面向Java反序列化漏洞调用链搜索方法的研究.pdf

资源内容介绍

面向Java反序列化漏洞调用链搜索方法的研究.pdf内容概要：本文针对Java反序列化漏洞调用链搜索中存在的“静态分析不完备，缺失对Java反射与动态代理分析”和“动静态混合分析低效”等问题，提出了一种结合静态污点分析与定向模糊测试的调用链验证及搜索方法，并实现了自动化工具Gadget Searcher。该方法通过改进静态分析，增强对Java动态特性的建模，提升调用图构建的准确性；并在静态分析基础上引入定向模糊测试，利用调用图和潜在调用链指导测试用例生成，提高漏洞调用链的验证效率与发现能力。实验表明，该工具在准确率和效率上均优于现有同类工具。; 适合人群：具备Java编程基础、熟悉软件安全分析技术的安全研究人员、漏洞挖掘工程师及高校相关专业研究生。; 使用场景及目标：①提升Java反序列化漏洞调用链的自动化挖掘能力；②解决传统静态分析对反射、动态代理等动态特性支持不足的问题；③优化动静态混合分析效率，减少误报与漏报，辅助安全评估与漏洞修复。; 阅读建议：建议结合Java字节码、静态分析与模糊测试基础知识进行阅读，重点关注第三章的静态污点分析改进方法与第四章的定向模糊测试设计，可通过复现实验环境深入理解Gadget Searcher的实现机制与性能优势。