AFL-CGI-wrapper （ACW）是桌面CGI程序的漏洞自動(dòng)挖掘方法,其利用QEMU仿真器執(zhí)行二進(jìn)制CGI來(lái)實(shí)施模糊測(cè)試。但在嵌入式設(shè)備中直接應(yīng)用ACW進(jìn)行CGI漏洞挖掘會(huì)面臨兩個(gè)難題:1)固定輸入模型難以應(yīng)對(duì)嵌入式設(shè)備的多樣性;2)主模塊跟蹤難以覆蓋依賴外部調(diào)用的分支路徑,導(dǎo)致漏洞挖掘效率低下。針對(duì)這兩個(gè)問(wèn)題,一種基于反饋的惰性輸入模型和選擇性外部函數(shù)跟蹤被提出,并在原型系統(tǒng)BCFuzzer中實(shí)現(xiàn)。最后使用實(shí)際的嵌入式CGI程序集進(jìn)行了實(shí)驗(yàn),結(jié)果表明相比現(xiàn)有方法,其能自動(dòng)探索更多的代碼路徑,也能更快地發(fā)現(xiàn)更多未知漏洞。 

【文章頁(yè)數(shù)】：6 頁(yè)


本文編號(hào)：3715943