期刊专题

10.11896/jsjkx.220100113

面向Cisco IOS-XE的Web命令注入漏洞检测

引用
思科公司的新型操作系统Cisco IOS-XE广泛部署于Cisco路由器、交换机等平台,但系统的Web管理服务中存在通过命令注入实现权限逃逸的安全漏洞,使网络安全面临严重威胁.近年来,模糊测试常被用于检测嵌入式设备的安全漏洞,然而目前没有针对Cisco IOS-XE系统Web管理服务的模糊测试框架,由于IOS-XE特有的系统架构和命令模式,现有IoT模糊测试方法在IOS-XE上的检测效果不佳.为此,提出了一个针对Cisco IOS-XE系统 Web管理服务的模糊测试框架CRFuzzer,用于检测命令注入漏洞.CRFuzzer结合Web前端请求和后端程序分析以优化种子生成,基于命令注入漏洞的特征发现脆弱代码以缩小测试范围.为了评估CRFuzzer的漏洞检测效果,在实体路由器ISR 4000系列和云路由器CSR 1000v上对31个不同版本共124个固件进行了测试,共检测出11个命令注入漏洞,其中2个为未公开漏洞.

Cisco IOS-XE、Web服务、命令注入、漏洞检测、模糊测试

50

TP393(计算技术、计算机技术)

科技委基础加强项目2019-JCJQ-ZD-113

2023-04-17(万方平台首次上网日期,不代表论文的发表时间)

共8页

343-350

暂无封面信息
查看本期封面目录

计算机科学

1002-137X

50-1075/TP

50

2023,50(4)

专业内容知识聚合服务平台

国家重点研发计划“现代服务业共性关键技术研发及应用示范”重点专项“4.8专业内容知识聚合服务技术研发与创新服务示范”

国家重点研发计划资助 课题编号:2019YFB1406304
National Key R&D Program of China Grant No. 2019YFB1406304

©天津万方数据有限公司 津ICP备20003920号-1

信息网络传播视听节目许可证 许可证号:0108284

网络出版服务许可证:(总)网出证(京)字096号

违法和不良信息举报电话:4000115888    举报邮箱:problem@wanfangdata.com.cn

举报专区:https://www.12377.cn/

客服邮箱:op@wanfangdata.com.cn