[发明专利]ActiveX控件漏洞测试方法及系统

说明书

一种ActiveX控件漏洞测试方法及系统，解析ActiveX控件，获取ActiveX控件的类型库信息，确定敏感关键字；根据敏感关键字确定ActiveX控件中的敏感函数；根据敏感函数的参数个数及类型库信息中的数据类型，确定半有效测试集；将半有效测试集作为初始测试集，将通过调试器监测测试集在ActiveX控件中的执行情况而确定的测试集执行时的代码覆盖率作为适应度值，进行测试集变换，确定最终测试集；采用最终测试集对ActiveX控件进行测试，并生成漏洞报告。该ActiveX控件漏洞测试方法及系统，得到的最终测试集具有针对性、误报率低，容易触发ActiveX控件的安全漏洞，测试效率高。

技术领域

本发明涉及系统测试技术领域，尤其涉及一种ActiveX控件漏洞测试方法及系统。

背景技术

在信息通信技术飞速发展的今天，信息系统不仅面临针对系统的漏洞攻击，大量第三方软件的广泛应用使其面临的威胁具有更多可能性。ActiveX控件的数据库访问、数据监视和图形绘制等功能为Web应用提供了丰富的交互性，其作为浏览器扩展插件得到了广泛的应用。由于ActiveX控件自身构架特点与编程人员的疏忽，容易产生漏洞。因此，有必要对ActiveX控件漏洞挖掘技术展开研究，以及时发现并修复漏洞，从而避免安全事件。

模糊测试是一种自动化的漏洞挖掘技术，它使用大量半有效的数据作为输入测试程序或控件的响应，尝试发现漏洞。模糊测试的优点在于无需获取测试目标的源代码、原理简单、自动化程度高，故而在漏洞挖掘领域得到广泛的应用。

模糊测试技术中，如何生成测试集是影响模糊测试效率的关键因素。已有的模糊测试工具通常采用对正常输入进行随机修改的方法生成测试集。但这样的测试集缺乏针对性，误报率高，很难触发ActiveX控件的安全漏洞，导致测试效率低下。

发明内容

基于此，有必要提供一种测试效率高的ActiveX控件漏洞测试方法及系统。

一种ActiveX控件漏洞测试方法，包括步骤：

解析ActiveX控件，获取所述ActiveX控件的类型库信息，确定敏感关键字；

根据所述敏感关键字确定所述ActiveX控件中的敏感函数；

根据所述敏感函数的参数个数及所述类型库信息中的数据类型，确定半有效测试集；

将所述半有效测试集作为初始测试集，将通过调试器监测测试集在ActiveX控件中的执行情况而确定的所述测试集执行时的代码覆盖率作为适应度值，进行测试集变换，确定最终测试集；

采用所述最终测试集对所述ActiveX控件进行测试，并生成漏洞报告。

上述ActiveX控件漏洞测试方法，解析ActiveX控件，获取所述ActiveX控件的类型库信息，有针对性地确定敏感关键字；并且根据所述敏感关键字确定所述ActiveX控件中的敏感函数；根据所述敏感函数的参数个数及所述类型库信息中的数据类型，有针对性地确定半有效测试集；将所述半有效测试集作为初始测试集，将通过调试器监测测试集在ActiveX控件中的执行情况而确定的所述测试集执行时的代码覆盖率作为适应度值，进行测试集变换，确定最终测试集；采用所述最终测试集对所述ActiveX控件进行有针对性地测试，并生成漏洞报告。如此，得到的最终测试集具有针对性、误报率低，容易触发ActiveX控件的安全漏洞，测试效率高。

一种ActiveX控件漏洞测试系统，包括：

敏感字确定模块，用于解析ActiveX控件，获取所述ActiveX控件的类型库信息，确定敏感关键字；

敏感函数确定模块，用于根据所述敏感关键字确定所述ActiveX控件中的敏感函数；

半有效集确定模块，用于根据所述敏感函数的参数个数及所述类型库信息中的数据类型，确定半有效测试集；