作者:中国信息安全测评中心 期刊:《中国信息安全》 2019年第02期
(2019年1月)漏洞态势一、公开漏洞情况根据国家信息安全漏洞库(CNNVD)统计,2019年1月份新增安全漏洞共1463个,从厂商分布来看,Oracle公司产品的漏洞数量最多,共156个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到9.84%。本月新增漏洞中,超危漏洞52个、高危漏洞122个、中危漏洞1072个、低危漏洞217个,相应修复率分别为86.54%、80.33%、54.94%以及60.83%。
作者:程远; 李文珏; 柳亚男; 邱硕 期刊:《金陵科技学院学报》 2018年第04期
结合目前软件安全现状,详细介绍了DLL注入技术和代码注入技术的基本原理和实现方法;比较了不同注入技术之间的差别和优缺点;归纳了针对DLL注入技术可采用的防御措施及业界的研究成果;指出了未来Android系统安全的可研究方向。
作者:余静; 高丰; 徐良华; 朱鲁华 期刊:《计算机工程与设计》 2007年第15期
为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,分析了基于SQL注入的渗透性测试技术,在此基础上提出了渗透性测试的原型系统,给出了主要的功能,通过对动网论坛的渗透性测试分析比较了原型系统的效能。实验表明,该原型系统能较好发现系统的SQL注入的脆弱点,从而帮助管理员提升系统的安全性。
作者:舒敬荣 朱安国 齐善明 期刊:《计算机应用与软件》 2009年第05期
HOOK API是一种高级编程技术,在介绍Windows HOOK技术的基础上,阐述了HOOK API技术的概念,分析了HOOKAPI技术的实现原理,给出了三种实现HOOK API技术时的代码注入方法,即使用钩子注入DLL、使用注册表注入DLL及使用远程线程注入DLL。探讨两种实现HOOK API技术时的函数重定向技术,即利用PE文件中的导入表实现函数的重定向及通过嵌入汇编代码实现函数的重定向。
作者:朱辉 沈明星 李善平 期刊:《计算机工程》 2010年第10期
研究Web应用中的代码注入漏洞,总结分析该类漏洞的特征,修正并扩展其定义,把漏洞的产生原因归纳为2类编码错误。提出一套通过识别2类编码错误发现Web应用中代码注入漏洞的测试方法。实验结果证明,该方法可减少测试工作量,能全面有效地测试Web应用中的代码注入漏洞和潜在的风险点。
作者:王溢 李舟军 郭涛 期刊:《计算机研究与发展》 2012年第11期
当前几乎所有的Web应用程序都面临着诸如跨站脚本(XSS)和SQL注入等代码注入式攻击的威胁,这种威胁源自于程序对用户输入缺乏验证和过滤,导致恶意输入可作为数据库查询或页面中的脚本而执行,从而破坏网站的数据完整性,泄露用户隐私.为了增强应用程序对此类攻击的抵抗性,提出一种针对Web程序的字面值污染方法,该方法能够对代码注入式攻击给予高效的防御且十分易于部署.此方案通过强化服务器端脚本配合可自定义的安全过滤策...
基于软件实现的故障注入技术,其优点是对于注入故障及其传播有较高可控性和可观测性。然而在实际的故障注入应用中,为了获得更高的可控性,存在时间的利用效率比较低的现象。这主要涉及到即时故障注入时刻的识别问题。文章介绍一种名为Code Cave的故障注入方法,它可以实现在测试运行时进行软件的动态代码注入。注入的代码在被测试的应用程序的上下文中执行,在预计时刻精确地捕获应用程序。与以往的实验结果相比,它能够减少近一半的...