20179214 2017-2018-2 《密码与安全新技术》第五次作业

标签：loading   定义   方法   com   网络   udf   inf   误报   模糊   

基于fuzzing技术的漏洞挖掘与攻防技术

基于模糊测试的漏洞挖掘与攻防技术

引言

安全事件层出不穷

• 滴滴8天3城连发暴力事件 媒体:被资本绑架轻视安全
• 史上最大云安全事件 Cloudflare流量泄露
• 洲际酒店(IHG)信用卡数据泄露
• 搭载NSA网络核武 WannaCry勒索攻击全球爆发

• 伙伴挖大坑 1.4亿Verizon用户数据泄露
  安全漏洞定义：
  安全漏洞是网络攻击和防御的关键点
  攻击：根据目标存在的漏洞，编写攻击程序
  防御：提前挖掘出漏洞，并修复
  网络安全事件的根本原因：
  漏洞挖掘
  漏洞防御
  常见的漏洞挖掘技术
  手工测试
  定义：由测试人员手工分析和测试被测目标，发现漏洞的过程，是最原始的漏洞挖掘方法
  优点：
  补丁对比
  定义：一种通过对比补丁之间的差异来挖掘漏洞的技术。
  优点：发现速度快
  缺点:已知漏洞
  程序分析：
  包括静态和动态
  定义：至在不运行计算机程序的条件下，通过词法分析，语法分析，控制流分析，污点分析等技术对程序代码进行扫描，验证代码是否满足规范性，安全性等指标的一种代码分析。
  有点：覆盖率100%
  缺点：误报和漏报
  二进制审核
  定义:通过逆向获取二进制代码，在二进制代码层次上进行安全评估。
  模糊测试
  定义：通过像被测数据输入大量的畸形数据并检测差异来发现异常。
  

  漏洞挖掘实例

  uploading-image-168122.png

uploading-image-705636.png

20179214 2017-2018-2 《密码与安全新技术》第五次作业

标签：loading   定义   方法   com   网络   udf   inf   误报   模糊   

原文地址：https://www.cnblogs.com/blankicefire/p/9029889.html