信息安全与通信保密
信息安全與通信保密
신식안전여통신보밀
CHINA INFORMATION SECURITY
2014年
2期
68-72,77
,共6页
李骁%聂森%赵彤彤%宦飞
李驍%聶森%趙彤彤%宦飛
리효%섭삼%조동동%환비
JRE Native漏洞%漏洞挖掘%符号执行%寄存器符号化%源代码审计
JRE Native漏洞%漏洞挖掘%符號執行%寄存器符號化%源代碼審計
JRE Native루동%루동알굴%부호집행%기존기부호화%원대마심계
Java语言是最为流行的编程语言之一,拥有非常大的用户群,其安全问题十分重要,其中JRE Native漏洞逐渐成为研究热门.本项研究基于符号执行技术提出一种寄存器符号化监测方法,选取符号执行平台S2E作为漏洞挖掘工具,并且实现了针对JRE Native漏洞挖掘的辅助插件SymJava和SymRegMonitor,基于OpenJDK和Oracle JRE逆向代码进行源代码白盒审计并构建了用于进行漏洞挖掘的Java测试用例,最后对36个调用Java Native API的Java测试用例进行测试,发现了6个JRE Native安全隐患,其中2个可被攻击者恶意利用.
Java語言是最為流行的編程語言之一,擁有非常大的用戶群,其安全問題十分重要,其中JRE Native漏洞逐漸成為研究熱門.本項研究基于符號執行技術提齣一種寄存器符號化鑑測方法,選取符號執行平檯S2E作為漏洞挖掘工具,併且實現瞭針對JRE Native漏洞挖掘的輔助插件SymJava和SymRegMonitor,基于OpenJDK和Oracle JRE逆嚮代碼進行源代碼白盒審計併構建瞭用于進行漏洞挖掘的Java測試用例,最後對36箇調用Java Native API的Java測試用例進行測試,髮現瞭6箇JRE Native安全隱患,其中2箇可被攻擊者噁意利用.
Java어언시최위류행적편정어언지일,옹유비상대적용호군,기안전문제십분중요,기중JRE Native루동축점성위연구열문.본항연구기우부호집행기술제출일충기존기부호화감측방법,선취부호집행평태S2E작위루동알굴공구,병차실현료침대JRE Native루동알굴적보조삽건SymJava화SymRegMonitor,기우OpenJDK화Oracle JRE역향대마진행원대마백합심계병구건료용우진행루동알굴적Java측시용례,최후대36개조용Java Native API적Java측시용례진행측시,발현료6개JRE Native안전은환,기중2개가피공격자악의이용.