CN108268371A - 面向Android应用的智能模糊测试方法 - Google Patents
面向Android应用的智能模糊测试方法 Download PDFInfo
- Publication number
- CN108268371A CN108268371A CN201611263325.4A CN201611263325A CN108268371A CN 108268371 A CN108268371 A CN 108268371A CN 201611263325 A CN201611263325 A CN 201611263325A CN 108268371 A CN108268371 A CN 108268371A
- Authority
- CN
- China
- Prior art keywords
- android
- path
- loophole
- analysis
- reverse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3684—Test management for test design, e.g. generating new test cases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种面向Android应用的智能模糊测试方法。该方法包括应用程序逆向符号执行和Android应用程序模糊测试。使用Android漏洞特征对Android应用进行建模分析,得到Android应用入口函数、敏感操作点、控制流和函数调用信息;通过将敏感操作点作为入口进行逆向符号执行获取路径约束信息;对路径约束信息进行约束求解得到触发该漏洞的路径测试用例;使用生成的路径测试用例对Android应用程序进行模糊测试,监控程序运行状态;对程序运行信息进行分析生成相关漏洞报告。本发明能够生成满足触发漏洞的测试用例,同时避免了路径爆炸,也使用该方法指导下的模糊测试更具有针对性。相比传统模糊测试方法,本方法克服了模糊测试盲目性的问题,提高了模糊测试的效率。
Description
技术领域
本发明涉及一种Android应用软件安全性测试方法,尤其是涉及一种基于逆向符号执行指导模糊测试的方法,结合逆向符号执行和模糊测试两方面的优势分析软件的安全性。
背景技术
随着移动互联网的大范围普及和Android智能手机的广泛使用,Android手机应用软件产业得到了飞速发展,已经开始影响到人们工作和生活的方方面面,例如:移动办公软件,移动游戏软件,移动社交软件,移动定位软件和移动支付软件等等。大量Android应用程序通过应用商店或第三方市场下载并安装到用户手机上使用。然而,应用程序大都来源于第三方开发者,这些应用程序可以不经检查就投放到市场上,其中就有可能包含带有漏洞的应用程序,对用户的隐私构成严重威胁。因此,为了尽早发现软件存在的漏洞,应该进行软件漏洞分析。
模糊测试是目前软件漏洞分析的代表性技术,在软件漏洞分析领域占据重要地位。其基本想是通过构造非预期的输入数据并监视目标软件在运行过程中的异常结果发现软件故障的方法。模糊测试的基本流程为:
1) 确定目标程序。整个模糊测试过程中的第一步是确定测试目标,有了明确的目标才能决定使用的测试工具和测试方法。
2) 确定输入数据。绝大部分可利用的安全漏洞都是由于目标软件未对输入数据进行校验或未对不合法的输入做相应的出错处理。
3) 构建模糊测试用例。在分析目标软件数据规约的基础上,可以针对性地设计测试用例。
4) 监视执行并过滤异常。执行测试用例的过程往往与测试用例生成一起执行,即将测试用例输入给目标程序以监测程序的运行状态。
5) 异常分析与漏洞确认。在运行过程中对目标程序的状态进行分析,记录模糊测试中发生的所有异常状态,通过异常分析,来确定漏洞发生的位置和情况。
现有的Android应用模糊测试方法是通过自动批量生成多种类型的测试数据和测试用例对Android应用进行模糊测试。通过将这些随机数据输入到Android应用程序并执行,监控程序发生的异常发现潜在的漏洞,这种方法能够有效的发现目标程序存在的漏洞。
尽管上述模糊测试方法对应用漏洞检测率比较高,但是有其明显的缺陷:测试数据生成方法过于随机和简单,以及测试的盲目性导致测试效率低,难以进行覆盖率确定,导致无法对模糊测试结果进行评估;不能保证充分的代码覆盖而导致漏报率高;测试数据相互独立导致难以发现复杂漏洞等。
发明内容
本发明针对上述漏洞检测技术存在的问题,提出了一种面向Android应用软件安全性测试方法。结合逆向符号执行和模糊测试两方面优势,对Android应用软件进行漏洞检测。
实现本发明目的的技术解决方案为:一种面向Android应用程序的智能模糊测试方法,包含如下步骤:
第一步、对Android应用程序进行建模分析,分析反编译后的代码,从而获取到该应用程序所有的入口函数、系统调用关系、方法的控制流信息和函数调用信息。使用Android漏洞特征来标记出所有可能存在漏洞的程序点,即敏感操作点。
所述的Android漏洞特征主要通过对已有的Android应用漏洞进行形式化分析方法分析得到,将程序漏洞模式进行形式化描述,总结出漏洞模式的特征,从而建立Android漏洞特征。
所述的Android漏洞特征包括:
1) 使用日志操作泄露用户信息
2) 使用短信操作泄露用户信息
3) 使用网络操作泄露用户信息
4) 将用户隐私信息存储到本地
所述的敏感操作点为满足漏洞特征的Android应用操作关键API。
第二步、将第一步中获取的敏感操作点作为逆向符号执行入口点。初始化符号执行符号表:取出相关操作变量存放到逆向符号执行符号表中。初始化路径约束:路径约束条件初始值为true。
第三步、根据第一步中建模分析中获取的信息进行逆向符号执行,在逆向符号执行的过程中对符号表和路径约束条件进行符号化处理和更新操作。
所述的逆向符号执行的过程中的符号表主要是用于进行存储符号值和更新符号值操作,在逆向分析过程中,当指令是输入、输出和赋值语句类型时,更新关心变量符号表。当指令是条件语句类型时,更新并记录路径约束条件。当指令是调用语句类型时,调用API函数。
第四步、重复执行第三步进行逆向符号执行,直到到达入口点为止。保存当前的符号表和路径约束条件。
所述的路径约束条件中会存储满足执行对应路径的所有分支条件。
第五步、使用约束求解器对路径约束条件进行求解,生成满足该路径触发条件的测试用例。
所述的约束求解器主要是判断路径是否可执行。将路径约束条件结果形成方程组,求解该方程组,并根据方程组的结果判断路径是否可执行。如无解,则路径不可执行;如有解,则将给出所有满足路径约束条件的真实值。
第六步、使用第五步中生成的漏洞触发测试用例作为输入对Android应用进行模糊测试,收集该Android应用的运行状态、异常状态和漏洞信息。
第七步、通过对第六步中收集的异常信息对系统影响进行评估,确认每个监控到的真实的漏洞。让安全人员对每个漏洞进行精细分析,生成漏洞相关报告。
本发明与现有技术相比,其显著优点为:(1)本发明的逆向符号执行导向的模糊测试方法针对的是Android应用程序。本发明使用逆向符号执行,可以从程序漏洞或者缺点直接相关的操作所在的程序点开始分析,在逆向执行的时候,可以获得代码的语义信息,使得可以精确的分析程序代码属性,分析精度高。(2)智能模糊测试通过对目标应用程序进行分析,获得一定程度该应用程序实现语义,然后使用逆向符号执行分析出程序的内在知识辅助模糊测试的进行,避免盲目地对程序进行全路径覆盖测试,更加有针对性地检测某些安全敏感点行为,可以很好的解决传统模糊测试盲目性的问题,大大增加了漏洞发现的概率,提高检测效率。
附图说明
图1为根据本发明一个面向Android应用程序的智能模糊测试中的系统架构图。
图2为根据本发明一个面向Android应用程序的智能模糊测试中总体处理流程示意图。
具体实施方式
为了更好的对应用程序进行更加精确的漏洞分析,并弥补传统模糊测技术盲目性缺点,测试方法逐步从单一的模糊测试方法转变为智能模糊测试方法,即在测试过程中引入符号执行技术分析目标程序的内在知识来辅助模糊测试的进行。
基于逆向符号执行导向的模糊测试技术主要结合了逆向符号执行和模糊测试。首先通过静态分析找出Android应用中的函数入口点集、敏感操作点、控制流信息和函数调用信息。使用当前已经获得应用信息对敏感操作点进行逆向符号执行获取执行该敏感操作点的路径约束。将获得的路径约束进行约束求解获得该敏感操作点对应的路径并进行导向模糊测试来确认应用软件是否存在漏洞。这样以尽可能小的代价找出程序中最有可能产生漏洞的执行路径,从而避免盲目进行全路径覆盖测试,提高模糊测试效率。
下面参照附图更详细地描述本发明的具体实施方式。
本发明中逆向符号执行导向的模糊测试方法的总体处理流程示意图,如图1所示。实现流程如下:
第一步、该方法对Android应用程序进行建模分析,使用反编译工具对Android应用进行反编译,分析反编译后的代码,从而获取到该应用程序所有的入口函数,即程序运行开始点。充分考虑Android应用组件的生命周期丰富系统调用。对每个方法生成相应的控制流信息和函数调用信息。使用Android漏洞特征标记出所有可能存在漏洞的程序点,即敏感操作点,如短信类中sendTextMessage函数。
第二步、将第一步中获取的敏感操作点作为逆向符号执行入口点。初始化符号执行符号表:取出相关操作变量存放到逆向符号执行符号表中。初始化路径约束:路径约束条件初始值为true。
逆向符号执行符号表结构如下:
class SymTable {
int type; //该符号类型
String SymName; //该符号名称
String SymExp; //该符号表达式
}
路径约束结构如下:
class PC {
boolean pc = true;
}
第三步、根据第一步中建模分析后获取的信息进行逆向符号执行,在逆向分析过程中,当指令是输入、输出和赋值操作类型,更新关心变量符号表,其中操作包括为add、put、get、move等。当指令是条件类型语句,更新并记录路径约束条件,其中操作包括if、cmp等。路径约束条件更新操作是将分支条件添加到该路径约束条件中,比如:当前路径约束条件为true,遇到的分支条件为i>0,更新约束条件为true^i>0。
第四步、重复执行第三步进行逆向符号执行,直到到达入口点为止,如Activity组件的onCreate函数。保存当前符号表和路径约束条件。其中路径约束条件中会存储满足执行对应路径的所有分支条件。
第五步、使用约束求解器对路径约束条件进行求解,生成满足该路径触发条件的测试用例。其中约束求解器包括Z3等。约束求解器求解过程主要是判断路径是否可执行。如有解,则将给出所有满足路径约束条件的真实值。如当前路径约束条件表达式为true^i>0^j<10,使用约束求解器求解后得到满足当前路径条件的其中一个解是i=1,j=9。通过使用上述求解得出的解构造出相应的漏洞触发测试用例。
第六步、将第五步中生成的漏洞触发测试用例作为输入对Android应用进行模糊测试,收集该Android应用的运行信息、异常信息和漏洞信息。其中运行信息和异常信息可以从运行的日志信息中获取。漏洞信息则通过Hook技术监控相关关键API调用来获取。本实例中关键API包括但不限于短信发送操作sendTextMessage函数和网络接口函数openConnection函数。
第七步、通过对第六步中收集的异常信息进行分析,评估其对系统的影响,确认每个监控到的真实的漏洞。让安全人员对每个漏洞进行精细分析,生成漏洞相关报告。
与本发明实施例提供一种面向Android应用程序的智能模糊测试方法相对应,本发明还提供了相关的系统框架,如图2所示。该框架将逆向符号执行和模糊测试技术结合,有效地解决了传统模糊测试盲目性的问题,提高了检测效率。系统框架包括APK建模模块、逆向符号执行模块、约束求解模块、执行监控模块、模糊测试模块和漏洞报告模块。
(1)APK建模模块
APK建模模块首先对Android应用程序进行分析,主要使用反编译工具对应用程序进行反编译,分析反编译后的代码并从中找出Android应用程序拥有的多个入口函数。Android应用程序是由许多组件组成,除了有直接调用和系统调用,还充分考虑组件的生命周期丰富函数调用关系,生成函数调用关系。使用控制流生成工具对反编译代码进行分析,生成过程内和过程间控制流信息。使用Android应用程序漏洞特征对程序进行分析,找出所有可能存在疑似漏洞或缺陷的代码点,生成敏感操作点。
(2)逆向符号执行模块
逆向符号执行模块使用APK建模模块中获取到的敏感操作点中操作的变量作为符号执行中的关心变量,根据控制流信息从敏感操作点出发进行逆向符号执行,获得触发该敏感操作的关心变量符号表达式和路径约束。
(3)约束求解模块
约束求解模块借助约束求解器,对逆向符号执行模块中获得路径约束条件进行求解,从而生成与敏感操作点相关的所有测试用例。
(4)执行监控模块
执行监控模块,通过对Android系统API和程序运行状态进行实时监控,记录正在测试的Android应用程序运行过程中所有程序崩溃点和漏洞点的状态,将这些运行信息存储起来,以便对其进行重点分析,从而提高漏洞挖掘的效率。
(5)模糊测试模块
模糊测试模块使用约束求解模块中获取到的路径约束,使用相应的测试用例构建方法生成模糊测试的测试数据,如:随机方法、强制性测试、预先生成测试用例和遗传算法。使用上述方法生成的测试用例作为输入用例来测试Android应用程序,完成定向模糊测试。
(6)漏洞报告模块
漏洞报告模块根据执行监控模块中记录的漏洞信息,通过使用基于模式匹配的自动化工具快速评估每个异常对系统影响,并确认真实的漏洞。对于每一个已确认的漏洞,需要具有一定漏洞利用经验的安全分析人员手工对每个漏洞进行精细分析,确定漏洞可能造成的危害,生成漏洞相关报告。
Claims (8)
1.一种面向Android应用的智能模糊测试方法,其特征在于包括如下步骤:
1)ndroid应用程序进行建模分析;分析反编译后的代码,从而获取到该Android应用程序所有的入口函数、系统调用关系、方法的控制流信息和函数调用信息,使用Android漏洞特征来标记出所有可能存在漏洞的程序点,即敏感操作点;
2)步骤1)中获取的敏感操作点作为逆向符号执行入口点,进行逆向符号执行初始化,取出相关操作变量存放到逆向符号执行符号表中,并且初始化路径约束;
3)步骤1)中建模分析后获取的信息进行逆向符号执行;逆向分析过程中,当指令是输入、输出和赋值语句类型时,更新逆向符号执行符号表;当指令是条件语句类型时,更新并记录路径约束条件;当指令是调用语句类型时,调用相关API函数;
4)执行步骤3)进行逆向符号执行,直到到达入口点为止,保存当前相关路径的符号表和路径约束条件;
5)约束求解器对路径约束条件进行求解,生成满足该路径触发条件的测试用例;
6)步骤5)中生成的漏洞触发测试用例作为输入对,Android应用进行模糊测试,收集该Android应用的运行状态、异常状态和漏洞信息;
7)步骤6)中收集的异常信息进行分析,评估其对系统的影响,确认每个监控到的真实的漏洞,生成漏洞相关报告。
2.根据权利要求1所述的面向Android应用的智能模糊测试方法,其特征在于:步骤1)中,对已有的Android应用漏洞进行形式化分析方法分析,对程序漏洞进行形式化描述,总结出漏洞模式的特征,从而建立Android漏洞特征。
3.根据权利要求1所述的面向Android应用的智能模糊测试方法,其特征在于:所述获取到的敏感操作点为满足漏洞特征的关键API。
4.根据权利要求1所述的面向Android应用的智能模糊测试方法,其特征在于:所述逆向符号执行程序路径可以是函数调用关系,也可以是代码执行序列。
5.根据权利要求1所述的面向Android应用的智能模糊测试方法,其特征在于:在逆向符号执行的过程中对该符号表进行存储和更新符号值操作。
6.根据权利要求1所述的面向Android应用的智能模糊测试方法,其特征在于:在逆向符号执行的过程中,该路径约束条件将包含满足执行对应路径的所有分支条件。
7.根据权利要求1所述的面向Android应用的智能模糊测试方法,其特征在于:约束求解器用于判断路径是否可执行;将路径约束条件结果形成方程组,求解该方程组,并根据方程组的结果判断路径是否可执行;如无解,则路径不可执行;如有解,则将给出所有满足路径约束条件的真实值。
8.根据权利要求2所述的面向Android应用的智能模糊测试方法,其特征在于:所述Android漏洞特征包括:使用日志操作泄露用户信息、使用短信操作泄露用户信息、使用网络操作泄露用户信息、将用户隐私信息存储到本地。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611263325.4A CN108268371B (zh) | 2016-12-30 | 2016-12-30 | 面向Android应用的智能模糊测试方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611263325.4A CN108268371B (zh) | 2016-12-30 | 2016-12-30 | 面向Android应用的智能模糊测试方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108268371A true CN108268371A (zh) | 2018-07-10 |
CN108268371B CN108268371B (zh) | 2021-03-02 |
Family
ID=62753907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611263325.4A Active CN108268371B (zh) | 2016-12-30 | 2016-12-30 | 面向Android应用的智能模糊测试方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108268371B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110309661A (zh) * | 2019-04-19 | 2019-10-08 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
CN111190813A (zh) * | 2019-12-17 | 2020-05-22 | 南京理工大学 | 基于自动化测试的安卓应用网络行为信息提取系统及方法 |
CN111859387A (zh) * | 2019-04-25 | 2020-10-30 | 北京九州正安科技有限公司 | Android平台软件漏洞模式的自动化构建方法 |
CN112181833A (zh) * | 2020-09-28 | 2021-01-05 | 全球能源互联网研究院有限公司 | 一种智能化模糊测试方法、装置及系统 |
CN112416800A (zh) * | 2020-12-03 | 2021-02-26 | 网易(杭州)网络有限公司 | 智能合约的测试方法、装置、设备及存储介质 |
CN113204498A (zh) * | 2021-06-07 | 2021-08-03 | 支付宝(杭州)信息技术有限公司 | 针对闭源函数库生成模糊测试驱动器的方法和装置 |
WO2021248310A1 (zh) * | 2020-06-09 | 2021-12-16 | 深圳市欢太科技有限公司 | 服务调用信息的获取方法、装置和服务的漏洞测试方法 |
CN114328173A (zh) * | 2021-10-27 | 2022-04-12 | 清华大学 | 软件模糊测试方法和装置、电子设备及存储介质 |
CN115292206A (zh) * | 2022-10-08 | 2022-11-04 | 西安深信科创信息技术有限公司 | 软件漏洞检测方法、装置、电子设备及存储介质 |
CN117033171A (zh) * | 2023-06-28 | 2023-11-10 | 清华大学 | 触发软件漏洞的输入数据的复现方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102360334A (zh) * | 2011-10-17 | 2012-02-22 | 中国人民解放军信息工程大学 | 一种动静态结合的软件安全性测试方法 |
CN102385550A (zh) * | 2010-08-30 | 2012-03-21 | 北京理工大学 | 一种针对软件缺陷的检测方法 |
US9367681B1 (en) * | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
CN105740149A (zh) * | 2016-01-29 | 2016-07-06 | 中国人民解放军信息工程大学 | 基于脆弱性模型和符号执行结合的软件安全检测方法 |
-
2016
- 2016-12-30 CN CN201611263325.4A patent/CN108268371B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102385550A (zh) * | 2010-08-30 | 2012-03-21 | 北京理工大学 | 一种针对软件缺陷的检测方法 |
CN102360334A (zh) * | 2011-10-17 | 2012-02-22 | 中国人民解放军信息工程大学 | 一种动静态结合的软件安全性测试方法 |
US9367681B1 (en) * | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
CN105740149A (zh) * | 2016-01-29 | 2016-07-06 | 中国人民解放军信息工程大学 | 基于脆弱性模型和符号执行结合的软件安全检测方法 |
Non-Patent Citations (1)
Title |
---|
郭曦等: "相关路径静态分析中协同式逆向推理方法", 《软件学报》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110309661B (zh) * | 2019-04-19 | 2021-07-16 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
CN110309661A (zh) * | 2019-04-19 | 2019-10-08 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
CN111859387A (zh) * | 2019-04-25 | 2020-10-30 | 北京九州正安科技有限公司 | Android平台软件漏洞模式的自动化构建方法 |
CN111190813B (zh) * | 2019-12-17 | 2022-09-20 | 南京理工大学 | 基于自动化测试的安卓应用网络行为信息提取系统及方法 |
CN111190813A (zh) * | 2019-12-17 | 2020-05-22 | 南京理工大学 | 基于自动化测试的安卓应用网络行为信息提取系统及方法 |
WO2021248310A1 (zh) * | 2020-06-09 | 2021-12-16 | 深圳市欢太科技有限公司 | 服务调用信息的获取方法、装置和服务的漏洞测试方法 |
CN112181833A (zh) * | 2020-09-28 | 2021-01-05 | 全球能源互联网研究院有限公司 | 一种智能化模糊测试方法、装置及系统 |
CN112416800A (zh) * | 2020-12-03 | 2021-02-26 | 网易(杭州)网络有限公司 | 智能合约的测试方法、装置、设备及存储介质 |
CN112416800B (zh) * | 2020-12-03 | 2023-09-15 | 网易(杭州)网络有限公司 | 智能合约的测试方法、装置、设备及存储介质 |
CN113204498A (zh) * | 2021-06-07 | 2021-08-03 | 支付宝(杭州)信息技术有限公司 | 针对闭源函数库生成模糊测试驱动器的方法和装置 |
CN114328173B (zh) * | 2021-10-27 | 2022-08-05 | 清华大学 | 软件模糊测试方法和装置、电子设备及存储介质 |
CN114328173A (zh) * | 2021-10-27 | 2022-04-12 | 清华大学 | 软件模糊测试方法和装置、电子设备及存储介质 |
CN115292206A (zh) * | 2022-10-08 | 2022-11-04 | 西安深信科创信息技术有限公司 | 软件漏洞检测方法、装置、电子设备及存储介质 |
CN117033171A (zh) * | 2023-06-28 | 2023-11-10 | 清华大学 | 触发软件漏洞的输入数据的复现方法、装置、设备及介质 |
CN117033171B (zh) * | 2023-06-28 | 2024-03-26 | 清华大学 | 触发软件漏洞的输入数据的复现方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108268371B (zh) | 2021-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108268371A (zh) | 面向Android应用的智能模糊测试方法 | |
Jan et al. | An innovative approach to investigate various software testing techniques and strategies | |
Mirzaei et al. | Reducing combinatorics in GUI testing of android applications | |
KR101904911B1 (ko) | 하이브리드 퍼징 기반 보안 취약점 자동 탐색 방법 및 그 장치 | |
Mahmood et al. | A whitebox approach for automated security testing of Android applications on the cloud | |
CN110266669A (zh) | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 | |
CN104360938B (zh) | 一种故障确认方法及其系统 | |
CN105512045B (zh) | 一种应用程序的测试方法、装置及测试设备 | |
Micskei et al. | Robustness testing techniques and tools | |
CN106649075A (zh) | 模糊测试方法和装置 | |
CN109063483B (zh) | 一种基于路径追踪的漏洞检测方法及系统 | |
Chowdhury et al. | CyFuzz: A differential testing framework for cyber-physical systems development environments | |
CN113590454A (zh) | 测试方法、装置、计算机设备和存储介质 | |
Ognawala et al. | Automatically assessing vulnerabilities discovered by compositional analysis | |
CN109543409B (zh) | 用于检测恶意应用及训练检测模型的方法、装置及设备 | |
Rong et al. | How is logging practice implemented in open source software projects? a preliminary exploration | |
Brito et al. | Study of javascript static analysis tools for vulnerability detection in node. js packages | |
Hao et al. | Constructing benchmarks for supporting explainable evaluations of static application security testing tools | |
Burrows et al. | Reasoning about faults in aspect-oriented programs: a metrics-based evaluation | |
Ghorbani et al. | DeltaDroid: Dynamic delivery testing in Android | |
Zhang et al. | Crashfuzzer: Detecting input processing related crash bugs in android applications | |
Mostafa et al. | Netdroid: Summarizing network behavior of android apps for network code maintenance | |
Xiong et al. | Model-based penetration test framework for web applications using TTCN-3 | |
Talib | Static analysis tools against cross-site scripting vulnerabilities in web applications: An analysis | |
CN111428238B (zh) | 一种基于安卓组件拒绝服务测试方法、检测终端及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |