计算机研究与发展
計算機研究與髮展
계산궤연구여발전
JOURNAL OF COMPUTER RESEARCH AND DEVELOPMENT
2012年
4期
839-845
,共7页
王雅文%姚欣洪%宫云战%杨朝红
王雅文%姚訢洪%宮雲戰%楊朝紅
왕아문%요흔홍%궁운전%양조홍
安全漏洞%缓冲区溢出%静态分析%区间运算%函数摘要
安全漏洞%緩遲區溢齣%靜態分析%區間運算%函數摘要
안전루동%완충구일출%정태분석%구간운산%함수적요
缓冲区溢出目前已成为最常见的软件安全漏洞之一,从源代码形式来看,常见的缓冲区溢出漏 洞主要有两种类型:数据拷贝和格式化字符串造成的缓冲区溢出.分析了常见缓冲区溢出漏洞发生的原因,给出了格式化字符串存储长度的计算方法,介绍了一种基于源代码静态分析的缓冲区溢出检测算法,该算法首先对源代码进行建模,构造其抽象语法树、符号表、控制流图、函数调用图,在此基础上运用区间运算技术来分析和计算程序变量及表达式的取值范围,并在函数间分析中引入函数摘要来代替实际的函数调用.最后使用该方法对开源软件项目进行检测,结果表明该方法能够有效地、精确地检测缓冲区溢出.
緩遲區溢齣目前已成為最常見的軟件安全漏洞之一,從源代碼形式來看,常見的緩遲區溢齣漏 洞主要有兩種類型:數據拷貝和格式化字符串造成的緩遲區溢齣.分析瞭常見緩遲區溢齣漏洞髮生的原因,給齣瞭格式化字符串存儲長度的計算方法,介紹瞭一種基于源代碼靜態分析的緩遲區溢齣檢測算法,該算法首先對源代碼進行建模,構造其抽象語法樹、符號錶、控製流圖、函數調用圖,在此基礎上運用區間運算技術來分析和計算程序變量及錶達式的取值範圍,併在函數間分析中引入函數摘要來代替實際的函數調用.最後使用該方法對開源軟件項目進行檢測,結果錶明該方法能夠有效地、精確地檢測緩遲區溢齣.
완충구일출목전이성위최상견적연건안전루동지일,종원대마형식래간,상견적완충구일출루 동주요유량충류형:수거고패화격식화자부천조성적완충구일출.분석료상견완충구일출루동발생적원인,급출료격식화자부천존저장도적계산방법,개소료일충기우원대마정태분석적완충구일출검측산법,해산법수선대원대마진행건모,구조기추상어법수、부호표、공제류도、함수조용도,재차기출상운용구간운산기술래분석화계산정서변량급표체식적취치범위,병재함수간분석중인입함수적요래대체실제적함수조용.최후사용해방법대개원연건항목진행검측,결과표명해방법능구유효지、정학지검측완충구일출.
