Antiy Labs开发了基于Linux系统的错误注入原形系统Injecter,该系统掩饰注入错误以高效测试软件缺陷。它针对应用程序不同阶段做不同模式错误注入。目前可进行环境变量攻击、竞争条件攻击等。虽2002年6月开发中止,但当时进度领先于FIG项目。
由于软件的复杂性,程序员的水平和意识等方面的限制,带来了大量的软件安全隐患。如何快速高效的进行程序安全性诊断,成为重要的课题。
Ø 文件描述字攻击
Ø 共享函数库攻击
Ø IFS攻击
Ø 格式化字符串攻击
Ø 竞争条件攻击
Ø 环境变量攻击
Ø 竞争条件攻击
Antiy Labs参考国际容错和诊断技术的思路和成果,开发了基于Linux系统的错误注入的原形系统Injecter,这个系统掩饰了注入错误,从而达到高效测试软件缺陷的目的。
几乎所有的应用程序都包括用户接口、应用函数调用、系统函数调用、其他功能应用调用。例如格式化字符串攻击是发生在用户接口上的,符号连接攻击,文件描述字攻击是发生在标准函数调用上的,竞争条件攻击很多是发生在用用函数信号量调用冲突上的,共享函数库攻击,IFS攻击,环境变量攻击是发生在操作系统应用特性上的。Injecter针对不同的阶段做了不同模式错误注入应用,选择不同的错误注入方法,从而达到有针对性的高效率测试软件缺陷。
目前Injecter可以进行如下的错误注入行为:
Ø 符号连接攻击Ø 文件描述字攻击
Ø 共享函数库攻击
Ø IFS攻击
Ø 格式化字符串攻击
Ø 环境变量攻击
Ø 竞争条件攻击
Ø 竞争条件攻击
Ø 竞争条件攻击
Ø 环境变量攻击
Ø 竞争条件攻击
Ø 竞争条件攻击
由于研究方向性的调整,Injecter开发人员转入了AV Leach网络引擎的开发,Injecter的开发到2002年6月中止,但在当时,我们的进度已经领先于此前处于国际领导地位的FIG - Fault Injection in glibc(这是美国berkeley大学和Stanford大学的联合研究计划中(ROC)中的一个项目)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
