无限制文件上传(UFU)漏洞,尤其是无限制可执行文件上传(UEFU)漏洞,给Web服务器带来严重的安全风险。例如,攻击者可以利用此类漏洞执行任意代码,从而获得整个 Web 服务器的控制权。因此,开发有效且高效的方法来检测UFU和UEFU漏洞具有重要意义。为此,大多数最先进的方法都是基于动态测试而设计的。尽管如此,它们仍然存在两个关键限制。 1)严重依赖人工,容易出错,适应性差。 2)很少利用有效的信息来指导测试,导致产生大量无效的测试用例。这些限制严重阻碍了UFU漏洞检测的性能。在本文中,我们提出了 URadar,一种基于自适应动态测试的方法,用于检测 UFU 和 UEFU 漏洞。 URadar的核心设计有文件上传接口识别、文件类型限制推断、无效变异组合过滤三大核心设计,可以有效解决现有方法的两个局限性。为了评估 URadar 的性能,我们进行了广泛的实验,并将 URadar 与最先进的方法(例如 FUSE、RIPS)进行比较。在测试 18 个 Web 应用程序时,URadar 发现了 26 个 UEFU 漏洞,其中 8 个是新漏洞,6 个已分配新的 CVE/CNNVD ID。相比之下,FUSE 和 RIPS 分别发现 14 个和 2 个 UEFU 漏洞。为了发现相同数量的UFU漏洞,FUSE需要发送73,261个请求包,平均时间成本为2,791.1秒,是URadar要求的23.43和20.53倍。 上述结果表明 URadar 明显优于最先进的方法。此外,我们还开源了URadar,以方便未来对UFU漏洞检测的研究。
文章地址:https://ieeexplore.ieee.org/document/10325536
If you use URadar in your research please cite this paper.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
