格式化字符串漏洞自动检测与测试用例生成

• Published in: 计算机应用研究 Vol. 36; no. 8; pp. 2464 - 2468
• Main Authors: 黄钊, 黄曙光, 邓兆琨, 黄晖
• Format: Journal Article
• Language: Chinese
• Published: 国防科学技术大学电子对抗学院,合肥,230037 2019
• Subjects: 测试用例生成; 符号执行; 自动检测; 格式化字符串漏洞
• ISSN: 1001-3695
• DOI: 10.19734/j.issn.1001-3695.2018.01.0168

TP309.2; 格式化字符串漏洞是一种危害高、影响广的软件漏洞.当前漏洞检测方式存在人工依赖度高、误报率高、检测模型单一、未能充分考虑格式化字符串漏洞特点等多种局限性.针对以上问题,对格式化字符串漏洞特征进行分析,设计并实现了一种基于符号执行的格式化字符串漏洞自动检测与测试用例生成的系统.该方法可自动检测Linux下二进制程序中格式化字符串漏洞的存在性,判定其是否可能导致任意内存读写危害,并生成稳定有效的测试用例.