CN110912776A - 一种实体路由器管理协议的自动化模糊测试方法及装置 - Google Patents
一种实体路由器管理协议的自动化模糊测试方法及装置 Download PDFInfo
- Publication number
- CN110912776A CN110912776A CN201911179610.1A CN201911179610A CN110912776A CN 110912776 A CN110912776 A CN 110912776A CN 201911179610 A CN201911179610 A CN 201911179610A CN 110912776 A CN110912776 A CN 110912776A
- Authority
- CN
- China
- Prior art keywords
- router
- attribute
- monitoring
- target router
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种实体路由器管理协议的自动化模糊测试方法及装置,实体路由器模糊测试技术,以目标路由器管理界面的默认URL作为输入,通过爬虫递归遍历所有WEB页面,获取请求数据;对原始请求数据进行格式解析和属性标记,得到种子,再进行变异;将变异后的种子作为网络通信数据发送到目标路由器,对目标路由器的异常进行监控,实现模糊测试;当目标路由器进入了无响应状态时,通过控制目标路由器自动重启,使模糊测试继续进行,直到完成。本发明利用软硬件结合的方式以及路由器中管理协议的特点,提升对路由器进行模糊测试的有效性。
Description
技术领域
本发明涉及实体路由器模糊测试技术,主要是针对实体路由器模糊测试与传统软件模糊测试的差异,解决模糊测试过程中自动化运行的瓶颈,并且通过针对设备特征的种子生成和监控方法提升模糊测试的有效性。
背景技术
模糊测试作为一项重要的漏洞挖掘技术,使用大量半有效的数据作为输入,可以自动化地完成软件测试的大量重复性工作,并有效辅助从发现漏洞到复现漏洞的过程,因此被广泛应用于应用程序、安全产品、操作系统以及网络设备等目标的漏洞挖掘。
从模糊测试的被测试目标角度,模糊测试可以分为黑盒模糊测试和白盒模糊测试。黑盒模糊测试是指在无法获取被测试目标源代码的基础上进行的模糊测试,由于缺乏基于源代码的语义信息,因此获取程序运行时信息指导测试用例构建会更困难。白盒模糊测试是指在获取到目标程序源代码的前提下进行模糊测试的过程,与黑盒模糊测试相比,可以更有效地获取程序运行时的信息。
从模糊测试的测试用例构建角度,模糊测试可以分为基于变异的模糊测试和基于生成的模糊测试。基于变异的模糊测试是指根据已知数据样本(种子)通过模糊测试器的变异策略生成新的测试用例,然后将迭代种子的模糊测试过程。基于生成的模糊测试是指根据已知的协议或接口规范进行建模,生成测试用例。这两种测试用例构建方法往往结合使用,从而在软件测试的过程中充分发挥两种构建方案的优势。
路由器等网络设备中存在管理配置多种服务,这些服务会经常与设备底层进行交互,如WEB管理服务、SOAP服务等。WEB管理服务通过网页访问的形式,网络设备管理员可以方便地对设备进行配置操作和信息概览。由于这些服务运行的过程中会与设备底层进行大量交互,如果对于用户输入没有充分过滤,那么很容易出现安全性漏洞,带来巨大的隐患。
由于网络设备与桌面软件的巨大差异性,如果将传统针对桌面软件的模糊测试方法直接应用到网络设备的模糊测试中,会存在如下问题:
(1)路由器等网络设备中的服务运行往往依赖于硬件,因此目前并没有能够普遍支持其中的服务单独运行的技术或者工具,此外目前对于路由器的全系统仿真具有设备支持范围上的局限性。
(2)在针对软件的模糊测试过程中,如果软件出现崩溃可以进行重新启动,但由于路由器等网络设备的运行情况较为复杂,在被测试服务崩溃之后往往需要重新启动整个设备才能使目标服务可以正常运行。
(3)路由器等网络设备中更容易出现漏洞的服务往往是厂商自定义的闭源软件,并且没有统一的设计标准。因此黑盒的、基于变异的模糊测试方法更适合于针对路由器的模糊测试。
(4)由于桌面软件的特性,软件类的模糊测试方法针对的漏洞类型主要是内存破坏类漏洞,而在网络设备中除了内存破坏类漏洞之外,还经常出现命令注入漏洞、跨站脚本攻击漏洞和信息泄露漏洞等多种漏洞类型。
发明内容
为了克服现有的模糊测试方法应用于路由器模糊测试的困难,本发明提供一种实体路由器管理协议的自动化模糊测试方法及装置,利用软硬件结合的方式以及路由器中管理协议的特点,提升对路由器进行模糊测试的有效性。
本发明提出的一种实体路由器管理协议的自动化模糊测试方法,包括以下步骤:
1、以目标路由器管理界面的默认URL作为输入,通过爬虫递归遍历所有WEB页面,获取请求数据;
2、对原始请求数据进行格式解析和属性标记,得到种子,该种子包括对应每次操作的入口地址URL、所有对于该入口地址配置的键值对key-value和属性信息attribute;
3、对收集到的种子进行变异,得到变异后的种子;
4、将变异后的种子作为网络通信数据发送到目标路由器,对目标路由器的异常进行监控,实现模糊测试;
5、当目标路由器进入了无响应状态时,通过控制目标路由器自动重启,使模糊测试继续进行,直到完成。
进一步地,采用两种爬虫获取请求数据,第一种是适用于所有路由器的通用爬虫,该通用爬虫自动填充管理页面上的内容,并提交配置,将提交的请求数据存储;第二种是被动式爬虫,该被动式爬虫通过访问一个页面,由人工填充需要的字段并提交后,自动保存提交的请求数据并转到下一个需要填充的页面。
进一步地,爬虫对同一个页面进行多次填充并提交,以获取原始请求数据。
进一步地,格式解析,是指将目标路由器封装的每种格式中的请求数据解析成键值对key-value的形式,得到种子。
进一步地,属性标记,是指将键值对key-value划分为“可变字符串”、“固定字符串”和“数字”三种属性,每个键值对包含一个或多个属性,默认的属性是“可变字符串”;通过判断是否在多次请求提交中都具有相同的值,来加入“固定字符串”属性;通过判断值是否符合数字格式,来加入“数字”属性。
进一步地,种子格式为(URL,set(key,value,attribute)),对种子进行的变异包括URL变异和set(key,value,attribute)变异,URL变异为在URL后附加特定文件或者敏感文件路径;set(key,value,attribute)变异为在一次变异过程中,随机选取多个(key,value,attribute)元组进行变异,对于选中的每一个元组,随机选取其所含的一个attribute,根据attribute对应的变异规则进行变异。
进一步地,通过漏洞触发的方式对目标路由器的异常进行监控,漏洞触发是通过配置操作和读取操作这两种方式进行,其中
配置操作,是指在完成一次种子变异后,向目标路由器发起一个配置操作的请求,并解析其返回信息,根据返回信息的内容监控漏洞;
读取操作,是指在每次配置操作完成后,进行一次读取操作,以确保能触发在读取操作中存在的安全漏洞,在每次配置读取操作结束后,将配置恢复到变异前的值。
进一步地,在通信的同时中,使用三种监控方式对异常行为进行监控,分别是:基于设备响应的监控,基于网络通信的监控和基于程序信号的监控。
本发明还提出了一种实体路由器管理协议的自动化模糊测试装置,包括生成模块、变异模块、监控模块和电源控制模块;
生成模块通过爬虫以目标路由器管理界面的默认URL作为输入,递归遍历所有WEB页面,获取请求数据,对原始请求数据进行格式解析和属性标记,得到种子,该种子包括对应每次操作的入口地址URL、所有对于该入口地址配置的键值对key-value和属性信息attribute;
变异模块对收集到的种子进行变异,将变异后的种子作为网络通信数据发送到目标路由器;
监控模块对目标路由器异常进行监控;
电源控制模块用于当目标路由器进入了无响应状态时,控制目标路由器自动重启,使模糊测试继续进行,直到完成。
进一步地,监控模块包括基于设备响应的监控模块、基于网络通信的监控模块和基于设备信号的监控模块这三个子模块,基于设备响应的监控模块用于从配置操作请求返回的信息内容中监控漏洞,基于网络通信的监控模块用于监控触发访问内网监控服务器的命令的网络通信漏洞,基于设备信号的监控模块用于通过Linux操作系统底层的ptrace系统调用来监控设备信号来发现设备信号漏洞。
进一步地,还包括一智能插座;电源控制模块会定时访问目标路由器中被测试的目标服务,如果在一定时间内连续多次无法收到回复,则认为目标服务进入了未响应状态,会通知变异模块暂停当前的工作,并向智能插座发送命令控制目标路由器重新启动,等到重新启动完成后恢复目标路由器的模糊测试过程。
本发明方法具有以下优点:
(1)本方法可以扩展到所有具备相似通信协议的其他类别设备或者其他内置服务的模糊测试中,并利用数据和时序语义信息来更有效地触发异常行为,具有普遍适用性。
(2)本方法利用针对设备的定制化请求获取方法和基于智能插座开发的电源控制方法实现了对于设备的全自动化模糊测试,可以避免设备模糊测试过程中的无响应状态,从而提升模糊测试过程的鲁棒性。
(3)本方法对于不同测试目标可以进行微调,具体的实施过程可以根据测试设备和目标服务的不同需求进行细粒度的定制化,具有可扩展性和较高的灵活性。
附图说明
图1是实体路由器管理协议的自动化模糊测试方法的模块图。
图2是实体路由器管理协议的自动化模糊测试方法的流程图。
图3是种子生成模块执行的流程图。
图4是变异模块执行的流程图。
图5是监控模块工作的原理图。
具体实施方式
为使本发明的技术方案能更明显易懂,特举实施例,以实体路由器为测试对象,并结合附图详细说明如下。
对实体路由器进行模糊测试可以在不依赖于对其固件进行逆向分析的同时利用计算资源来进行测试,通过对每个测试用例进行充分的变异,可以有效地提升安全漏洞被发现的概率。如何在众多没有统一实现标准的设备中找到进行有效模糊测试的共同点,并利用这些共同点深入挖掘安全漏洞是一个值得研究的问题。
本发明方法的测试对象是一个实体路由器,主要是针对实体路由器中的网络管理类协议进行模糊测试。对于给定的一款实体路由器中的网络管理服务,本方法首先使用针对网络管理协议的定制化的请求获取方法获得模糊测试的原始请求,也就是种子集合。每个种子会被作为变异过程中的原始测试用例,通过多种漏洞变异后的测试用例会以不同的通信时序发送到目标服务端口。同时通过使用多种监控方法来监控设备中的异常行为,一旦目标服务进入了无响应状态,可以通过基于智能插座开发的电源控制方法将设备重启,从而进行接下来的模糊测试,直到所有种子文件测试完成。
本发明在基于模糊测试的随机性的基础上,实现了针对实体路由器设备的全自动化模糊测试,可以在无需对设备固件进行逆向工程,甚至是无法解包固件的情况下,对不同设备中具有相似功能的服务进行多种漏洞类型的充分的测试,从而有效提升发现异常行为的能力。
实现实体路由器的自动化模糊测试方法需要解决以下几个关键问题:
关键问题1:如何自动化地对实体路由器设备运行模糊测试流程
由于实体路由器不同于运行在操作系统上的应用程序,其输入的获取和运行时状态的监控都有较大的差别,同时也存在应用程序模糊测试过程中不存在的问题,因此如何让模糊测试过程正常、持久地进行是一个首先要解决的问题。这个问题的解决包含两部分,首先要自动化地获取用于进行模糊测试的输入。由于针对实体路由器的模糊测试是通过网络包通信的方式进行,因此可以通过定制化的爬虫对路由器管理界面中的请求内容进行获取,通过自动化对页面进行填充和点击,并抓取通信流量进行解析,就可以获得针对此路由器的种子。其次,路由器在模糊测试过程中,如果测试的服务崩溃,在没有人为干预的情况下,服务可能不会自行恢复,从而使模糊测试过程无法正常运行,因此需要通过硬件辅助的方式完成设备的重启,实现完整的模糊测试流程。
关键问题2:如何基于语义信息构建更有效的多种漏洞的测试用例
根据对路由器中管理协议的深入研究,管理协议的实现可概括为三部分:前端、后端和数据库,前端指用户进行操作配置的界面,后端对用户提交的配置进行解析,数据库负责存储用户的配置。管理过程包括两种操作:读取操作和配置操作。读取操作指的是前端发起读取配置的请求,然后后端解析请求并从数据库获取响应数据,最后返回给前端。配置操作指的是前端发起配置设备的请求,然后后端解析请求,将相关的配置保存到数据库并启动或关闭相关的服务。这其中的每个过程都可能出现安全漏洞,而每个过程的安全漏洞的种类会存在差异。因此,如何全面触发并捕获每个阶段产生的异常行为,是值得深入研究的关键问题。
本实施例公开一种实体路由器管理协议的自动化模糊测试方法及装置。本装置的具体的模块组成如图1所示,包含种子生成模块、变异模块、监控模块和电源控制模块。本方法的具体实施分成如图2的四个步骤,具体描述如下:
步骤1:使用种子生成模块获取目标路由器设备可供变异的种子,并进行数据格式解析和添加属性处理。
本步骤对实体路由器进行种子生成过程,这个过程包括原始请求数据的获取和请求数据格式和属性处理两个过程,详细流程如图3所示。
在对实体路由器进行模糊测试之前,通过爬虫进行原始请求数据的获取,爬虫以目标路由器设备管理界面的默认URL作为输入,自动化并递归地遍历所有WEB页面并完成请求数据的获取。采用了两种爬虫完成这项工作,一种是适用于所有路由器的通用爬虫,这种爬虫会自动填充管理页面上的内容并进行配置的提交,最终将提交的请求数据存储。另一种是被动式爬虫,这种爬虫需要人工介入,用来搜集通用爬虫无法成功获取的WEB页面。被动式爬虫会访问一个页面,但不会自动填充,等人工填充需要的字段并提交之后,会自动保存提交的请求数据并转到下一个需要填充的页面。通用爬虫可以在没有人工介入的情况下完成数据的收集,但是加入被动式爬虫可以获取更全面的种子信息。同时,为了更加全面地获取原始请求数据,爬虫会对同一个页面进行多次填充并提交。
原始数据获取完成后,需要进行格式解析和属性标记。实体路由器中常用的请求数据封装格式包括form,json和xml格式,每种格式中的请求数据都可以解析成key-value键值对的形式,此时的每个种子是(URL,set(key,value))格式,其中URL对应每次操作的入口地址,set(key,value)包含了所有对于这个入口地址配置的键值对。对每种键值对,会加入属性信息,用来指导后续的变异操作。将键值对划分为“可变字符串”、“固定字符串”和“数字”三种属性,每个键值对可以包含多个属性,默认的属性是“可变字符串”。通过判断是否在多次请求提交中都具有相同的值,加入“固定字符串”属性。通过判断值是否符合数字格式,加入“数字”属性。最终获取到的每个种子是(URL,set(key,value,attribute))格式。
步骤2:对每个收集到的种子,使用变异模块进行变异。
对于传入变异模块的单一(URL,set(key,value,attribute))格式的种子,其变异过程如图4所示。
进行变异的部分包括URL和set(key,value,attribute)中的每一个元组,其中变异的侧重点不同。对于URL类型的变异,关注信息泄露等漏洞,对于元组的变异,关注内存类、命令注入、存储型XSS等多种漏洞类型。对于不同类型的漏洞,使用不同的变异规则进行变异。URL变异方式较为简单,需要在URL后附加特定文件或者敏感文件路径。另一种变异方式较为复杂,采用了多种变异规则进行变异。由于set(key,value,attribute)包含多个(key,value,attribute)元组,因此在一次变异过程中,随机选取多个元组进行变异。对于选中的每一个元组,其可能包含多个attribute,随机选取其中的一个attribute,根据attribute对应的变异规则进行变异。至此,变异模块便完成了一次变异的过程,变异后的种子会作为网络通信的数据发送到目标路由器设备中相应的服务。
步骤3:在变异后的测试用例与目标路由器设备进行通信的同时,使用监控模块对设备异常进行监控。
为了全面触发和监控出现在管理协议中各个阶段的漏洞,进行了两种通信操作:配置操作和读取操作。此外通信操作与监控过程是同步进行的,在进行通信操作的同时,使用三种监控技术来监控不同种类的漏洞,工作原理图如图5所示。
变异模块主要负责步骤2所述的种子变异操作以及步骤3中通信操作的完成,并直接与基于设备响应的监控模块进行对接。具体形式为在完成一次种子变异操作之后,会向目标路由器设备发起一个配置操作的请求,并解析其返回信息,根据返回信息的内容,可以监控到多种漏洞。此外,在每一次配置操作完成后,会进行一次读取操作,来确保能够触发在读取操作中存在的安全漏洞。最后,在每一次配置读取操作结束之后,会将配置恢复到变异前的值,以免影响之后的变异过程。
在进行通信操作的同时,另外两个独立的监控模块也会用来监控由于通信操作带来的异常行为。其中基于网络通信的监控模块需要连通到目标路由器设备,一旦在变异模块中构造的可以访问内网监控服务器的命令被触发,布置在内网中的监控服务器即可捕获到这一异常信号。这种监控方式可以用来监控命令注入、跨站脚本等可以产生网络通信行为的漏洞。其中基于设备信号的监控模块需要将自行编译的工具放在目标路由器设备内部,使用Linux操作系统底层的ptrace系统调用,监控SIGSEGV等信号,这种监控方式可以发现更深层次的异常行为,例如发生在子进程中的内存崩溃漏洞,而且这种监控方式具有极高的准确率。
当三种监控中的任何一种捕获到异常行为时,会存储到异常数据库中。另外由于监控模块与变异模块存在分离,使用时间戳来确定异常行为相对应的请求内容,以便后续的分析。
步骤4:一旦监控模块认为目标路由器设备进入了未响应状态,通知电源控制模块对设备进行重启,保证模糊测试的持续运行。
电源控制模块会定时访问被测试的目标服务,如果在一定时间内连续多次无法收到回复,则认为目标服务进入了未响应状态,会通知变异模块暂停当前的工作,并向智能插座发送命令控制设备重新启动,等到重新启动完成后恢复路由器的模糊测试过程。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,本发明的保护范围以权利要求所述为准。
Claims (10)
1.一种实体路由器管理协议的自动化模糊测试方法,其特征在于,包括以下步骤:
以目标路由器管理界面的默认URL作为输入,通过爬虫递归遍历所有WEB页面,获取请求数据;
对原始请求数据进行格式解析和属性标记,得到种子,该种子包括对应每次操作的入口地址URL、所有对于该入口地址配置的键值对key-value和属性信息attribute;
对收集到的种子进行变异,得到变异后的种子;
将变异后的种子作为网络通信数据发送到目标路由器,对目标路由器的异常进行监控,实现模糊测试;
当目标路由器进入了无响应状态时,通过控制目标路由器自动重启,使模糊测试继续进行,直到完成。
2.如权利要求1所述的方法,其特征在于,采用两种爬虫获取请求数据,第一种是适用于所有路由器的通用爬虫,该通用爬虫自动填充管理页面上的内容,并提交配置,将提交的请求数据存储;第二种是被动式爬虫,该被动式爬虫通过访问一个页面,由人工填充需要的字段并提交后,自动保存提交的请求数据并转到下一个需要填充的页面。
3.如权利要求2所述的方法,其特征在于,爬虫对同一个页面进行多次填充并提交,以获取原始请求数据。
4.如权利要求1所述的方法,其特征在于,属性标记,是指将键值对key-value划分为“可变字符串”、“固定字符串”和“数字”三种属性,每个键值对包含一个或多个属性,默认的属性是“可变字符串”;通过判断是否在多次请求提交中都具有相同的值,来加入“固定字符串”属性;通过判断值是否符合数字格式,来加入“数字”属性。
5.如权利要求1所述的方法,其特征在于,种子格式为(URL,set(key,value,attribute)),对种子进行的变异包括URL变异和set(key,value,attribute)变异,URL变异为在URL后附加特定文件或者敏感文件路径;set(key,value,attribute)变异为在一次变异过程中,随机选取多个(key,value,attribute)元组进行变异,对于选中的每一个元组,随机选取其所含的一个attribute,根据attribute对应的变异规则进行变异。
6.如权利要求1所述的方法,其特征在于,通过漏洞触发的方式对目标路由器的异常进行监控,漏洞触发是通过配置操作和读取操作这两种方式进行;
配置操作是指在完成一次种子变异后,向目标路由器发起一个配置操作的请求,并解析其返回信息,根据返回信息的内容监控漏洞;
读取操作是指在每次配置操作完成后,进行一次读取操作,以确保能触发在读取操作中存在的安全漏洞,在每次配置读取操作结束后,将配置恢复到变异前的值。
7.如权利要求1所述的方法,其特征在于,通过基于设备响应的监控、基于网络通信的监控、基于程序信号的监控这三种监控方式对目标路由器的异常进行监控。
8.一种实体路由器管理协议的自动化模糊测试装置,其特征在于,包括生成模块、变异模块、监控模块和电源控制模块;
生成模块通过爬虫以目标路由器管理界面的默认URL作为输入,递归遍历所有WEB页面,获取请求数据,对原始请求数据进行格式解析和属性标记,得到种子,该种子包括对应每次操作的入口地址URL、所有对于该入口地址配置的键值对key-value和属性信息attribute;
变异模块对收集到的种子进行变异,将变异后的种子作为网络通信数据发送到目标路由器;
监控模块对目标路由器的异常进行监控;
电源控制模块用于当目标服务进入了无响应状态时,控制路由器设备的自动重启,使模糊测试继续进行,直到完成。
9.如权利要求8所述的装置,其特征在于,监控模块包括基于设备响应的监控模块、基于网络通信的监控模块和基于设备信号的监控模块这三个子模块;基于设备响应的监控模块用于从配置操作请求返回的信息内容中监控漏洞,基于网络通信的监控模块用于监控触发访问内网监控服务器的命令的网络通信漏洞,基于设备信号的监控模块用于通过Linux操作系统底层的ptrace系统调用来监控设备信号来发现设备信号漏洞。
10.如权利要求8所述的装置,其特征在于,还包括一智能插座;电源控制模块定时访问目标路由器中被测试的目标服务,如果在一定时间内连续多次无法收到回复,则认为目标服务进入了未响应状态,会通知变异模块暂停当前的工作,并向智能插座发送命令控制目标路由器重新启动,等到重新启动完成后恢复目标路由器的模糊测试过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911179610.1A CN110912776B (zh) | 2019-11-27 | 2019-11-27 | 一种实体路由器管理协议的自动化模糊测试方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911179610.1A CN110912776B (zh) | 2019-11-27 | 2019-11-27 | 一种实体路由器管理协议的自动化模糊测试方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110912776A true CN110912776A (zh) | 2020-03-24 |
| CN110912776B CN110912776B (zh) | 2021-09-28 |
Family
ID=69819984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911179610.1A Active CN110912776B (zh) | 2019-11-27 | 2019-11-27 | 一种实体路由器管理协议的自动化模糊测试方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110912776B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818008A (zh) * | 2020-05-21 | 2020-10-23 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN111858374A (zh) * | 2020-07-28 | 2020-10-30 | 杭州安恒信息技术股份有限公司 | 一种实现字体模糊测试的方法、装置和介质 |
| CN111913877A (zh) * | 2020-07-03 | 2020-11-10 | 中国科学院信息工程研究所 | 一种面向文本配置文件的模糊测试方法及装置 |
| CN112187938A (zh) * | 2020-09-30 | 2021-01-05 | 国网智能科技股份有限公司 | 一种变电站全景监控数据层次化组态处理方法及系统 |
| CN112398839A (zh) * | 2020-11-06 | 2021-02-23 | 中国科学院信息工程研究所 | 工控漏洞挖掘方法及装置 |
| CN113114534A (zh) * | 2021-04-08 | 2021-07-13 | 苏煜程 | 一种基于神经网络的混合网络模糊测试工具 |
| CN113179185A (zh) * | 2021-05-07 | 2021-07-27 | 深圳市网是科技有限公司 | 路由器设备客户自助批量客制化的方法、装置及储存介质 |
| CN114500228A (zh) * | 2021-12-29 | 2022-05-13 | 深圳市共进电子股份有限公司 | 自动化测试系方法和自动测试系统 |
| CN115396347A (zh) * | 2022-08-15 | 2022-11-25 | 中国人民解放军国防科技大学 | 一种基于中间人的路由协议模糊测试方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040194065A1 (en) * | 2003-03-25 | 2004-09-30 | International Business Machines Corporation | Fuzzy location of a testable object in a functional testing tool |
| CN102087631A (zh) * | 2011-03-09 | 2011-06-08 | 中国人民解放军国发科学技术大学 | 一种面向状态协议实现软件的模糊测试方法 |
| CN102831345A (zh) * | 2012-07-30 | 2012-12-19 | 西北工业大学 | Sql注入漏洞检测中的注入点提取方法 |
| CN105260318A (zh) * | 2015-11-25 | 2016-01-20 | 飞天诚信科技股份有限公司 | 一种基于网页的自动化测试方法及装置 |
| CN110232012A (zh) * | 2018-03-06 | 2019-09-13 | 国家计算机网络与信息安全管理中心 | 一种基于xml的模糊测试语言协议测试脚本和测试引擎 |
-
2019
- 2019-11-27 CN CN201911179610.1A patent/CN110912776B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040194065A1 (en) * | 2003-03-25 | 2004-09-30 | International Business Machines Corporation | Fuzzy location of a testable object in a functional testing tool |
| CN102087631A (zh) * | 2011-03-09 | 2011-06-08 | 中国人民解放军国发科学技术大学 | 一种面向状态协议实现软件的模糊测试方法 |
| CN102831345A (zh) * | 2012-07-30 | 2012-12-19 | 西北工业大学 | Sql注入漏洞检测中的注入点提取方法 |
| CN105260318A (zh) * | 2015-11-25 | 2016-01-20 | 飞天诚信科技股份有限公司 | 一种基于网页的自动化测试方法及装置 |
| CN110232012A (zh) * | 2018-03-06 | 2019-09-13 | 国家计算机网络与信息安全管理中心 | 一种基于xml的模糊测试语言协议测试脚本和测试引擎 |
Non-Patent Citations (1)
| Title |
|---|
| 李伟明等: "网络协议的自动化模糊测试漏洞挖掘方法", 《计算机学报》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818008B (zh) * | 2020-05-21 | 2022-11-11 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN111818008A (zh) * | 2020-05-21 | 2020-10-23 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN111913877A (zh) * | 2020-07-03 | 2020-11-10 | 中国科学院信息工程研究所 | 一种面向文本配置文件的模糊测试方法及装置 |
| CN111913877B (zh) * | 2020-07-03 | 2021-09-28 | 中国科学院信息工程研究所 | 一种面向文本配置文件的模糊测试方法及装置 |
| CN111858374A (zh) * | 2020-07-28 | 2020-10-30 | 杭州安恒信息技术股份有限公司 | 一种实现字体模糊测试的方法、装置和介质 |
| CN111858374B (zh) * | 2020-07-28 | 2024-04-09 | 杭州安恒信息技术股份有限公司 | 一种实现字体模糊测试的方法、装置和介质 |
| CN112187938A (zh) * | 2020-09-30 | 2021-01-05 | 国网智能科技股份有限公司 | 一种变电站全景监控数据层次化组态处理方法及系统 |
| CN112398839A (zh) * | 2020-11-06 | 2021-02-23 | 中国科学院信息工程研究所 | 工控漏洞挖掘方法及装置 |
| CN113114534A (zh) * | 2021-04-08 | 2021-07-13 | 苏煜程 | 一种基于神经网络的混合网络模糊测试工具 |
| CN113179185A (zh) * | 2021-05-07 | 2021-07-27 | 深圳市网是科技有限公司 | 路由器设备客户自助批量客制化的方法、装置及储存介质 |
| CN113179185B (zh) * | 2021-05-07 | 2022-04-26 | 深圳市网是科技有限公司 | 路由器设备客户自助批量客制化的方法、装置及储存介质 |
| CN114500228A (zh) * | 2021-12-29 | 2022-05-13 | 深圳市共进电子股份有限公司 | 自动化测试系方法和自动测试系统 |
| CN115396347A (zh) * | 2022-08-15 | 2022-11-25 | 中国人民解放军国防科技大学 | 一种基于中间人的路由协议模糊测试方法及系统 |
| CN115396347B (zh) * | 2022-08-15 | 2024-02-06 | 中国人民解放军国防科技大学 | 一种基于中间人的路由协议模糊测试方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110912776B (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912776B (zh) | 一种实体路由器管理协议的自动化模糊测试方法及装置 | |
| CN111522922B (zh) | 日志信息查询方法、装置、存储介质及计算机设备 | |
| US8051163B2 (en) | Synthetic transactions based on system history and load | |
| US10102108B2 (en) | Injected instrumentation application monitoring and management | |
| US9043924B2 (en) | Method and system of runtime analysis | |
| CN110750458A (zh) | 大数据平台测试方法、装置、可读存储介质及电子设备 | |
| CN105787364B (zh) | 任务的自动化测试方法、装置及系统 | |
| US10824549B1 (en) | System and method for regression testing of an application programming interface | |
| US20200117587A1 (en) | Log File Analysis | |
| US10528456B2 (en) | Determining idle testing periods | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| EP2987110A1 (en) | Unused parameters of application under test | |
| CN108667840A (zh) | 注入漏洞检测方法及装置 | |
| CN112650688A (zh) | 自动化回归测试方法、关联设备以及计算机程序产品 | |
| CN113934621A (zh) | 模糊测试方法、系统、电子设备及介质 | |
| Antunes et al. | Evaluating and improving penetration testing in web services | |
| CN116405412B (zh) | 基于混沌工程故障模拟服务端集群有效性验证方法和系统 | |
| CN115828256B (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
| Shen et al. | A systematic review of fuzzy testing for information systems and applications | |
| CN111125066A (zh) | 检测数据库审计设备功能的方法及装置 | |
| CN113849817B (zh) | 一种JavaScript原型链污染漏洞的检测方法及装置 | |
| CA3204750A1 (en) | Web attack simulator | |
| US20230336444A1 (en) | Method and Apparatus for Determining Application Service Dependency and Processor | |
| CN117056918A (zh) | 一种代码分析方法及相关设备 | |
| CN114780398A (zh) | 面向Cisco IOS-XE的Web命令注入漏洞检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |