JavaScript引擎漏洞检测方法综述

doi:10.3778/j.issn.1002-8331.1811-0174

计算机工程与应用 ›› 2019, Vol. 55 ›› Issue (11): 16-24.DOI: 10.3778/j.issn.1002-8331.1811-0174

JavaScript引擎漏洞检测方法综述

林宏阳，彭建山，赵世斌，朱俊虎，许航

数字工程与先进计算国家重点实验室，郑州 450002

出版日期:2019-06-01 发布日期:2019-05-30

Survey on JavaScript Engine Vulnerability Detection

LIN Hongyang, PENG Jianshan, ZHAO Shibin, ZHU Junhu, XU Hang

State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450002, China

Online:2019-06-01 Published:2019-05-30

摘要/Abstract

摘要： 由于语言特性导致的JavaScript引擎漏洞是当今应用软件软件安全的重要威胁之一，攻击者通常间接利用JavaScript引擎漏洞造成远程命令执行，获得系统的控制权。介绍了引擎的基本信息，对引擎中经常出现的漏洞进行了分类，分别综述了静态和动态分析检测的基本步骤和发展脉络，提出了针对JavaScript引擎漏洞的检测基本框架，讨论了制约检测效率瓶颈问题以及可能的解决方法，结合最新的技术应用指出了未来的发展趋势和亟待解决的问题。

关键词: JavaScript引擎漏洞检测, 类型混淆, 静态分析, 模糊测试

Abstract: JavaScript engine vulnerabilities caused by language features is one of the important threats to the security of today’s software. Attackers often use JavaScript engine vulnerabilities to demonstrate remote code execution and gain controllability of the operating system. This paper introduces the basic information of the JavaScript engine, classifies the vulnerabilities that often appear in the engine, and summarizes the basic steps and development of static and dynamic analysis methods. Then it proposes the basic framework for detecting vulnerabilities in JavaScript engines, and discusses the detection efficiency, bottlenecks and possible solutions. At last, it points out future trends and some issues.

Key words: JavaScript engine vulnerability detection, type confusion, static analysis, fuzzing

林宏阳，彭建山，赵世斌，朱俊虎，许航. JavaScript引擎漏洞检测方法综述[J]. 计算机工程与应用, 2019, 55(11): 16-24.

LIN Hongyang, PENG Jianshan, ZHAO Shibin, ZHU Junhu, XU Hang. Survey on JavaScript Engine Vulnerability Detection[J]. Computer Engineering and Applications, 2019, 55(11): 16-24.

[1]	陈耀阳，陈伟. 采用隐式跳转的控制流混淆技术[J]. 计算机工程与应用, 2021, 57(20): 125-132.
[2]	张洪泽，洪征，周胜利，冯文博. 基于协议状态机遍历的模糊测试优化方法[J]. 计算机工程与应用, 2020, 56(4): 82-91.
[3]	张婉莹，曹晓梅. 基于污点分析的白盒模糊测试方案[J]. 计算机工程与应用, 2019, 55(18): 236-240.
[4]	许航，赵世斌，朱俊虎，彭建山，林宏阳. 灰盒模糊测试自适应技术研究[J]. 计算机工程与应用, 2019, 55(14): 87-97.
[5]	陈璐，马媛媛，石聪聪，李尼格，李伟伟. Android应用安全缺陷的静态分析技术研究[J]. 计算机工程与应用, 2018, 54(4): 117-121.
[6]	赵薇1，4，王楠2，苏欣3，4，张波云1. 基于深度信念网络的Android恶意应用检测方法[J]. 计算机工程与应用, 2018, 54(18): 125-132.
[7]	刘津霖，付光远，李海龙，汪洪桥. 基于改进投票专家算法的专有协议模糊测试方法[J]. 计算机工程与应用, 2018, 54(12): 93-99.
[8]	康红凯，吴礼发，洪征，庄洪林，张亚丰. 一种基于FSM的BGP-4协议模糊测试方法[J]. 计算机工程与应用, 2017, 53(6): 111-117.
[9]	陈琪1，蒋国平2，夏玲玲3. 基于静态结构的恶意代码同源性分析[J]. 计算机工程与应用, 2017, 53(14): 93-98.
[10]	董玉坤. C程序非法计算缺陷的静态检测[J]. 计算机工程与应用, 2016, 52(19): 31-36.
[11]	钱雨村，彭国军，王滢，梁玉. 恶意代码同源性分析及家族聚类[J]. 计算机工程与应用, 2015, 51(18): 76-81.
[12]	尤枫，边毅，赵瑞莲. EFSM模型的字符串类型测试数据自动生成[J]. 计算机工程与应用, 2014, 50(16): 57-61.
[13]	吴小菁. 智能知识地图挖掘数据的金融危机早期预警[J]. 计算机工程与应用, 2013, 49(24): 116-121.
[14]	金靖1，2，李萌1，2，华哲邦1，2，宋怀达1，2，赵俊峰1，2，谢冰1，2. 一种基于LDA和静态分析的代码功能识别方法[J]. 计算机工程与应用, 2013, 49(15): 27-31.
[15]	司海平1，乔红波1，虎晓红1，陈宝钢1，曹永生2. 基于用况图的程序理解方法研究[J]. 计算机工程与应用, 2013, 49(14): 51-55.

JavaScript引擎漏洞检测方法综述

Survey on JavaScript Engine Vulnerability Detection

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics