基于反向污点分析的设备Web接口模糊测试

邵启龙, 董卫宇, 马航

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (04) : 485 -490.

PDF
信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (04) : 485 -490.

基于反向污点分析的设备Web接口模糊测试

    邵启龙, 董卫宇, 马航
作者信息 +

Author information +
文章历史 +
PDF

摘要

针对现有物联网设备Web接口模糊测试技术对危险函数不敏感以及难以满足参数控制依赖的问题,提出一种基于反向污点分析和模糊测试的物联网设备Web接口漏洞检测方法。首先,通过反向污点分析对危险函数参数至请求参数之间的路径进行可达性分析,过滤掉不能触发危险函数的请求参数;其次,根据定义的测试用例生成规则构造符合不同类型漏洞特点的测试用例;最后,使用基于远程调试的异常检测方法辅助确认漏洞。实验结果表明,在反向污点分析方面,该方法相比于SaTC提取的参数数量减少了34.3%;在漏洞检测方面,该方法共检测出23个公开漏洞,其中3个为存在控制依赖的漏洞,且漏洞检测时间均少于Boofuzz,验证了该方法的有效性。

关键词

物联网设备 / 危险函数 / 污点分析 / 模糊测试 / 漏洞检测

Key words

引用本文

引用格式 ▾
基于反向污点分析的设备Web接口模糊测试[J]. 信息工程大学学报, 2025, 26(04): 485-490 DOI:

登录浏览全文

4963

注册一个新账户 忘记密码

参考文献

AI Summary AI Mindmap
PDF

101

访问

0

被引

详细

导航
相关文章

AI思维导图

/