面向Cisco IOS-XE的Web命令注入漏洞检测
思科公司的新型操作系统Cisco IOS-XE广泛部署于Cisco路由器、交换机等平台,但系统的Web管理服务中存在通过命令注入实现权限逃逸的安全漏洞,使网络安全面临严重威胁.近年来,模糊测试常被用于检测嵌入式设备的安全漏洞,然而目前没有针对Cisco IOS-XE系统Web管理服务的模糊测试框架,由于IOS-XE特有的系统架构和命令模式,现有IoT模糊测试方法在IOS-XE上的检测效果不佳.为此,提出了一个针对Cisco IOS-XE系统 Web管理服务的模糊测试框架CRFuzzer,用于检测命令注入漏洞.CRFuzzer结合Web前端请求和后端程序分析以优化种子生成,基于命令注入漏洞的特征发现脆弱代码以缩小测试范围.为了评估CRFuzzer的漏洞检测效果,在实体路由器ISR 4000系列和云路由器CSR 1000v上对31个不同版本共124个固件进行了测试,共检测出11个命令注入漏洞,其中2个为未公开漏洞.
Cisco IOS-XE、Web服务、命令注入、漏洞检测、模糊测试
50
TP393(计算技术、计算机技术)
科技委基础加强项目2019-JCJQ-ZD-113
2023-04-17(万方平台首次上网日期,不代表论文的发表时间)
共8页
343-350