欢迎访问《空军工程大学学报》官方网站!

咨询热线:029-84786242 RSS EMAIL-ALERT
基于符号执行的格式化字符串漏洞自动验证方法研究
DOI:
作者:
作者单位:

作者简介:

通讯作者:

中图分类号:

TP309.2

基金项目:

国家重点研发计划重点专项项目(2017YFB0802905)


Research on Automatic Exploit Generation Method of Format String Vulnerability Based on Symbolic Execution
Author:
Affiliation:

Fund Project:

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
  • |
  • 文章评论
    摘要:

    格式化字符串漏洞是一种常见的危害较大的软件漏洞。现有格式化字符串漏洞自动验证系统未充分考虑参数存储位置位于栈以外空间的情况,造成对该部分漏洞可利用性的误判。针对该问题,论文设计实现了一种基于符号执行的格式化字符串漏洞自动验证方法,首先根据参数符号信息检测当前格式化字符串函数漏洞,然后分别构建参数存储于不同内存空间情况下的漏洞验证符号约束,最后利用约束求解自动得到漏洞验证代码,实现了格式化字符串漏洞的自动验证。在Linux系统下对不同类型测试程序进行了实验,验证了方法的有效性。

    Abstract:

    Format string vulnerability is a common and harmful software vulnerability. The misjudgment of the exploitability posed by software vulnerability is as much about some of the existing format string vulnerability automatic exploit generation system as the parameter storage location is outside the stack. In view of this problem, an automatic exploit generation method of format string vulnerabilities is designed based on symbolic execution. First, the current format string function vulnerabilities are detected according to the parameter symbol information, and then the exploit constraints with parameters stored in different spaces are constructed respectively, and finally the exploit code is obtained by using the constraint solution. The automatic verification of format string vulnerability is realized. The experiments with different test programs under Linux system verify the effectiveness of the method.

    参考文献
    相似文献
    引证文献
引用本文

王瑞鹏,张旻,黄晖,沈毅.基于符号执行的格式化字符串漏洞自动验证方法研究[J].空军工程大学学报,2021,22(3):82-88

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
  • HTML阅读次数:
  • 引用次数:
历史
  • 收稿日期:
  • 最后修改日期:
  • 录用日期:
  • 在线发布日期: 2021-07-19
  • 出版日期: 2021-06-30