方便的在Web页中插入多媒体、交互式对象、各种文档格式以及复杂程序。  ActiveX控件由三大要素组成:属性、方法、事件。  属性:描述控件的特征信息。  方法:是控件提供给外界的接口,ActiveX控件是通过开放函数名称及参数,为用户使用控件提供便利。  事件:是控件响应用户控制、执行相应方法的触发条件,如鼠标单击、双

3、击、悬浮等。  ActiveX控件是嵌入在一个称为Container(容器)的软件(如IE、Word等)中,以组件的方式进行工作的。要调用ActiveX控件,首先要创建控件实例对象,通过实例对象,来设置和操作ActiveX控件的属性和方法。  以浏览器为容器举例:当Web服务器向浏览器回传内嵌ActiveX控件的页面时,浏览器先在本地注册表中查询是否含有该控件的CLSID(ClassIdentifier)值或名称,若找到则说明该控件已经安装,可直接使用;若找不到,则会根据页面中提供的该控件所在服务器的地址,下载并完成本地安装注册后,即可使用。  

4、2、ActiveX控件的安全问题  ActiveX控件多由第三方开发,受开发水平和安全意识等方面的影响,致使所提供的ActiveX控件存在很大的安全隐患。  由于使用ActiveX控件时,需要下载到本地进行安装并且对外开放接口,因此ActiveX控件的安全问题多出现在以下四个方面:一是其导出函数可能具有隐蔽的逻辑功能,如操作注册表、读写本地文件等;二是通过控件可以获取本地私密信息,如用户名、密码、IP地址等;三是控件本身一些函数在处理参数时由于未对参数长度进行检查而导致字符串缓冲区溢出、整数溢出、格式化字符串漏洞导致浏览器或系统异常;四是一些恶意

5、控件可以通过欺骗行为使用户访问恶意网页、下载恶意程序等。  这些安全问题一般都是在用户毫不知情的情况下存在和被利用的。因此,如何对ActiveX控件的安全性进行检测,及时发现它所存在的漏洞是避免损失的前提。  3、ActiveX控件漏洞的检测与发现  对于ActiveX控件漏洞的检测与发现,主要有两种方式:  (1)使用Fuzz测试工具。Fuzz测试是一种软件测试技术,通常用来发现软件或者协议存在的安全漏洞。这种测试属于黑盒测试,其测试基本思路就是先通过系统调用获取控件的属性和方法,利用自动化测试工具,根据控件的参数情况,给程序自动输入随机或者异

6、常数据,观察程序的反应,如果程序发生异常中止或显示警告信息等非正常情况,则说明程序可能存在安全漏洞。  较为常用的Fuzz测试工具是ComRaider。ComRaider可以根据接口所提供的参数类型构造不同的Fuzz脚本,并且此脚本还可通过调试器来进行调试。可以根据参数类型的不同,构造字符串溢出漏洞、整数溢出漏洞、格式化字符串漏洞等。但对于控件中存在的逻辑漏洞,Fuzz工具则无法判断,这需要通过人工的方式来进行分析和挖掘。  下面以对Flash10o.ocx进行Fuzz测试为例简要说明测试过程:  (2)人工分析方法。先通过控件解析器(如ComR

7、aider)解析出控件的方法和属性,再根据每个方法的参数和返回值来手工构造测试用例,依次对各个属性和方法进行逻辑覆盖和基本路径测试,根据页面的返回结果,确定是否存在安全漏洞。这种方法属于白盒测试,其测试的目标是查找ActiveX控件是否存在恶意修改注册表、操作本地文件、泄漏本地文件信息,是否访问恶意网页、下载恶意程序等逻辑漏洞。  人工分析的一般步骤:  首先,通过工具解析出ActiveX控件的属性和方法,查看控件中提供的变量、函数、函数参数、返回值、ProgID、CLSID等信息,根据获取的这些信息,可大致判断函数的功能。表1列出了函数名和函数

8、功能的暗示关系,可供参考:  其次,根据以上信息来构造相应的测试用例,编写漏洞利用网页,通过浏览器运行该网页,检验控件是否存在安全漏洞。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。