全球范圍內(nèi),物聯(lián)網(wǎng)應(yīng)用的開展正如火如荼。但可惜的是,目前,物聯(lián)網(wǎng)終端漏洞的二進(jìn)制安全分析方法,受限于物聯(lián)網(wǎng)生態(tài)碎片化問題,很難有統(tǒng)一、高效的動態(tài)分析方法。
針對這些問題,上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院陳力波老師、蔡洤樸、薛質(zhì)教授等師生及國內(nèi)外知名科研機(jī)構(gòu)研究人員,聯(lián)合撰寫了相關(guān)研究論文成果。
在他們的研究中,陳力波老師等人創(chuàng)新性地提出了基于前后端數(shù)據(jù)相關(guān)性的嵌入式系統(tǒng)漏洞挖掘方法。
他們提出,通過利用前后端共享關(guān)鍵字作為污點分析輸入,從而能夠聚焦在后端執(zhí)行體中與前端輸入強(qiáng)相關(guān)的數(shù)據(jù)引入點,將其作為污點分析的開始位置,降低符號執(zhí)行復(fù)雜度,同時能夠更加精準(zhǔn)、高效地發(fā)現(xiàn)多種類型的安全漏洞。
該方法已應(yīng)用到實際的物聯(lián)網(wǎng)設(shè)備漏洞挖掘中,在6個知名廠商的39款設(shè)備中找到了33個漏洞,其中30個已經(jīng)被授予了CVE/CNVD/PSV編號。
近期,他們聯(lián)合撰寫的學(xué)術(shù)論文《Sharing More and Checking Less: Leveraging Common Input Keywords to Detect Bugs in Embedded Systems》,已經(jīng)正式被國際網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域四大頂級學(xué)術(shù)會議之一——USENIX Security 2021錄用。
還可以看看
其他文章,謝謝您的閱讀。
網(wǎng)站申明:系本文編輯轉(zhuǎn)載,來源于網(wǎng)絡(luò),目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé),所有權(quán)歸屬原作者。如內(nèi)容、圖片有任何版權(quán)問題,請
聯(lián)系我們刪除。