-
公开(公告)号:CN104484607A
公开(公告)日:2015-04-01
申请号:CN201410781145.X
申请日:2014-12-16
Applicant: 上海交通大学 , 上海交通大学中原研究院
IPC: G06F21/57
CPC classification number: G06F21/577
Abstract: 一种Android应用程序安全性测试的通用方法及系统,通过对待测试程序解包并进行反编译,得到XML源代码;然后通过静态分析待测试程序的配置文件和代码,进行包括:组件暴露漏洞、密码学误用、webview代码执行漏洞、代码保护方面的漏洞检测和安全测试;再将待测试程序进行实际运行并配置网络检测环境;最后进行动态分析,对信息泄漏、数据传输安全和数据存储安全三个方面的动态漏洞检测和安全测试并得出漏洞检测和安全测试报告。本发明能够对任一Android应用程序通过静态和动态分析相结合的方式,可以通过一系列步骤的检测和评估,能够最终给出应用程序本身设计和实现上存在的安全缺陷和隐患。
-
公开(公告)号:CN104484175B
公开(公告)日:2017-11-28
申请号:CN201410781215.1
申请日:2014-12-16
Applicant: 上海交通大学 , 上海交通大学中原研究院
Abstract: 一种Android应用程序密码学误用检测方法,对待检测应用程序进行反编译并生成代码库;然后在代码库中查找与密码学算法相关的代码段;再将和密码算法相关的代码段从原程序中剥离出来,得到完整的密码算法实现过程代码;最后对第三步得到的每一个密码学算法实现代码段进行数据抽象和过程建模处理,并通过模式匹配和事先指定的密码算法实现准则进行逐条比较,将不符合实现准则的条目输出并汇总形成安全分析结果。本发明能够通过对Android应用程序的静态分析,自动化的判断应用程序中所使用的密码算法种类,自动提取密码算法相关代码片段,对代码段进行安全分析,发现密码算法实现过程中存在问题的环节,最终得到应用程序密码学误用安全分析结果。
-
公开(公告)号:CN104837159A
公开(公告)日:2015-08-12
申请号:CN201510235772.8
申请日:2015-05-11
Applicant: 上海交通大学 , 上海交通大学中原研究院
IPC: H04W24/06
CPC classification number: H04W24/06
Abstract: 一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。
-
公开(公告)号:CN104837159B
公开(公告)日:2018-01-30
申请号:CN201510235772.8
申请日:2015-05-11
Applicant: 上海交通大学 , 上海交通大学中原研究院
IPC: H04W24/06
Abstract: 一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。
-
公开(公告)号:CN104484175A
公开(公告)日:2015-04-01
申请号:CN201410781215.1
申请日:2014-12-16
Applicant: 上海交通大学 , 上海交通大学中原研究院
Abstract: 一种Android应用程序密码学误用检测方法,对待检测应用程序进行反编译并生成代码库;然后在代码库中查找与密码学算法相关的代码段;再将和密码算法相关的代码段从原程序中剥离出来,得到完整的密码算法实现过程代码;最后对第三步得到的每一个密码学算法实现代码段进行数据抽象和过程建模处理,并通过模式匹配和事先指定的密码算法实现准则进行逐条比较,将不符合实现准则的条目输出并汇总形成安全分析结果。本发明能够通过对Android应用程序的静态分析,自动化的判断应用程序中所使用的密码算法种类,自动提取密码算法相关代码片段,对代码段进行安全分析,发现密码算法实现过程中存在问题的环节,最终得到应用程序密码学误用安全分析结果。
-
Patent Agency Ranking
公开(公告)号:CN114417343B
公开(公告)日:2024-07-05
申请号:CN202011174860.9
申请日:2020-10-28
Applicant: 上海交通大学
IPC: G06F21/57
Abstract: 一种二进制文件下的操作系统内核信息泄露漏洞检测方法,通过对待分析的二进制代码进行预分析处理,得到二进制代码指针使用情况;然后对二进制代码进行符号执行,得到符号执行表达式并进行潜在漏洞判断;最后对漏洞判断得到的有漏洞风险的代码模式进一步敏感信息判断是否确定对应内核信息泄露漏洞。本发明利用公开的符号信息切割二进制代码为函数,使用代码切片对函数的参数引用进行参数的性质分析,通过符号执行进行内核隐私泄漏分析,从而有效的发现操作系统内核中包含的信息泄露问题,保证操作系统的安全性。
-
公开(公告)号:CN117150477A
公开(公告)日:2023-12-01
申请号:CN202311132907.9
申请日:2023-09-05
Applicant: 上海交通大学
IPC: G06F21/46 , G06F21/31 , G06F40/30 , G06F8/71 , G06F16/903 , G06N5/01 , G06N3/0464 , G06N3/045 , G06N3/08
Abstract: 一种基于机器学习的代码库密码检测系统及方法,在离线阶段通过构建密码模型和上下文语义模型,采用从密码数据集中随机选择的密码作为样本对密码模型进行训练、采用从上下文代码判断是否为密码的标注数据的方法对上下文语义模型进行训练;在在线阶段采用启发式方法从代码库中检索硬编码密码的候选字符串后,分别使用训练后的密码模型和上下文语义模型对候选字符串进行硬编码密码判断,并联合两个模型的输出结果融合得到最终判断,得到安全检测结果。本发明能够在具有异构代码文件的代码托管仓库中大规模检测文本密码泄露并具有更高的识别准确度和召回率。
-
公开(公告)号:CN112038835B
公开(公告)日:2021-06-15
申请号:CN202010696255.1
申请日:2020-07-20
Applicant: 上海交通大学
IPC: H01R13/639 , H01R13/46 , H05K7/20 , G05B19/05
Abstract: 本发明属于控制器技术领域,具体的说是一种模块化可编程逻辑控制器;包括基座本体;基座本体的侧壁开设有安装腔,且安装腔内固定插接有插槽框;插槽框内部开设有流动腔,且插槽框内部设置有多个导电顶针;插槽框相互插接配合有导电插头,且插接框的内部通过弹性空腔囊滑动插接有密封滑板;密封滑板滑动套接到多个导电顶针上;弹性空腔囊的侧壁通过导液管与流动腔连通;插槽框的内壁贴合设置有弹性凸起膜,且弹性凸起膜与插槽框的内壁设置形成有膨胀腔,且膨胀腔通过导槽与流动腔连通;弹性凸起膜弹性膨胀卡合到导电插头外壁的卡合槽内;有效防止控制器安装到振动比较频繁的环境中,进而导致导电插头从插槽框内脱离的现象。
-
公开(公告)号:CN112038835A
公开(公告)日:2020-12-04
申请号:CN202010696255.1
申请日:2020-07-20
Applicant: 上海交通大学
IPC: H01R13/639 , H01R13/46 , H05K7/20 , G05B19/05
Abstract: 本发明属于控制器技术领域,具体的说是一种模块化可编程逻辑控制器;包括基座本体;基座本体的侧壁开设有安装腔,且安装腔内固定插接有插槽框;插槽框内部开设有流动腔,且插槽框内部设置有多个导电顶针;插槽框相互插接配合有导电插头,且插接框的内部通过弹性空腔囊滑动插接有密封滑板;密封滑板滑动套接到多个导电顶针上;弹性空腔囊的侧壁通过导液管与流动腔连通;插槽框的内壁贴合设置有弹性凸起膜,且弹性凸起膜与插槽框的内壁设置形成有膨胀腔,且膨胀腔通过导槽与流动腔连通;弹性凸起膜弹性膨胀卡合到导电插头外壁的卡合槽内;有效防止控制器安装到振动比较频繁的环境中,进而导致导电插头从插槽框内脱离的现象。
-
公开(公告)号:CN107239410B
公开(公告)日:2020-06-09
申请号:CN201710398778.6
申请日:2017-05-31
Applicant: 上海交通大学
Abstract: 一种基于动态插桩的大块内存分配系统及方法,首先获得程序内存布局信息,然后通过动态插桩工具拦截mmap和brk系统调用,即首先对二进制程序的基本块进行指令翻译;然后对翻译过后的基本块检查是否有系统调用指令;最后对检测到的系统调用指令进行插桩,并对mmap系统调用进行随机化分配、对brk系统调用使用污点跟踪处理,从而实现大块内存分配。本发明通过自动化定位相似的代码,从而将已经分析完成的代码信息同步迁移到不同的平台上,着重于对实际系统中存在的通用性系统缺陷进行防护,更为注重对实时系统的防御以及性能开销。
-
-
-
-
-
-
-
-
-
Search Results
77
records
(took 0.068 seconds)
