会员服务
路径 · 潜在 · 安全风险 · 测试用例 · 映射 ·
4 月 5 日
Triggering and Detecting Exploitable Library Vulnerability from the Client by Directed Greybox Fuzzing
翻译:基于定向灰盒模糊测试从客户端触发和检测可利用的库漏洞
Yukai Zhao,Menghan Wu,Xing Hu,Shaohua Wang,Meng Luo,Xin Xia
Yukai Zhao,Menghan Wu,Xing Hu,Shaohua Wang,Meng Luo,Xin Xia
from arxiv, 12 pages

Developers utilize third-party libraries to improve productivity, which also introduces potential security risks. Existing approaches generate tests for public functions to trigger library vulnerabilities from client programs, yet they depend on proof-of-concepts (PoCs), which are often unavailable. In this paper, we propose a new approach, LiveFuzz, based on directed greybox fuzzing (DGF) to detect the exploitability of library vulnerabilities from client programs without PoCs. LiveFuzz exploits a target tuple to extend existing DGF techniques to cross-program scenarios. Based on the target tuple, LiveFuzz introduces a novel Abstract Path Mapping mechanism to project execution paths, mitigating the preference for shorter paths. LiveFuzz also proposes a risk-based adaptive mutation to mitigate excessive mutation. To evaluate LiveFuzz, we construct a new dataset including 61 cases of library vulnerabilities exploited from client programs. Results show that LiveFuzz increases the number of target-reachable paths compared with all baselines and improves the average speed of vulnerability exposure. Three vulnerabilities are triggered exclusively by LiveFuzz.


翻译:开发者在使用第三方库以提高生产效率的同时,也引入了潜在的安全风险。现有方法通过生成针对公共函数的测试用例来从客户端程序触发库漏洞,但这些方法依赖于通常不可用的概念验证(PoC)程序。本文提出一种基于定向灰盒模糊测试(DGF)的新方法LiveFuzz,无需PoC即可从客户端程序检测库漏洞的可利用性。LiveFuzz利用目标元组将现有DGF技术扩展至跨程序场景。基于该目标元组,LiveFuzz引入新颖的抽象路径映射机制来投影执行路径,从而缓解对较短路径的偏好。同时,LiveFuzz提出基于风险的自适应变异策略以抑制过度变异行为。为评估LiveFuzz,我们构建了包含61例从客户端程序利用的库漏洞的新数据集。结果表明,与所有基线方法相比,LiveFuzz增加了可达目标路径的数量,并将漏洞暴露的平均速度提升了。其中三个漏洞仅由LiveFuzz触发。
0
下载
关闭预览

相关内容

《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
专知会员服务
11+阅读 · 3月16日
《利用模型系统工程软件测试技术增强作战飞行试验研究》最新213页
《利用模型系统工程软件测试技术增强作战飞行试验研究》最新213页
专知会员服务
26+阅读 · 2025年9月13日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
44+阅读 · 2023年8月22日
弹药异常检测《使用机器学习进行缺陷表征》最佳论文,MODSIM World 2023
弹药异常检测《使用机器学习进行缺陷表征》最佳论文,MODSIM World 2023
专知会员服务
37+阅读 · 2023年7月22日
《基于高斯混合流和入包的异常检测》2023最新57页论文
《基于高斯混合流和入包的异常检测》2023最新57页论文
专知会员服务
29+阅读 · 2023年5月15日
【CMU博士论文】黑盒和多目标优化策略,151页pdf
【CMU博士论文】黑盒和多目标优化策略,151页pdf
专知会员服务
53+阅读 · 2022年11月24日
黑盒机器学习模型的成员推断攻击研究
专知会员服务
23+阅读 · 2021年8月22日
基于深度学习的表面缺陷检测方法综述
基于深度学习的表面缺陷检测方法综述
专知会员服务
89+阅读 · 2020年5月31日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
可解释机器学习(Interpretable Machine Learning):打开黑盒之谜(238页书籍下载)
可解释机器学习(Interpretable Machine Learning):打开黑盒之谜(238页书籍下载)
专知会员服务
152+阅读 · 2019年10月27日
【CMU博士论文】黑盒和多目标优化策略,151页pdf
【CMU博士论文】黑盒和多目标优化策略,151页pdf
专知
13+阅读 · 2022年11月24日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
Web渗透测试Fuzz字典分享
Web渗透测试Fuzz字典分享
黑白之道
21+阅读 · 2019年5月22日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
FaceNiff工具 - 适用于黑客的Android应用程序
FaceNiff工具 - 适用于黑客的Android应用程序
黑白之道
151+阅读 · 2019年4月7日
人脸检测库:libfacedetection
人脸检测库:libfacedetection
Python程序员
15+阅读 · 2019年3月22日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
AI研习社
10+阅读 · 2019年2月20日
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
专知
25+阅读 · 2018年11月25日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于密集快速特征提取的可视媒体篡改检测研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向Bug报告的软件故障重现方法研究
国家自然科学基金
4+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
支持软件可信演化的故障定位研究
国家自然科学基金
0+阅读 · 2014年12月31日
SDLLMFuzz: Dynamic-static LLM-assisted greybox fuzzing for structured input programs
Arxiv
0+阅读 · 4月20日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月19日
Verification Modulo Tested Library Contracts
Arxiv
0+阅读 · 4月16日
VulGD: A LLM-Powered Dynamic Open-Access Vulnerability Graph Database
Arxiv
0+阅读 · 4月8日
AutoEG: Exploiting Known Third-Party Vulnerabilities in Black-Box Web Applications
Arxiv
0+阅读 · 4月1日
Enhancing REST API Fuzzing with Access Policy Violation Checks and Injection Attacks
Arxiv
0+阅读 · 4月1日
VulnScout-C: A Lightweight Transformer for C Code Vulnerability Detection
Arxiv
0+阅读 · 3月30日
Vexed by VEX tools: Consistency evaluation of container vulnerability scanners
Arxiv
0+阅读 · 3月24日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
Arxiv
0+阅读 · 3月23日
Toward Scalable Automated Repository-Level Datasets for Software Vulnerability Detection
Arxiv
0+阅读 · 3月18日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
路径
潜在
安全风险
测试用例
映射
最新内容
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
专知会员服务
3+阅读 · 6月22日
综述 | 3D场景图:开放挑战与未来方向
综述 | 3D场景图:开放挑战与未来方向
专知会员服务
2+阅读 · 6月22日
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
专知会员服务
3+阅读 · 6月22日
21世纪的无人机战争
21世纪的无人机战争
专知会员服务
3+阅读 · 6月22日
《伊朗与以色列-美国热战及其对数字技术的影响》
《伊朗与以色列-美国热战及其对数字技术的影响》
专知会员服务
3+阅读 · 6月22日
《量子技术的军事任务技术适配与利用》
《量子技术的军事任务技术适配与利用》
专知会员服务
3+阅读 · 6月22日
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
专知会员服务
4+阅读 · 6月22日
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
7+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
5+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
8+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
21+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
相关VIP内容
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
《基于深度学习的软件定义网络模型用于物联网网络威胁检测》
专知会员服务
11+阅读 · 3月16日
《利用模型系统工程软件测试技术增强作战飞行试验研究》最新213页
《利用模型系统工程软件测试技术增强作战飞行试验研究》最新213页
专知会员服务
26+阅读 · 2025年9月13日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
44+阅读 · 2023年8月22日
弹药异常检测《使用机器学习进行缺陷表征》最佳论文,MODSIM World 2023
弹药异常检测《使用机器学习进行缺陷表征》最佳论文,MODSIM World 2023
专知会员服务
37+阅读 · 2023年7月22日
《基于高斯混合流和入包的异常检测》2023最新57页论文
《基于高斯混合流和入包的异常检测》2023最新57页论文
专知会员服务
29+阅读 · 2023年5月15日
【CMU博士论文】黑盒和多目标优化策略,151页pdf
【CMU博士论文】黑盒和多目标优化策略,151页pdf
专知会员服务
53+阅读 · 2022年11月24日
黑盒机器学习模型的成员推断攻击研究
专知会员服务
23+阅读 · 2021年8月22日
基于深度学习的表面缺陷检测方法综述
基于深度学习的表面缺陷检测方法综述
专知会员服务
89+阅读 · 2020年5月31日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
可解释机器学习(Interpretable Machine Learning):打开黑盒之谜(238页书籍下载)
可解释机器学习(Interpretable Machine Learning):打开黑盒之谜(238页书籍下载)
专知会员服务
152+阅读 · 2019年10月27日
热门VIP内容
相关资讯
【CMU博士论文】黑盒和多目标优化策略,151页pdf
【CMU博士论文】黑盒和多目标优化策略,151页pdf
专知
13+阅读 · 2022年11月24日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
Web渗透测试Fuzz字典分享
Web渗透测试Fuzz字典分享
黑白之道
21+阅读 · 2019年5月22日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
FaceNiff工具 - 适用于黑客的Android应用程序
FaceNiff工具 - 适用于黑客的Android应用程序
黑白之道
151+阅读 · 2019年4月7日
人脸检测库:libfacedetection
人脸检测库:libfacedetection
Python程序员
15+阅读 · 2019年3月22日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
AI研习社
10+阅读 · 2019年2月20日
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
【干货|如何打开黑盒子模型?】41页最新机器学习可解释模型综述论文,143篇参考文献,2300次下载
专知
25+阅读 · 2018年11月25日
相关论文
SDLLMFuzz: Dynamic-static LLM-assisted greybox fuzzing for structured input programs
Arxiv
0+阅读 · 4月20日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月19日
Verification Modulo Tested Library Contracts
Arxiv
0+阅读 · 4月16日
VulGD: A LLM-Powered Dynamic Open-Access Vulnerability Graph Database
Arxiv
0+阅读 · 4月8日
AutoEG: Exploiting Known Third-Party Vulnerabilities in Black-Box Web Applications
Arxiv
0+阅读 · 4月1日
Enhancing REST API Fuzzing with Access Policy Violation Checks and Injection Attacks
Arxiv
0+阅读 · 4月1日
VulnScout-C: A Lightweight Transformer for C Code Vulnerability Detection
Arxiv
0+阅读 · 3月30日
Vexed by VEX tools: Consistency evaluation of container vulnerability scanners
Arxiv
0+阅读 · 3月24日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
Arxiv
0+阅读 · 3月23日
Toward Scalable Automated Repository-Level Datasets for Software Vulnerability Detection
Arxiv
0+阅读 · 3月18日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于密集快速特征提取的可视媒体篡改检测研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向Bug报告的软件故障重现方法研究
国家自然科学基金
4+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
支持软件可信演化的故障定位研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top