Category Archives: SecComm

内容分发网络（CDN）本来是当前防范拒绝服务攻击的最佳实践，然而攻击者可以利用当前CDN设计和实现中的漏洞把它变成威力巨大的分布式拒绝服务攻击（DDoS）武器，可以用它来攻击任意的网站，甚至攻击CDN平台自身。这是一种流量放大类型的攻击，其放大倍数远远超过NTP、DNS等反射攻击。 Continue reading →

模糊测试工具会维护一个seed pool，每次工具从seed pool中选出一个种子文件，对它进行Rt次变异过程。在每次变异过程中，工具选用Ro个变异操作对种子文件进行修改，最终得到Rt个测试用例。然后工具使用Rt个测试用例去测试目标程序，如果用例触发了程序的异常行为，就认为该用例为interesting test case，并将该用例保存到seed pool中，作为后续变异的种子文件。如果用例触发了新的执行路径，许多工具也会认为这一用例是interesting test case并保存到本地seed pool中。 Continue reading →

模糊测试（Fuzzing），作为一种有效的漏洞检测技术，被广泛应用于各类软件的安全测试中。现有的基于变异的模糊测试工具，在测试用例生成策略上依然具有较大的盲目性，无法针对目标文件格式和特定漏洞类型进行有效的变异。研究表明，AFL（ American Fuzzy Lop， 当前最流行的模糊测试工具）在24小时的测试过程中，超过60%的变异操作集中在不会产生任何新代码路径的无效字节上。如何提升变异策略的有效性是模糊测试领域的热点研究问题。 Continue reading →

虽然公共漏洞库（如CVE和NVD）极大地促进了漏洞披露和缓解，但是随着漏洞库大量数据的积累，漏洞库信息的质量越来越受到了人们的关注。论文作者把CVE漏洞描述、CVE 参考报告分别与NVD进行了差异性测量，发现CVE漏洞描述、CVE 参考报告与NVD的平均严格匹配率只有 59.82%，NVD存在高估或低估软件版本的错误信息。 Continue reading →

2020年物联网设备数量将全面超过全球人口，当前，黑客极容易利用物联网设备漏洞侵入物联网设备，构建大规模的僵尸网络 （比如Mirai， VPNFilter和Prowli）。因此在黑客发现物联网设备漏洞之前挖掘并修复是极其重要的任务。而模糊测试（FUZZ）是一种高效的漏洞挖掘技术手段，通过随机产生测试样例使系统或程序崩溃以发现安全漏洞。 Continue reading →

本文重点介绍了俄罗斯政府如何在数千个ISP上利用廉价的深度包检测（DPI）设备逐渐建立国家级审查系统，我们担心其他具有类似拓扑结构的国家会争相效仿，成为一种趋势。通过与俄罗斯当地活动家的合作，“审查的星球”实验室(Censored Planet，密西根大学Roy Unsafe领导的实验室)拿到了从Roskomnadzor（俄联邦通信、信息技术和大众传媒监督局）泄露出来的5个黑名单，以及黑名单七年的历史数据。我们用这个官方黑名单中的13万被封的网站，从住宅网络、数据中心网络和互联网主干网上的多个测量点进行了测量并收集数据，从而对俄罗斯政府的审查政策进行了深入研究。 Continue reading →

随着计算机技术的快速发展，其安全问题日益突出，比如越发庞大的操作系统导致更多的漏洞，未授权的软件通过漏洞访问系统资源成为常态。攻击者通过植入系统底层恶意软件或木马，隐藏自身的恶意行为并控制目标系统。检测恶意软件和木马的方法思路基本一致：部署更高权限、更底层的防御机制，检测上层系统的完整性。近十年来，研究人员利用快速发展的虚拟机自省技术和基于硬件辅助的系统检测技术，有效地检测系统底层的恶意软件。 Continue reading →