您好,读者! 请
登录
内蒙古大学图书馆
首页
概况
本馆概况
组织机构
入馆须知
规章制度
馆藏布局
参观与访问图书馆
党建
资源
馆藏资源
电子资源
数据库导航
特色资源
服务
办证服务
图书借阅
阅读推广
文献传递与馆际互借
空间与设施
开放时间
iThenticate论文原创性检测服务
科研支持
论文收录引用证明
科技查新
知识产权
档案馆
帮助
联系我们
地理位置
新生指南
常见问题
图书捐赠
咨询与建议
建议与咨询
留下您的常用邮箱和电话号码,以便我们向您反馈解决方案和替代方法
您的常用邮箱:
*
您的手机号码:
*
问题描述:
当前已输入0个字,您还可以输入200个字
全部搜索
期刊论文
图书
学位论文
标准
纸本馆藏
外文资源发现
数据库导航
超星发现
本站搜索
搜 索
高级检索
分类表
所选分类
----=双击删除一行=----
>>
<<
限定检索结果
标题
作者
主题词
出版物名称
出版社
机构
学科分类号
摘要
ISBN
ISSN
基金资助
索书号
标题
标题
作者
主题词
出版物名称
出版社
机构
学科分类号
摘要
ISBN
ISSN
基金资助
索书号
作者
标题
主题词
出版物名称
出版社
机构
学科分类号
摘要
ISBN
ISSN
基金资助
索书号
作者
作者
标题
主题词
出版物名称
出版社
机构
学科分类号
摘要
ISBN
ISSN
基金资助
索书号
确 定
文献类型
4 篇
学位论文
3 篇
期刊文献
馆藏范围
7 篇
电子文献
0 种
纸本馆藏
日期分布
学科分类号
7 篇
工学
7 篇
计算机科学与技术...
5 篇
网络空间安全
3 篇
软件工程
1 篇
管理学
1 篇
管理科学与工程(可...
主题
7 篇
java反序列化漏洞
3 篇
污点分析
2 篇
动态验证
2 篇
静态分析
1 篇
攻击检测
1 篇
漏洞利用
1 篇
约束构建
1 篇
漏洞挖掘
1 篇
调用链
1 篇
模糊测试
1 篇
函数调用链
1 篇
安全性分析
1 篇
动态插桩
1 篇
静态污点分析
1 篇
信息安全
1 篇
代码属性图
1 篇
程序调用图
1 篇
符号执行
1 篇
定向模糊测试
1 篇
rasp技术
机构
2 篇
南京邮电大学
1 篇
中国科学院大学
1 篇
山东浪潮科学研究...
1 篇
北京邮电大学
1 篇
空天信息安全与可...
1 篇
电子科技大学
1 篇
国网湖北省电力公...
1 篇
武汉大学
作者
2 篇
郑鹏
1 篇
沙乐天
1 篇
王鹃
1 篇
胡凯翔
1 篇
张志杰
1 篇
蔡攸敏
1 篇
徐江珮
1 篇
刘畅
1 篇
巫俊杰
1 篇
付金涛
1 篇
谢海宁
1 篇
冯薪澄
1 篇
王洋
1 篇
张勃显
1 篇
王捷
语言
7 篇
中文
检索条件
"主题词=Java反序列化漏洞"
共
7
条 记 录,以下是1-10
订阅
全选
清除本页
清除全部
题录导出
标记到"检索档案"
详细
简洁
排序:
相关度排序
时效性降序
时效性升序
相关度排序
相关度排序
时效性降序
时效性升序
基于模糊测试的
java反序列化漏洞
挖掘
收藏
分享
引用
信息网络安全
2025年 第1期25卷 1-12页
作者:
王鹃
张勃显
张志杰
谢海宁
付金涛
王洋
武汉大学国家网络安全学院
武汉430072
空天信息安全与可信计算教育部重点实验室
武汉430072
山东浪潮科学研究院有限公司
济南250013
随着反
序列化
技术在
java
Web应用开发中的广泛应用,针对
java
反
序列化
机制的攻击也日益增多,已严重威胁
java
Web应用的安全性。当前主流的黑名单防范机制无法有效防御未知的反
序列化
漏洞
利用,而现有的
java反序列化漏洞
挖掘工具大多依赖...
详细信息
随着反
序列化
技术在
java
Web应用开发中的广泛应用,针对
java
反
序列化
机制的攻击也日益增多,已严重威胁
java
Web应用的安全性。当前主流的黑名单防范机制无法有效防御未知的反
序列化
漏洞
利用,而现有的
java反序列化漏洞
挖掘工具大多依赖静态分析方法,检测精确度较低。文章提出一种基于模糊测试的
java反序列化漏洞
挖掘工具DSM-Fuzz,该工具首先通过对字节码进行双向追踪污点分析,提取所有可能与反
序列化
相关的函数调用链。然后,利用基于TrustRank算法的函数权值分配策略,评估函数与反
序列化
调用链的关联性,并根据相关性权值对模糊测试种子分配能量。为进一步优
化
测试用例的语法结构和语义特征,文章设计并实现了一种基于反
序列化
特征的种子变异算法。该算法利用反
序列化
的
java
对象内部特征优
化
种子变异过程,并引导模糊测试策略对反
序列化
漏洞
调用链进行路径突破。实验结果表明,DSM-Fuzz在
漏洞
相关代码覆盖量方面较其他工具提高了约90%。此外,该工具还在多个主流
java
库中成功检测出50%的已知反
序列化
漏洞
,检测精确度显著优于其他
漏洞
检测工具。因此,DSM-Fuzz可有效辅助
java反序列化漏洞
的检测和防护。
关键词:
java反序列化漏洞
模糊测试
污点分析
漏洞
挖掘
程序调用图
来源:
评论
学校读者
我要写书评
暂无评论
java反序列化漏洞
挖掘与攻击检测方法研究
Java反序列化漏洞挖掘与攻击检测方法研究
收藏
分享
引用
作者:
巫俊杰
北京邮电大学
学位级别:
硕士
随着软件技术的发展,软件复杂度逐渐增加,但由于开发人员的疏忽,使得软件可能存在一些安全
漏洞
,攻击者通过利用这些
漏洞
,可以造成用户隐私数据泄露、服务器崩溃等恶劣影响。由于
java
语言在编程语言中的重要地位,加之
java反序列化漏洞
所...
详细信息
随着软件技术的发展,软件复杂度逐渐增加,但由于开发人员的疏忽,使得软件可能存在一些安全
漏洞
,攻击者通过利用这些
漏洞
,可以造成用户隐私数据泄露、服务器崩溃等恶劣影响。由于
java
语言在编程语言中的重要地位,加之
java反序列化漏洞
所带来的严重影响,因此本文对
java反序列化漏洞
挖掘与攻击检测方法进行研究。由于反
序列化
漏洞
挖掘需要挖掘相关调用链,本文首先对
java反序列化漏洞
调用链挖掘算法进行研究,针对调用链挖掘工具Gadget Inspector存在的三点不足:未考虑分支语句对后续语句的影响、缺乏对实例变量取值的分析、在透传方法调用图中使用单向搜索算法造成调用链遗漏,本文对其进行算法优
化
。优
化
后的算法首先对程序进行基于控制流图的流敏感数据流分析,获取程序的透传方法调用图,然后在透传方法调用图中从魔术方法和危险方法两个方向进行调用链挖掘;除此以外,本文对反
序列化
漏洞
攻击检测进行研究,针对现有的程序运行时自我保护技术(Runtime application self-protection,RASP)中使用黑名单进行反
序列化
漏洞
攻击检测易被绕过的问题,提出了动静结合的反
序列化
漏洞
攻击检测方法。该方法首先使用调用链挖掘算法,获得程序的透传方法调用图,然后将透传方法调用图和RASP技术相结合,判断程序运行时是否执行了一条反
序列化
漏洞
调用链,从而进行攻击检测。在此基础上,本文构建了调用链挖掘工具DEGadget和反
序列化
漏洞
攻击检测工具DERASP,并对这两个工具分别进行了测试。根据测试结果显示,DEGadget的误报率明显低于Gadget Inspector,并且能够发现更多的有效调用链。DERASP可以在不同测试环境中进行反
序列化
漏洞
攻击检测,并且能够检测出不同测试用例所造成的攻击行为,相比百度开源工具OpenRasp,DERASP能更准确的识别出反
序列化
漏洞
攻击。
关键词:
java反序列化漏洞
调用链
攻击检测
RASP技术
来源:
评论
学校读者
我要写书评
暂无评论
java反序列化漏洞
静态分析与动态验证研究与实现
Java反序列化漏洞静态分析与动态验证研究与实现
收藏
分享
引用
作者:
郑鹏
南京邮电大学
学位级别:
硕士
随着互联网应用的兴起,
java
的类库越来越多,导致反
序列化
漏洞
的类型和数量都急剧上升。
java反序列化漏洞
中存在利用链,攻击者通常将其与任意命令
漏洞
结合控制服务器。人工检测反
序列化
链需要花费大量的精力,需要依赖代码审计人员的专业...
详细信息
随着互联网应用的兴起,
java
的类库越来越多,导致反
序列化
漏洞
的类型和数量都急剧上升。
java反序列化漏洞
中存在利用链,攻击者通常将其与任意命令
漏洞
结合控制服务器。人工检测反
序列化
链需要花费大量的精力,需要依赖代码审计人员的专业知识。文章基于污点分析提出一种静态检测和动态验证的方法,实现调用链检测工具Taint Gadget。本文的主要研究内容如下:(1)静态检测方法通过解析字节码收集条件语句信息、传参信息和调用信息进行污点标记,生成过程间传播控制流图,在此基础上筛选出入口函数和危险函数。基于反
序列化
漏洞
的传播特征,结合符号执行技术扩展过程间传播控制流图,定义污点传播规则,对污染传播的显示流路径和隐式流路径进行约束,记录传播过程中调用链的类和敏感变量。(2)针对当前的动态方法无法获取传播类具体信息的问题,本文的动态验证方法首先基于静态分析的约束求解结果,使用反射方法构造反
序列化
链的测试用例,然后在程序启动前对类加载进行拦截,针对
反序
列链路的动态传播特征,使用动态插桩进行字节码增强,最后利用动态监控方法观察反
序列化
调用链的传播过程,筛选出符合动态传播特征的反
序列化
链。(3)设计并实现反
序列化
链传播工具Taint Gadget,工具的实现基于ASM,Neo4j和Z3等框架,工具包括静态传播实现模块和动态传播实现模块。基于ysoserial数据集和近两年XStream框架爆出的反
序列化
漏洞
,从静态分析对比、动态分析对比和时效性对比三方面进行实验,Taint Gadget的静态命中率是78.9%,平均静态运行时间78.7s,动态检出率是90.6%,平均动态运行时间21.2s。实验表明Taint Gadget相比于其他的现有反
序列化
漏洞
检测工具,静态和动态命中率更高,整体的时间效率更高,时效性更强。
关键词:
污点分析
java反序列化漏洞
静态分析
动态验证
来源:
评论
学校读者
我要写书评
暂无评论
基于混合分析的
java反序列化漏洞
检测方法
收藏
分享
引用
计算机工程
2023年 第12期49卷 136-145页
作者:
郑鹏
沙乐天
南京邮电大学计算机学院、软件学院、网络空间安全学院
南京210003
随着
java
的类库越来越多,反
序列化
漏洞
的类型和数量都急剧上升。
java反序列化漏洞
中存在利用链,攻击者通常将其与任意命令
漏洞
结合控制服务器。人工检测反
序列化
链需要花费大量的精力,且依赖代码审计人员的专业知识。基于符号执行和污...
详细信息
随着
java
的类库越来越多,反
序列化
漏洞
的类型和数量都急剧上升。
java反序列化漏洞
中存在利用链,攻击者通常将其与任意命令
漏洞
结合控制服务器。人工检测反
序列化
链需要花费大量的精力,且依赖代码审计人员的专业知识。基于符号执行和污点分析提出一种自动检测方法,实现调用链检测工具Taint Gadget。通过解析字节码收集继承信息、传参信息和调用信息进行污点标记,筛选出入口函数和危险函数以生成控制流图。基于反
序列化
漏洞
的传播特征并结合符号执行技术扩展控制流图,定义污点传播规则,对污染传播的显示流路径和隐式流路径进行约束,记录传播过程中调用链的类和敏感变量,通过动态的方法还原污染路径并进行验证。方法的实现基于ASM、Neo4j、Z3等工具,包括污点标记模块、污点传播模块和污点验证模块。在ysoserial数据集上的实验结果表明,Taint Gadget的静态命中率和运行时间分别为70.3%和78.4 s,动态命中率和运行时间分别为90.6%和20.8 s,相对T-Gadget Inspector和Gadget Inspector有效提高了静态和动态命中率,缩短了动态运行时间。
关键词:
污点分析
java反序列化漏洞
静态分析
动态验证
符号执行
约束构建
来源:
评论
学校读者
我要写书评
暂无评论
java反序列化漏洞
探析及其修复方法研究
收藏
分享
引用
湖北电力
2016年 第11期40卷 47-50页
作者:
徐江珮
王捷
蔡攸敏
刘畅
国网湖北省电力公司电力科学研究院
湖北武汉430077
为避免利用
java反序列化漏洞
影响企业核心业务、产生重大信息安全事件,详细介绍了
java反序列化漏洞
的背景、原理、
漏洞
利用方法及工具,通过一个具体实例给出利用该
漏洞
进行服务器主机系统提权的详细步骤,并提出了多种
漏洞
修复方法。
为避免利用
java反序列化漏洞
影响企业核心业务、产生重大信息安全事件,详细介绍了
java反序列化漏洞
的背景、原理、
漏洞
利用方法及工具,通过一个具体实例给出利用该
漏洞
进行服务器主机系统提权的详细步骤,并提出了多种
漏洞
修复方法。
关键词:
java反序列化漏洞
漏洞
利用
信息安全
来源:
评论
学校读者
我要写书评
暂无评论
面向
java反序列化漏洞
调用链搜索方法的研究
面向Java反序列化漏洞调用链搜索方法的研究
收藏
分享
引用
作者:
胡凯翔
电子科技大学
学位级别:
硕士
随着分布式服务的普及,在频繁使用反
序列化
技术的场景中,应用程序开发过程的错误和程序各类型方法之间的依赖关系容易导致不可信的数据传入到程序中被执行造成危害。本文针对
java
技术栈中反
序列化
漏洞
分析与调用链搜索存在的“静态分析...
详细信息
随着分布式服务的普及,在频繁使用反
序列化
技术的场景中,应用程序开发过程的错误和程序各类型方法之间的依赖关系容易导致不可信的数据传入到程序中被执行造成危害。本文针对
java
技术栈中反
序列化
漏洞
分析与调用链搜索存在的“静态分析不完备,缺失对
java
反射与动态代理分析”、“动静态混合分析低效”等问题,导致调用链搜索结果失准且效率低下,提出一种基于静态污点分析和定向模糊测试的调用链验证及搜索方法,并实现了自动
化
搜索
java反序列化漏洞
调用链工具Gadget Searcher。与目前流行的同类工具对比,实验证明Gadget Searcher能更精确、高效地找出调用链。本文研究工作主要有以下三个部分: (1)针对“静态分析不完备,缺失对
java
反射与动态代理分析”问题,提出一种改进的基于静态污点分析的调用链搜索方法,增加对
java
动态特性的建模分析,提高了静态分析准确率。 (2)针对“动静态混合分析低效”问题,提出基于定向模糊测试的调用链验证及搜索方法,提高了动静态混合分析的准确率和效率。在静态分析结果基础上,以得到的调用图及图中的潜在调用链作为导向,生成结构
化
测试用例,对潜在调用链进行验证的同时搜索新调用链。 (3)根据上述提出的方法,实现
java反序列化漏洞
调用链挖掘工具Gadget Searcher。静态分析模块基于Soot框架、Neo4j数据库等实现,参考蚁群算法实现种子动态能量调控,基于JQF+Quick Check生成结构
化
测试用例,利用ASM加
java
Agent技术实现字节码插桩。 实验数据集来自ysoserial、marshalsec和最近披露的反
序列化
相关CVE,经实验分析与验证,静态污点分析搜索结果准确率能达到62.2%,比起工程上使用广泛的Gadget Inspector系列工具,其准确率只有10%到35%,已有大幅提升;加入模糊测试后,限制运行时间15min时准确率能达到76.5%,结合动态测试后准确率进一步提高;且在同样运行时间内,Gadget Saearcher比同类动静态混合分析工具能搜索到更多可利用调用链。综上所述,表明Gadget Searcher的调用链检测结果准确率与搜索效率均更高。
关键词:
java反序列化漏洞
静态污点分析
定向模糊测试
来源:
评论
学校读者
我要写书评
暂无评论
基于函数调用链的
java反序列化漏洞
检测技术研究
基于函数调用链的Java反序列化漏洞检测技术研究
收藏
分享
引用
作者:
冯薪澄
中国科学院大学
学位级别:
硕士
近些年来,越来越多的
java
Web应用组件爆出严重的
java反序列化漏洞
,该类
漏洞
已经是近些年来安全研究领域的热点之一。这类
漏洞
难以通过人工审计的方式进行有效地检测,并且每次爆发都影响众多行业的关键业务。为此,针对
java
反
序列化
...
详细信息
近些年来,越来越多的
java
Web应用组件爆出严重的
java反序列化漏洞
,该类
漏洞
已经是近些年来安全研究领域的热点之一。这类
漏洞
难以通过人工审计的方式进行有效地检测,并且每次爆发都影响众多行业的关键业务。为此,针对
java反序列化漏洞
进行有效的检测是至关重要的,这将大大降低企业面临的安全风险。 本文针对
java反序列化漏洞
原理进行了深入的研究,提出此类
漏洞
存在的本原因是组件间潜藏的敏感函数调用链没有得到有效地检出。同时梳理了静态和动态两种程序分析技术的研究进展,提出面向
java
语言的代码属性图构建技术。同时,设计并实现了基于静态分析的敏感函数调用链的自动
化
挖掘,在
java
Web应用运行时结合动态插桩技术进行函数调用链的实时捕获,通过函数调用链模式匹配的方式,针对
java反序列化漏洞
进行了有效地检测。 本文的主要研究工作包括以下内容: 1)提出面向
java
语言的代码属性图构建技术,代码属性图可细分为语义节点图、别名函数图以及有效函数调用图。本文提出了基于上下文敏感的剪枝算法用于剔除无关函数调用,大大提高了后续
漏洞
的检测效率。 2)设计并实现了基于静态分析的敏感函数调用链自动
化
挖掘。通过梳理现有
java
安全领域的研究进展,汇总相关函数构成三种规则库,提出基于污点推导的启发式搜索算法用于自动
化
挖掘敏感函数调用链。 3)结合
java
动态插桩技术,实现了基于函数调用链的
java反序列化漏洞
的动态检测。通过捕获应用程序中的函数调用链与自动
化
挖掘结果进行模式匹配,实现在动态层面上对
java反序列化漏洞
的检测。 4)本框架进行了四类实验。根据实验设计,共检测出67条敏感函数调用链,其中24条为未公开的敏感函数调用链(已获得
漏洞
编号CVE-2021-43297)。实验结果证明了本文提出的检测方法具有较高的可用性。
关键词:
java反序列化漏洞
代码属性图
动态插桩
函数调用链
安全性分析
来源:
评论
学校读者
我要写书评
暂无评论
没有更多数据了...
下一页
全选
清除本页
清除全部
题录导出
标记到“检索档案”
共1页
<<
<
1
>
>>
检索报告
对象比较
合并检索
0
隐藏
清空
合并搜索
回到顶部
执行限定条件
内容:
评分:
请选择保存的检索档案:
新增检索档案
确定
取消
请选择收藏分类:
新增自定义分类
确定
取消
订阅名称:
通借通还
温馨提示:
图书名称:
借书校区:
取书校区:
手机号码:
邮箱地址:
一卡通帐号:
电话和邮箱必须正确填写,我们会与您联系确认。
联 系 人:
所在院系:
联系邮箱:
联系电话:
暂无评论