基于Fuzzing技术的云数据泄露漏洞检测 |
| |
引用本文: | 姜百合,傅建明,王应军,王亚丽,黄坚伟.基于Fuzzing技术的云数据泄露漏洞检测[J].武汉大学学报(理学版),2018(2). |
| |
作者姓名: | 姜百合 傅建明 王应军 王亚丽 黄坚伟 |
| |
作者单位: | 武汉大学空天信息安全与可信计算教育部重点实验室;武汉大学计算机学院;62101部队信息中心 |
| |
摘 要: | 目前Web应用上存在接口枚举、越权与敏感信息回传三种逻辑漏洞,在SaaS服务模式的背景下,攻击者利用这些漏洞可以非法获取云端数据,给厂商和用户造成损失.主流的检测方案未实现自动化,依赖测试者经验的渗透测试,难以全面覆盖复杂的Web应用业务逻辑.本文分析云数据服务Web应用的业务逻辑,建立抽象三种逻辑漏洞的威胁模型,设计漏洞Fuzzing检测算法和系统框架,并实现了原型系统.实验结果表明,本文方案可检测造成云数据泄露的三种逻辑漏洞,与人工经验相结合,实现自动化的渗透测试.测试真实Web应用,发现了未被修补的三种逻辑漏洞,并已经得到厂商确认,提升了漏洞挖掘的覆盖度.
|
本文献已被 CNKI 等数据库收录! |
|