返回
android平台下软件安全漏洞挖掘方法研究

android平台下软件安全漏洞挖掘方法研究

ID:5311301

大小:433.07 KB

页数:5页

时间:2017-12-07

android平台下软件安全漏洞挖掘方法研究_第1页
android平台下软件安全漏洞挖掘方法研究_第2页
android平台下软件安全漏洞挖掘方法研究_第3页
android平台下软件安全漏洞挖掘方法研究_第4页
android平台下软件安全漏洞挖掘方法研究_第5页
资源描述:

《android平台下软件安全漏洞挖掘方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第3l卷第1期计算机应用与软件V01.31No.12014年1月ComputerApplicationsandSoftwareJan.2014Android平台下软件安全漏洞挖掘方法研究龚炳江唐宇敬(河北工程大学信息与电气工程学院河北邯郸056038)摘要为了减少Android系统用户的隐私数据泄露问题,提出一种针对Android应用程序源码的漏洞挖掘方法。该方法在An—droid漏洞库和权限方法集合的基础上,采用静态分析得到Android特有的权限漏洞矩阵代数式和漏洞点处测试用例,基于漏洞知识对测试用例变异得到半有效数据,

2、利用污点注入和数据流分析进行Fuzzing挖掘。经过对400个Android应用程序源码进行实例分析,结果表明该方法不仅能挖掘常规漏洞,而且在Android特有的权限信息漏洞挖掘方面效果明显。利用约束分析得到的测试用例数量少,而通过漏洞知识得到的半有效数据的针对性强,并且代码覆盖率和精确度较高。关键词安全漏洞Android权限静态分析Fuzzing中图分类号TP309.2文献标识码ADOI:10.3969/j.issn.1000—386x.2014.O1.084RESEARCHoNSECURITYVULNERABILITIE

3、SMININGMETHODFoRSoFTWAREoNANDRoIDPLATFORMGongBingjiangTangYujing(CollegeofInformationandElectricalEngineering,HebeiUnwemiqofEngineering,Handan056038,Hebei,China)AbstractInordertoreducetheprivacydataleakproblemsoftheAndroidsystemusers,weputforwardavulnerabilityminin

4、gmethodaimingatthesourcecodeoftheAndroidapplications.OnthebasisofAndroidvulnerabilitydatabaseandpermission—methodset,themethodadoptsstaticanalysistoobtainthealgebraicexpressionofspecialpermissionvulnerabilitymatrixofAndroidandthetestcaseofvulnerabilitypoints,mutate

5、sthetestcasesbasedonvulnerabilityknowledgetoobtainsemi—efficientdata,andusesstaininjectionanddataflowanalysistomineFuzzing.Throughexampleanalyseson400Androidapplicationssourcecode,theresultsshowthatthemethodcanminetheconventionalvulnerabilityandhasdistincteffectinm

6、iningthespecialpermissioninformationvulnerabilityofAndroid.Thenumberofthetestcasesderivedfromusingconstraintanalysisisless,andthepertinencyofsemi—eficientdataderivedfromvulnerabilityknowledgeishigh.Thismethodhashighcodecoverageandprecisionaswel1.KeywordsSecurityvul

7、nerabilityAndroidPermissionStoicanalysisFuzzing源码进行分析,记录漏洞点处的属性类型及约束关系,同时得到0引言权限和调用方法之间的一个映射矩阵及可能触发漏洞的危险函数调用,并得到正常数据的测试用例。Android是目前最流行的移动开源操作系统,2012年第二季度Android市场占有率已经达到68%,有60多万的应用程序被用户安装。应用程序大都来源于第三方,而这些开发的应用程序可以不经检查就直接发布到市场上,因此就有可能包括恶意程序,导致大量的用户私有信息泄露J,给用户带来巨大损

8、失。造成这种威胁的主要原因除了软件代码中存在的漏洞外,权限函数调用造成的信息泄露是另外一个重要原因,针对这两个方面的问题提出一种混合型漏洞挖掘方法。本文所做的主要工作如下:(1)建立Android的漏洞库,其中包括部分Java漏洞和发现的所有Android漏洞,这个漏洞库给测试用例的变异提

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。