邵帅
- 作品数:15 被引量:31H指数:4
- 供职机构:中国信息安全测评中心更多>>
- 发文基金:国家自然科学基金国家高技术研究发展计划更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- RFID认证协议漏洞分析被引量:5
- 2013年
- 为了对无线射频识别(RFID)认证协议中存在的漏洞进行分类和分析,首先对RFID系统的存在的威胁模型进行了深入分析,对RFID系统中面临的主要安全威胁进行了总结;由于目前对RFID认证协议漏洞缺乏统一的分类标准,该文对RFID认证协议中存在的漏洞进行了详细分类,对每一种类型的漏洞的产生原理进行了剖析,并提出了修补漏洞的方法;最后,对RFID认证协议中存在漏洞的安全性证明进行了讨论,并采用OSK协议进行了范例分析。结论表明RFID认证协议漏洞分析具有进一步研究和应用价值。
- 辛伟郭涛董国伟王欣邵帅
- 关键词:漏洞分析
- 一种多无线终端数据监测方法及系统
- 本发明提供一种多无线终端数据监测方法包括,配置第一无线终端;嗅探当前无线信道且获取信道信息;第一无线终端解析信道信息后获取信道信息中连接WiFi的第二无线终端标识信息。第一无线终端向第二无线终端发送攻击报文且获取认证数据...
- 陈冬青张利邵帅王眉林李炳龙潘明刚刘焕金
- 基于特征匹配的Android应用漏洞分析框架被引量:8
- 2016年
- Android平台应用数量迅速增长,随之而来的安全问题也日益增多。但现有分析工具大多数只对应用进行简单的扫描,较少涉及深层次的数据流分析,因此某些漏洞无法有效地被发现。该文基于对已有Android应用漏洞特征的归纳,提出一种Android应用漏洞的静态分析框架。从Manifest文件扫描、Smali代码危险函数分析、数据流分析等3个层面归纳了7类主流安全漏洞模式,依此构建了漏洞检测规则,并结合相关静态分析技术对应用进行分析,以发现其中存在的安全漏洞。通过对323个Android应用程序的实验分析,结果表明:该框架的有效检出率在70%以上,误报率在30%以下。因此,该框架能够有效发现Android应用中常见的安全漏洞,提高用户安全性。
- 董国伟王眉林邵帅朱龙华
- 关键词:ANDROID应用安全漏洞
- Android和iOS应用软件密码误用漏洞分析
- 大量Android和iOS应用程序存在密码误用漏洞,但是目前针对密码误用漏洞的研究较少,本文在已有研究的基础上,完善了密码误用漏洞模型,提出了动静结合的密码误用漏洞分析方法,并且设计并实现了用于Android和iOS平台...
- 邵帅王眉林时志伟杨天长韩继登
- 关键词:安卓系统苹果系统
- 文献传递
- 基于验证绕过的漏洞Fuzzing测试技术
- Fuzzing测试技术广泛应用于计算机网络程序漏洞挖掘工作中,然而很多应用程序中的数据完整性验证机制严重阻碍了传统Fuzzing测试的有效性,主要原因是Fuzzing测试的样本生成原理与数据完整性校验相悖,极大地降低了传...
- 王欣董国伟邵帅朱龙华
- 关键词:计算机网络完整性校验
- 文献传递
- WebView组件漏洞自动化检测与验证方法被引量:4
- 2020年
- Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.
- 王嘉捷刘建鑫马宇飞邵帅张普含
- 关键词:漏洞检测
- 基于机器学习的Android应用组件暴露漏洞分析被引量:7
- 2019年
- 现阶段已有很多Android应用软件的自动化漏洞检测方法,针对现有漏洞检测方案仍然依赖于先验知识并且误报率较高的问题,本文研究了基于机器学习的Android应用软件组件暴露漏洞的分析方法.在对Android应用软件结构进行全方位分析的基础上,结合组件暴露漏洞模型,建立了相应的机器学习系统,并能够对Android漏洞特征进行提取、数据清理和向量化.结合人工分析与验证,建立了1 000个Android APK样本集,并通过训练实现了组件暴露漏洞的自动化识别,达到了90%以上的精确度.
- 邵帅王眉林陈冬青王婷姜鑫
- 关键词:ANDROID应用
- 基于补丁比对的Concolic测试方法被引量:4
- 2013年
- 该文提出了一种基于二进制补丁比对的Concolic测试方法,用于对软件进行漏洞分析。该方法将补丁比对技术与Concolic测试方法进行了结合,首先通过补丁比对收集存在漏洞Sink点的程序路径,然后利用该结果指导Concolic测试,从而极大地减少测试的路径数量。研究结果表明:相对于传统的Concolic测试,该方法能够较为有效地指导Concolic测试,能够减少测试路径的数量,降低测试过程中资源的开销,是一种漏洞发现和验证的有效手段。
- 王欣郭涛董国伟邵帅辛伟
- 关键词:补丁比对漏洞分析
- 一种基于半代数系统的C程序内存泄露漏洞分析方法研究
- 软件漏洞是引发信息安全问题的重要根源.内存泄露作为一种常见的软件漏洞,会加快系统内存的不良消耗,造成系统崩溃,一旦被利用,可形成拒绝服务攻击DoS,成为程序稳定性的致命威胁.遗憾的是在程序运行时,内存泄漏难以定位.如果程...
- 邓辉董国伟郭涛邵帅王欣
- 关键词:C语言程序
- 文献传递
- 一种多无线终端数据监测方法及系统
- 本发明提供一种多无线终端数据监测方法包括,配置第一无线终端;嗅探当前无线信道且获取信道信息;第一无线终端解析信道信息后获取信道信息中连接WiFi的第二无线终端标识信息。第一无线终端向第二无线终端发送攻击报文且获取认证数据...
- 陈冬青张利邵帅王眉林李炳龙潘明刚刘焕金
- 文献传递
