最新应用软件漏洞静态挖掘技术PPT课件.ppt

《最新应用软件漏洞静态挖掘技术PPT课件.ppt》由会员分享，可在线阅读，更多相关《最新应用软件漏洞静态挖掘技术PPT课件.ppt（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、应用软件漏洞静态挖掘技应用软件漏洞静态挖掘技术术报告提纲一，问题背景二，二进制逆向分析三，中间代码静态分析四，漏洞检测五，评价1IDC Lab,HUST常见漏洞类别类别子类别特征数据泄露敏感数据外部存储敏感信息存储在sdcard敏感数据明文存储数据存储未经过加密处理敏感数据明文传输网络传输时,数据未经过加密处理日志泄露敏感数据敏感数据通过logcat以日志的形式输出未知代码执行WebView远程代码执行WebView组件将本地对象暴露给JS脚本Shell命令执行使用Runtime.exec来执行shell命令注入漏洞SQL代码注入sql语句接收未经校验的参数输入Intent注入包含export

2、为true的组件,且存在可能被注入的Intent-filter内容共享与代码加载Package资源共享存在Packagecontexts资源共享，使应用可以在运行时加载别的应用的资源文件和代码ClassLoaders执行未知代码使用classloader加载未知代码Native未知代码执行使用NDK等开发技术，加载本地库文件ApkInstall加载外部包代码调用PackageManager下载和安装指定的APK编码失效可逆编码应用程序使用的编码函数过于简单硬编码将密钥以字符串形式写入代码弱密码不安全的伪随机数生成器或错误的密钥设置8IDC Lab,HUST评价u测试集：113个Android应用(包含10个样本应用,103个市场流行应用)u二进制代码逆向分析模块的成功率明显优于不能对抗代码混淆的系统，达到92%；失败原因是无法绕过某些应用所采取的加固处理u能对特征库种包含的15种漏洞进行检测u 人工分析加以验证评价构造的应用伪main函数图10IDC Lab,HUST评价以伪主函数为入口,分析函数调用关系,构建应用的函数调用图11IDC Lab,HUST评价12IDC Lab,HUST谢谢！华中科技大学智能与分布计算实验室http:/ 13IDC Lab,HUST