面向Cisco_IOS-XE的Web命令注入漏洞检测_何杰.pdfVIP免费

下载本文档

阅读 0
下载 0
格式 pdf
大小 1.84 MB
约8页
2023-07-24
收藏
评论
点赞(0)
海报
举报

http://www.jsjkx.comDOI:10.11896/jsjkx.220100113到稿日期:2022-01-12返修日期:2022-07-07基金项目:科技委基础加强项目(2019-JCJQ-ZD-113)ThisworkwassupportedbytheFoundationStrengtheningKeyProjectofScience&TechnologyCommission(2019-JCJQ-ZD-113).通信作者:刘胜利(dr_liushengli@163.com)面向CiscoIOS-XE的Web命令注入漏洞检测何杰蔡瑞杰尹小康陆炫廷刘胜利数学工程与先进计算国家重点实验室郑州450001(polaris201909@qq.com)摘要思科公司的新型操作系统CiscoIOS-XE广泛部署于Cisco路由器、交换机等平台,但系统的Web管理服务中存在通过命令注入实现权限逃逸的安全漏洞,使网络安全面临严重威胁。近年来,模糊测试常被用于检测嵌入式设备的安全漏洞,然而目前没有针对CiscoIOS-XE系统Web管理服务的模糊测试框架,由于IOS-XE特有的系统架构和命令模式,现有IoT模糊测试方法在IOS-XE上的检测效果不佳。为此,提出了一个针对CiscoIOS-XE系统Web管理服务的模糊测试框架CRFuzzer,用于检测命令注入漏洞。CRFuzzer结合Web前端请求和后端程序分析以优化种子生成,基于命令注入漏洞的特征发现脆弱代码以缩小测试范围。为了评估CRFuzzer的漏洞检测效果,在实体路由器ISR4000系列和云路由器CSR1000v上对31个不同版本共124个固件进行了测试,共检测出11个命令注入漏洞,其中2个为未公开漏洞。关键词:CiscoIOS-XE;Web服务;命令注入;漏洞检测;模糊测试中图法分类号TP393DetectionofWebCommandInjectionVulnerabilityforCiscoIOS-XEHEJie,CAIRuijie,YINXiaokang,LUXuantingandLIUShengliStateKeyLaboratoryofMathematicalEngineeringandAdvancedComputing,Zhengzhou450001,ChinaAbstractCisco’snewoperatingsystem,CiscoIOS-XE,iswidelydeployedonplatformssuchasCiscoroutersandswitches.However,therearevulnerabilitiesinthesystem’sWebmanagementinterfacetoallowpermissionescalationthroughcommandinjection.Networksecurityisfacingseriousthreats.Inrecentyears,fuzzingisusuallyusedtodetectsecurityvulnerabilitiesinembeddeddevices,butthereiscurrentlynofuzzingframeworkforCiscoIOS-XE,andcurrentfuzzingmethodsforIoThavepoorperformanceduetotheuniquesystemarchitectureandcommandmodeofIOS-XE.Tosolvetheproblemsmentionedabove,thispaperproposesanovelfuzzingframeworkCRFuzzerfortheWebmanagementserviceinCiscoIOS-XEsystemtodetectcommandi...

1、当您付费下载文档后，您只拥有了使用权限，并不意味着购买了版权，文档只能用于自身使用，不得用于其他商业用途（如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利）。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。
3、如文档内容存在违规，或者侵犯商业秘密、侵犯著作权等，请点击“违规举报”。

碎片内容