應(yīng)用程序源代碼漏洞測(cè)試方法分析與應(yīng)用.pdf

1、目前來看，黑客的攻擊趨勢(shì)已經(jīng)從操作系統(tǒng)轉(zhuǎn)向了一般的應(yīng)用軟件。因?yàn)槔脩?yīng)用程序的漏洞能夠獲得更大的利益，而且由于有的應(yīng)用的開發(fā)人員只注意了功能的實(shí)現(xiàn)，并沒有在意應(yīng)用程序的安全性，所以攻擊應(yīng)用程序顯得更為容易一些。應(yīng)用廠商已經(jīng)意識(shí)到了這個(gè)問題的嚴(yán)重性，因此對(duì)于測(cè)試實(shí)驗(yàn)室而言，大量的應(yīng)用系統(tǒng)測(cè)試項(xiàng)目將會(huì)蜂擁而來。快速鎖定易被利用的漏洞、提高工作效率將會(huì)成為測(cè)試的重點(diǎn)和難點(diǎn)，也是一個(gè)測(cè)試實(shí)驗(yàn)室能夠立足的關(guān)鍵。 本論文是基于一個(gè)應(yīng)用系統(tǒng)的

2、漏洞測(cè)試展開的，用戶提出了發(fā)現(xiàn)高風(fēng)險(xiǎn)漏洞并且在短時(shí)間內(nèi)解決這些漏洞的要求。通過對(duì)用戶需求進(jìn)行分析，為了使測(cè)試更加有說服力，體現(xiàn)高風(fēng)險(xiǎn)的含義，利用滲透性測(cè)試方式，模擬黑客攻擊應(yīng)用系統(tǒng)，突出其脆弱性，使用戶承認(rèn)風(fēng)險(xiǎn)的存在。輸入型漏洞有多種類型，每一種類型也有不同的攻擊表現(xiàn)形式，為了加快測(cè)試和修復(fù)漏洞的速度，本文將利用滲透性測(cè)試和白盒測(cè)試中的靜態(tài)分析法相結(jié)合的方式快速鎖定漏洞程序，通過跟蹤漏洞來找尋輸入型漏洞的攻擊特點(diǎn)，以及解決此類問題的辦法