【摘 要】
:
大量Android和iOS应用程序存在密码误用漏洞,但是目前针对密码误用漏洞的研究较少,本文在已有研究的基础上,完善了密码误用漏洞模型,提出了动静结合的密码误用漏洞分析方法,并且设计并实现了用于Android和iOS平台的密码误用漏洞分析的原型工具,该工具首先通过静态分析得出应用软件调用的密码相关函数集合和执行路径分支,然后通过动态分析记录密码相关函数的运行时参数,最后分析动态分析生成的记录以判定
【机 构】
:
中国信息安全测评中心,北京100085 北京邮电大学,北京100876
【出 处】
:
第七届信息安全漏洞分析与风险评估大会
论文部分内容阅读
大量Android和iOS应用程序存在密码误用漏洞,但是目前针对密码误用漏洞的研究较少,本文在已有研究的基础上,完善了密码误用漏洞模型,提出了动静结合的密码误用漏洞分析方法,并且设计并实现了用于Android和iOS平台的密码误用漏洞分析的原型工具,该工具首先通过静态分析得出应用软件调用的密码相关函数集合和执行路径分支,然后通过动态分析记录密码相关函数的运行时参数,最后分析动态分析生成的记录以判定该应用软件是否存在密码误用漏洞.实验表明,工具对Android应用软件的密码误用分析效果较好,iOS应用软件由于存在大量自定义函数,对分析工具提出了更高的要求。
其他文献
应用解析法和漏磁链法推导了低压励磁、调压绕组置子旁柱的500kV单相线端调压自耦有载(无励磁)变压器的非额定分接两种电抗电压计算公武.运用两种计算公武分别计算同一台产品的电抗电压。从计算结果来看应用两种方法计算最大正分接高-中压绕组自耦运行电抗电压都能满足工程计算的实际需要,与标准值的偏差都较小。如果同时掌握了这两种截然不同的计算方法,那么可以给电磁计算人员提供另外一种计算方法来校验已采用的计算方
SM2是中国密码局发布的一种基于椭圆曲线的公钥密码算法.由于密码设备的侧信道信息往往存在泄露,攻击者可以利用其来恢复密钥,给人们带来巨大的安全隐患,研究具有抗攻击能力的快速SM2算法是当前一个热点内容.本文参考前人的方案,基于随机原理,针对标量乘提出了随机NAF窗口法与随机位置组合法.经分析知所提算法能够抵抗简单功耗攻击,差分功耗攻击和模板攻击等多种功耗攻击.针对具体应用,随机位置组合法可以有多种
安全漏洞是计算机系统易遭受黑客攻击的主要根源之一,安全漏洞检测技术是信息安全领域研究和实践工作的核心问题之一,随着对问题研究的深入,新的方法、技术和工具不断出现,一种发展趋势是结合多种经典方法、并综合利用诸多新出现的技术对程序进行安全漏洞检测.其中,一种被称为混合符号执行的轻量级动态符号执行方法尤为值得关注,本文就混合符号执行的历史由来、工作原理及其在安全漏洞检测领域的关键技术进行介绍,并就与此方
iOS系统作为手机智能终端市场占比相当大的系统之一,尽管凭借封闭性一定程度上保证了安全,但面对日益严峻的应用程序安全现状以及越狱等突破堡垒的开放操作的发展,iOS平台的恶意软件和攻击方式急剧增多,收发扣费短信、自动拨号、联网泄露隐私、下载未知应用程序等安全隐患被不断提出和变形利用.为此,本文针对iOS软件恶意行为,设计和实现了一个基于iOS平台的敏感行为检测系统—HawkEye.实验结果表明,Ha
信息系统和网络的发展使得操作系统的安全性愈发重要.国内外标准规范要求关键政府部门和行业组织采用的操作系统需要经过安全测评.本文分析了当前安全操作系统相关的主要测评标准和规范,提出了"标准规范引导、静态动态结合"的测评方法,并设计和实现了操作系统安全测评系统.通过建立指标库、样例库、知识库、测试任务库和测试脚本库,实现了操作系统功能安全测评的自动化和实用化.实验结果和实际应用表明,测评系统在保证测评
近年来,信息安全行业中的研究者对数字水印的研究兴趣在不断地增长。数字水印技术在图像和视频领域已有不错的研究成果,而文档由于其规则结构的特征,不适用已有的图像和视频的水印算法.考虑到文档的行间具有一定距离的特点,可用来嵌入水印,此类水印算法称为行间距文档水印算法.本文对行间距水印算法进行了深入研究,分析比较了此类算法中非盲提取算法和盲提取算法在性能上的差异.由于盲提取算法具有较高的应用需求,但具有误
软件漏洞是引发信息安全问题的重要根源.内存泄露作为一种常见的软件漏洞,会加快系统内存的不良消耗,造成系统崩溃,一旦被利用,可形成拒绝服务攻击DoS,成为程序稳定性的致命威胁.遗憾的是在程序运行时,内存泄漏难以定位.如果程序包含多线程,内存泄漏分析需进行线程隔离,实现难度大.为提高C程序内存泄露漏洞分析的效率,本文首先划分程序的可行路径,并构建程序的状态变迁图,图中任意一个分支即对应一条可行路径.其
漏洞签名是指触发程序漏洞的输入的集合,利用漏洞签名对程序输入进行过滤是一种有效地保护漏洞程序的方法.本文主要研究漏洞签名的生成技术,提出了一种有效的基于污点分析和符号执行的漏洞签名生成方法,它通过污点信息传播定位输入中的与触发漏洞相关的字节,然后,通过符号执行得到路径约束,并通过约束求解得到最终的漏洞签名.基于开源项目Pin和Z3,本文构建了基于污点分析和符号执行的漏洞签名生成原型系统TASEVS
为克服模糊测试方法具有盲目性和覆盖率不高的缺点,缓解当前符号执行方法所面临的空间爆炸问题,本文提出了一种基于脆弱点特征导向的软件安全测试方法.该方法结合模糊测试和符号执行方法的特点,首先针对缓冲区溢出,精确分析了具备该脆弱点特征的代码,并以此为测试目标,力图提高测试针对性;然后,通过域收敛路径遍历策略生成新测试数据进行测试.实验数据表明:该方法的缓冲区溢出可疑点识别率比现有以经验为主的识别方法至少
依赖关系路径模式是云数据服务安全策略制定的重要基础.本文阐述了依赖关系路径模式挖掘的重要意义,提出一种对数据溯源图进行预处理的线性排序算法,使利用自动机模型对溯源数据进行语法推导及解析成为可能;给出了基于自动机语法推导及解析的依赖关系路径间语义相似度定义与量化计算方法,在此基础上通过聚类分析提出一种通用的依赖关系路径模式挖掘算法.该方法在尽量降低对领域先验知识要求的前提下,使所得依赖关系路径模式具