主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2018-2019年专刊出版计划 微信服务介绍 最新一期:2018年第5期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
孙浩,曾庆凯.整数漏洞研究:安全模型、检测方法和实例.软件学报,2015,26(2):413-426
整数漏洞研究:安全模型、检测方法和实例
Research on Integer-Based Vulnerabilities: Security Model, Detecting Methods and Real-World Cases
投稿时间:2014-05-04  修订日期:2014-07-16
DOI:10.13328/j.cnki.jos.004793
中文关键词:  整数漏洞  缺陷发生后行为  安全模型  故意使用  实例研究
英文关键词:integer-based vulnerability  behaviors after weakness  security model  intentional uses  empirical study
基金项目:国家自然科学基金(61170070, 61431008, 61321491); 国家科技支撑计划(2012BAK26B01)
作者单位E-mail
孙浩 计算机软件新技术国家重点实验室南京大学, 江苏 南京 210023
南京大学 计算机科学与技术系, 江苏 南京 210023 
 
曾庆凯 计算机软件新技术国家重点实验室南京大学, 江苏 南京 210023
南京大学 计算机科学与技术系, 江苏 南京 210023 
zqk@nju.edu.cn 
摘要点击次数: 4466
全文下载次数: 3172
中文摘要:
      C/C+ 语言中整型的有限表示范围、不同符号或长度间的类型转换导致了整数漏洞的发生,包括整数上溢、整数下溢、符号错误和截断错误.攻击者常常间接利用整数漏洞实施诸如恶意代码执行、拒绝服务等攻击行为.综述了整数漏洞的研究进展,从缺陷发生后行为的角度提出了新的整数漏洞安全模型,总结了判定整数漏洞的充分条件.从漏洞判定规则对充分条件覆盖的角度对现有检测方法进行比较和分析.通过实例分析,讨论了整数漏洞在现实中的特征分布.最后指出了整数漏洞研究中存在的挑战和有待进一步研究的问题.
英文摘要:
      In C/C+ language, limited rages represented by integer types and castings between different signs or widths cause integer-based weakness, including integer overflow, integer underflow, signedness error and truncation error. Attackers usually exploit them indirectly to commit damaging acts such as arbitrary code execution and denial of service. This paper presents a survey on integer-based vulnerabilities. A novel security model is proposed in view of behaviors resulting from the weakness occurrence, and the sufficient conditions in determining integer-based vulnerabilities are also presented. A thorough comparison among detecting methods is further conducted in consideration of covering sufficient conditions. Through an empirical study on real-world integer bug cases, the characteristics and distributions are discussed. Finally, the challenges and research directions of integer-based vulnerabilities are explored.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 
主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利