基于模糊测试的Android浏览器漏洞挖掘技术研究

信息安全研究 ›› 2017, Vol. 3 ›› Issue (11): 1028-1033.

• 人工智能与金融信息安全专题 • 上一篇下一篇

基于模糊测试的Android浏览器漏洞挖掘技术研究

石晓朦¹,张光华²,刘会梦¹,杨耀红¹

1. 河北科技大学信息科学与工程学院
2. 西安电子科技大学综合业务网理论及关键技术国家重点实验室

收稿日期:2017-11-19 出版日期:2017-11-15 发布日期:2017-11-18
通讯作者: 石晓朦
作者简介:石晓朦硕士研究生，1992年生，主要研究方向为网络安全张光华博士，副教授，1979年生，主要研究方向为网络安全刘会梦硕士研究生，1992年生，主要研究方向为网络安全杨耀红硕士研究生，1992年生，主要研究方向为网络安全

Research on Deceptive Technology of Mobile Browser Based on Fuzzing

Received:2017-11-19 Online:2017-11-15 Published:2017-11-18

摘要/Abstract

摘要： 针对目前Android浏览器通信协议安全测试方案有效性较差的问题，本文提出了基于生成模式下模糊测试技术的漏洞挖掘方案。方案采用数据块关联模型描述被测协议，随后根据构造出来的协议测试脚本自动化生成相应的畸形数据包作为测试用例，并将生成的畸形测试用例随机发送到测试目标，同时监视手机浏览器客户端发生异常并记录异常信息，分析导致异常的错误如何发生。实验结果表明，该方案能更全面地挖掘出由协议分析结果和模糊测试发现的手机浏览器漏洞，具有一定的可靠性。

关键词: 手机浏览器, HTTP协议, 漏洞挖掘, 模糊测试, 移动网络安全

Abstract: In view of the poor effectiveness of the current Android browser communication protocol security test scheme, this paper proposes a vulnerability mining method based on Fuzzy Test Technology in generation mode. The scheme adopts the data block correlation model to describe the protocol under test, then according to the structure of the protocol automation test script generation deformity data corresponding to the package as a test case, and the generated test cases were sent to the abnormal test target, and monitor customer mobile phone browser is abnormal and record the abnormal information, analysis how to lead to abnormal error. Experimental results show that the proposed scheme can more fully exploit the mobile browser vulnerability caused by protocol analysis and fuzzy test, and has the certain reliability.

Key words: mobile browser, HTTP protocol, vulnerability mining, fuzzy testing, Mobile network security

石晓朦张光华刘会梦杨耀红. 基于模糊测试的Android浏览器漏洞挖掘技术研究[J]. 信息安全研究, 2017, 3(11): 1028-1033.

参考文献

[1]张玉清，王凯，杨欢，等。 Android安全综述[J]. 计算机研究与发展, 2014, 51(7):1385-1396. [2] 汪栋. 基于Fuzzing技术的Android平台应用层网络协议测试工具[D]. 电子科技大学, 2015. [3] Rafique M Z, Khan M K, Alghathbar K, et al. A Framework for Detecting Malformed SMS Attack[M]// Secure and Trust Computing, Data Management and Applications. Springer Berlin Heidelberg, 2011:11-20. [4] Rafique M Z, Khan M K, Alghathbar K, et al. A Framework for Detecting Malformed SMS Attack[M]// Secure and Trust Computing, Data Management and Applications. Springer Berlin Heidelberg, 2011:11-20. [5]李红辉,齐佳,刘峰,等.模糊测试技术研究[J].中国科学:信息科学,2014,44(10): 1305-1322. [6]刘奇旭,张玉清.基于Fuzzing的TFTP漏洞挖掘技术[J].计算机工程, 2007, 33(20): 142-147 [7]马金鑫,张涛,李舟军,等. Fuzzing过程中的若干优化方法[J].清华大学学报(自然科学版), 2016(5):478-483. [8]张玉清, 方喆君, 王凯,等. Android安全漏洞挖掘技术综述[J]. 计算机研究与发展, 2015, 52(10):2167-2177. [9]成厚富, 张玉清. 基于Fuzzing的蓝牙OBEX漏洞挖掘技术[J]. 计算机工程, 2008, 34(19):151-153. [10] Schanes C, Taber S, Popp K, et al. Security test approach for automated detection of vulnerabilities of SIP-based VoIP softphones[J]. International Journal on Advances in Security, 2011, 4(1):95-105. [11]张友春, 魏强, 刘增良,等. 信息系统漏洞挖掘技术体系研究[J]. 通信学报, 2011, 32(2):42-47. [12]王志强. 基于模糊测试的漏洞挖掘及相关攻防技术研究[D]. 西安电子科技大学, 2015. [13] Kyle S, Leather H, Franke B, et al. Application of Domain-aware Binary Fuzzing to Aid Android Virtual Machine Testing[J]. Acm Sigplan Notices, 2015, 50(7):121-132. [14] Pradel M, Pradel M, Pradel M, et al. Making malory behave maliciously: targeted fuzzing of android execution environments[C]// Ieee/acm, International Conference on Software Engineering. IEEE, 2017:300-311. [15]方喆君, 刘奇旭, 张玉清. Android应用软件功能泄露漏洞挖掘工具的设计与实现[J]. 中国科学院大学学报, 2015, 32(1):127-135.

基于模糊测试的Android浏览器漏洞挖掘技术研究

Research on Deceptive Technology of Mobile Browser Based on Fuzzing

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 2

编辑推荐

Metrics

[1]	唐枭. 基于动态污点分析的反馈式模糊测试改进方法[J]. 信息安全研究, 2019, 5(2): 145-151.
[2]	韩鹍. 一种动静结合的高代码覆盖率模糊测试方法[J]. 信息安全研究, 2016, 2(8): 699-705.