多维深度导向的Java Web模糊测试方法.pdf

《多维深度导向的Java Web模糊测试方法.pdf》由会员分享，可在线阅读，更多相关《多维深度导向的Java Web模糊测试方法.pdf（11页珍藏版）》请在咨信网上搜索。

1、NETINFOSECURITY技术研究doi:10.3969/j.issn.1671-1122.2024.02.0112024年第2 期多维深度导向的Java Web模糊测试方法一王鹃1-2，龚家新1-2，蔺子卿3，张晓娟3（1.武汉大学国家网络安全学院，武汉430 0 7 2；2.武汉大学空天信息安全与可信计算教育部重点实验室，武汉430 0 7 2；3.中国电力科学研究院有限公司信息通信研究所，北京10 0 192）摘要：随着Java Web的广泛应用，其安全问题日益突出。模糊测试作为一种有效的漏洞挖掘方法，目前已经被用于Java漏洞的检测。然而，由于JavaWeb应用代码规模庞大、业务逻

2、辑复杂，现有的漏洞挖掘工具在模糊测试中存在随机性高、代码检测深度低的问题，导致漏洞挖掘的准确率较低。因此，文章提出基于多维深度导向的Java Web模糊测试方法。该方法使用Jimple作为待测Java Web应用字节码的三地址码中间表示，并生成代码对应的函数间调用图和函数内控制流图，在此基础上分析每个基本块的多维深度。同时，根据多维深度和模糊测试执行时间优化模糊测试指导策略，设计相应的输入结构解析策略、能量分配策略和变异算法调度策略，提升模糊测试的准确性。实验结果表明，相较于现有的模糊测试工具Peach和Kelinci，该方法能够在性能消耗较低的情况下取得更好的漏洞检测效果。关键词：模糊测试；

3、JavaWeb；漏洞挖掘中图分类号：TP309文献标志码：A文章编号：16 7 1-112 2（2 0 2 4）0 2-0 2 8 2-11中文引用格式：王鹃，龚家新，葡子卿，等，多维深度导向的JavaWeb模糊测试方法.信息网络安全，2024,24(2):282-292.英文引用格式:WANG Juan,GONG Jiaxin,LIN Ziqing,et al.Multidimensional Depth Oriented FuzzingMethod of Java Web ApplicationsJJ.Netinfo Security,2024,24(2):282-292.Multidim

4、ensional Depth Oriented Fuzzing Method ofJava Web ApplicationsWANG Juan2,GONG Jiaxin,2,LIN Ziqing3,ZHANG Xiaojuan3(1.School of Cyber Science and Engineering,Wuhan University,Wuhan 430072,China;2.Key Laboratory ofAerospace Information Security and Trusted Computing of Ministry of Education,Wuhan Univ

5、ersity,Wuhan 430072,China,3.Institute of Information and Communication,China Electric Power Research Institute Co.,Ltd.,Beijing100192,China)Abstract:With the popularity of Java language,the security issue of these applicationsis becoming more and more serious.As an effective vulnerability mining met

6、hod,fuzzinghas been used to detect Java application vulnerabilities.However,due to the huge code scale收稿日期：2 0 2 3-0 4-12基金项目：国家电网有限公司科技项目52 0 940 2 10 0 0 9作者简介：王鹃（197 6 一），女，湖北，教授，博士，CCF高级会员，主要研究方向为系统和软件安全、可信计算、人工智能安全、云计算、物联网安全；龚家新（1999一），男，安徽，硕士研究生，主要研究方向为软件安全、漏洞挖掘与利用；子卿（1996 一），女，北京，工程师，硕士，主要研究方

7、向为电力工控安全和网络安全；张晓娟（198 8 一），女，北京，高级工程师，博士，主要研究方向为数据安全、密码学和网络安全。通信作者：蔺子卿282NETINFOSECURITY2024年第2 期技术研究and complex business logic of Java Web application,existing vulnerability mining tools sufferfrom high randomness in testing and low depth of code detection,resulting in low accuracyof vulnerability

8、mining.To solve these problems,this paper designed and implemented amultidimensional depth oriented fuzzing method of Java Web applications.This methodgenerated the three address codes of the application bytecode to be tested,and then obtainedthe corresponding inter function call graph and intra fun

9、ction control flow graph.Accordingto this information,an algorithm was designed to obtain the multidimensional depth of eachbasic block.Then,according to the multidimensional depth and fuzzing execution time,thefuzzing guidance strategy of the system was designed,and the corresponding input structur

10、eanalysis strategy,energy allocation strategy and mutation algorithm scheduling strategywere designed to improve the efficiency of fuzzing.Compared with the existing widely usedfuzzing tool Peach and Kelinci,it shows that this method can achieve better vulnerabilitymining effect under the condition

11、of low performance consumption.Key words:fuzzing;Java Web;vulnerability mining0引言随着互联网的快速发展和JavaWeb开发框架的广泛应用1,2，相关安全问题也日益突出。各类零日漏洞越来越多，相关安全攻击也层出不穷3。据报告，2021年披露的Log4j漏洞影响了数百万个系统，给互联网造成了严重的安全威胁。根据国家互联网应急中心发布的2 0 2 1年上半年我国互联网网络安全监测数据分析报告4，2 0 2 1年上半年国家信息安全漏洞共享平台收录了130 8 3个通用型安全漏洞，其中Web应用漏洞占比达2 9.6%，而在W

12、eb应用的开发语言中，Java语言的使用十分广泛。因此，如何自动化检测JavaWeb代码中的安全漏洞，从而减少其部署后的安全隐患是目前呕需解决的一个问题。模糊测试技术是一种比较有效的漏洞检测方法，近年来被广泛应用于漏洞挖掘领域。JavaWeb应用虽然也可以利用通用模糊测试技术进行安全检测，但是此方法的针对性不高5,主要问题在于以AFL（A m e r i c a nFuzzy Lop）为代表的基于变异的模糊测试工具生成的测试用例不符合Web应用接口所需的特定数据格式，大多数测试用例被丢弃，导致测试效率较低。以Peach为代表的针对Web应用的模糊测试工具主要研究输入数据的格式和生成策略，对We

13、b应用系统内部没有进行分析，缺乏程序运行反馈信息的指导，测试过于盲目并且效率不高。因此，针对JavaWeb程序设计一种准确率和效率都更高的模糊测试方案具有十分重要的现实意义。本文提出一种多维深度导向的Java Web模糊测试方法，该方法基于JavaWeb应用的微服务架构生成Java字节码的三地址码中间表示，即Jimple、程序静态分析的调用图和控制流图，在此基础上为每个基本块设计一种多维深度表示（调用链深度、控制流深度和基本块分支深度），并基于以上深度信息综合计算每个基本块的多维深度权重。针对现有模糊测试工具在JavaWeb应用程序上运行效率低的问题，本文依据基本块的多维深度权重，提出基于深度

14、覆盖反馈的双阶段测试指导策略。本文将模糊测试分为两个阶段：1）种子探索阶段，为每个种子分配相同能量；2）开发阶段，多维深度更深的种子往往有更多的能量。双阶段测试指导策略的目标是使测试在第一阶段探索更多路径，防止一开始就收敛于某一条多维深度很大的路径，而在第二阶段，则着重于引导测试用例向深层次的基本块前进，从而发现更多错误。通过与现有主流Java漏洞挖掘工具Peach和Kelinci的对比实验表明，本文方法可以在测试覆盖率更高的基础上，引导模糊测试对更深层次的基本块进行探索。同时，本文方法还可以触发更多的异常。1相关工作模糊测试作为一种有效的漏洞挖掘技术，受到283NETINFOSECURITY

15、技术研究2024年第2 期研究人员的广泛关注。目前，模糊测试已经在不同应用领域有了大量研究工作，也出现了一些成熟的方法和工具。AFLI7是目前模糊测试领域较典型的一个工具，它通过插桩方式收集每个测试输人对应的边缘覆盖率，并以边缘覆盖率为导向，通过进化算法进行模糊测试。AFLGol8基于AFL提出定向模糊测试的概念，定向模糊测试是指当需要进行补丁测试或者漏洞复现时，选定可能存在漏洞的位置为目标点，引导模糊测试到达这些位置进行检测。HawKeye方法9和CDGF方法10 基于定向模糊测优化了路径计算方案和能量分配策略，提升了定向模糊测试性能。然而上述工作存在一些问题，AFL在能量分配策略和种子选择

16、策略的设计上存在缺陷，导致将大量时间浪费在高频路径上；AFLGo和Hawkeye认为每个基本块是相同的，没有考虑到达目标点的难易程度；CDGF考虑了到达目标点的每个数据条件，但没有考虑每个基本块的深度。因此，这些模糊测试方法在高内聚、低耦合的Java Web程序中并不适用。此外，还有一些工作针对Java程序的模糊测试进行研究。JAYARAMAN等人基于混合模糊测试，通过符号执行技术获取路径约束求解，从而生成能够得到更高覆盖率的高质量测试用例，但是由于符号执行自身的缺陷，容易产生路径爆炸问题。ZHU12提出一种结合蜕变测试的变异方法，基于启发式定义多种变异操作，但是该方法需要用户定义蜕变关系，需

17、要对被测程序十分了解。Kelincil13本质上是一个介于AFL和Java应用程序之间的代理，让AFL去测试一个自己编写的代理程序。JQF14的工作方法与Kelinci类似,其将自身的程序应用在Java的单元测试框架JUnit中，能够自动进行测试。Kelinci和JQF将针对二进制的模糊测试研究直接移植到Java中，没有根据Java的语言特性做出创新，检测准确率低。SHAWNL15等人提出一种混合分析方法检测Java中的反序列化漏洞，通过静态分析获取反序列化的调用点和调用图链，利用模糊测试检测漏洞。YU16等人将定向模糊测试概念移植到Java程序中，通过Soot分析Java程序，使用AFL进行

18、模糊测试，引导测试深度代码片段，但是这种方法仍然存在定向模糊测试基本块权重相同的问题。在Web应用模糊测试方面，Peach17通过用户编写的符合要求的Peach Pit文件解析输人的结构，通过Pit文件Data Model中描述的约束生成测试用例，尽可能获取可以通过程序格式检测的高质量输人。文献18 提出一种基于遗传算法的改进模糊测试方法来挖掘Web漏洞，在基因编码上对测试用例进行编码，检测 SQL（St r u c t u r e d Q u e r y La n g u a g e）注人和XSS（Cr o s s-Site Scripting】漏洞。文献19基于文献18 修改了遗传算法的基

19、因编码步骤，基于常见漏洞攻击的语法结构生成包含攻击语法的测试用例，提升了测试效率。Web应用的语言种类较多，但现有的Web模糊测试工具没有关注应用的编写语言，而是将重点放在输人的结构上。综上所述，现有模糊测试技术难以在Java Web应用中进行高效的漏洞挖掘，存在基本块能量分配模式单一、能量分配和种子变异策略难以适用于Java Web应用等问题，需要设计一种具有针对性的高效模糊测试方法。2系统设计本文根据Java Web应用的特征提出一种多维深度导向的模糊测试方法，并设计了相应的模糊测试系统，系统整体架构如图1所示。该系统由静态分析模块、单元测试模块和模糊测试模块3个部分组成。在对JavaWe

20、b应用进行测试时，首先通过静态分析模块分析并插桩代码，然后获取待测接口的输入报文并编写解析文件，最后启动单元测试模块和模糊测试模块进行模糊测试。静态分析模块的主要功能是分析待测代码并且执行插桩。该模块主要负责获得待测代码的三地址码中间表示Jimple，获取函数间调用图和每个函数的函数内控制流图，同时执行具体的分析操作，计算每个284NETINFOSECURITY2024年第2 期技术研究静态分析模块待测代码字节码分析CFGCG深度计算插桩柱模块图1系统整体架构基本块的调用链深度、控制流深度以及带权重的分支深度。单元测试模块的主要功能是根据输人种子执行JavaWeb应用代码，并获取测试结果。模糊

21、测试模块根据模糊测试的执行状态判断是否需要进行输人结构的解析，同时操作对应的种子，将种子发送给单元测试模块。2.1多维深度导向的模糊测试方法灰盒模糊测试是一种根据部分程序内部信息，并配合良好的模糊测试指导策略进行高效测试的方法。本文为每个基本块设计了一种多维深度表示，通过其在调用链中的深度、在函数内部的深度和分支条件的复杂度表示该基本块在程序中被执行的难易程度，并使用该多维深度激励模糊测试，指导模糊测试向着程序的深层次执行，从而发现程序的深层漏洞。2.1.1多维深度计算本文设计的多维深度可以分为3个部分，分别为调用链深度、控制流深度和分支深度。1）调用链深度调用链深度的计算方法如公式（1）所示

22、。nDepeg=1其中，Depeg代表每个函数所处的所有调用链的平均深度，计算过程中使用的是调和平均值。在计算深度时，考虑每条调用链中函数所处的深度。在公式（1）中，n代表函数包含的调用链数量，D.)指该函数在第i条调用链中的深度。2）控制流深度单元测试模块插桩后代码目标接口Mock单元测试深度响应位图信息模糊测试模块初始解析输入文件能量分配种子味种子选择结构种子池解析(1)在计算控制流深度时，为了获得更准确、更有效的深度权值，本文单独计算代码控制流中的分支部分，统计了包含分支条件复杂度的分支深度。本文基于Soot20,21工具建立控制流图，Soot建立的控制流图有两种，一种是以基本块为节点的

23、BlockGraph，另一种是以Unit（So o t 中代表Jimple中间表示的一条语句）为节点的UnitGraph。本文选用UnitGraph以获取更加精确的控制流深度，控制流深度的具体计算如公式（2）所示。Depefg=min(Dr,Dra,Dr.)(2)其中，Depeg代表每个基本块的控制流深度，D,是基本块在第n条控制流的深度，本文选取这些深度中的最小值作为最终控制流深度。在程序中，一个函数的控制流可能由于执行了不同分支而不同。当一个分支语句中包含多重分支条件时，在Java的字节码表示和实际执行时，JVM（Ja v aVirtualMachine）虚拟机根据每个条件依次判断，导致虽

24、然两次执行的结果相同，但由于输人不同，程序实际执行的代码不同，最终产生的控制流也不同。因此，本文将分支部分的深度做单独计算，根据条件的复杂度赋予不同的权值。3）分支深度通过一个简单的例子对本文加人分支深度的原因进行介绍。一个包含多重分支的Java源代码示例如图2所示。public void test(int a,int b,int c)if(al=2&b=5&c=7)(System.out.println(yes);J else(System.out.println(no);1图2 包含多重分支的Java源代码示例示例代码的控制流图如图3所示，在图3中共有两个分支，其中一个分支需要同时满足3个

25、条件才能被执行。如果一个种子输入可以使程序执行了3个分支条件的if语句，而另一个种子执行了else语句，那么虽然它们都覆盖了一个基本块，但是前一个种子比后一285NETINFOSECURITY技术研究2024年第2 期个种子更有价值。因此，应为前一个种子分配更高的权值，在后续测试中其应获得更高的能量分配，同时在种子调度过程中也应该享有更高的优先级。更重要的一点是，在程序实际运行中，对源代码中的3个分支条件进行依次判断，因此本文在进行分析和插桩时，会在每个分支条件判断处都计算多维深度，并执行插桩，目的是给模糊测试一个激励，使模糊测试器在攻克比较复杂的分支条件时，只要满足一个条件就能收到及时的反馈

26、，从而帮助测试器更快攻克难以满足的分支条件。void testifio=2ifi=、语句则是比较困难的分支条件，通过的概率依赖于初始输入和变异策略，=语句则是最困难的分支条件，仅依靠模糊测试中的变异手段，变异出满足这个条件的输入是十分困难的。因此,在对分支条件进行分析时，本文给不同条件分配不同权值，各分支条件对应的权值如表1所示。表1各分支条件对应的权值分支条件权值123因为Jimple代码和Java源码中分支语句的表示相反，所以权值的分配也相反，每个分支语句的分支深度如公式（3）所示。Depbre=Shis+Depbre(pre)其中，Depbre代表分支深度，Sihis是分支条件的权值，D

27、epbre(pre)代表该分支语句上一个邻接分支的分支深度。在计算分支深度时，当前分支的深度会累加上一个分支的深度，这是由于如果程序执行了第二个分支条件，就可以确定第一个分支条件也被执行了。因此，与只能通过一个分支条件的输人相比，这个输入的质量要高得多，需要分配更高的权值。在计算每个函数的调用链深度、函数内每个基本块的控制流深度以及每个分支的分支深度后，将三者进行综合计算，为每个基本块确定一个最终的多维深度表示，具体计算方式如公式（4）所示。Depdim=aDepcg+b.Depefg+c.Depbre其中，Depaim为本文最终需要获得的多维深度，是控制流深度的权重系数，b是调用链深度的权重

28、系数，c是分支深度的权重系数。在本文中，这3个系数分别设定为0.2,0.3,0.5。在设置权重系数时，实际上JavaWeb应用在设计和实现过程中都遵循一定规律，例如，使用 Spring 框架的 Java Web 应用将代码分为 Controller层、Service层、Mapper层和Util层，Controller层处理前端请求，Service层执行真正的处理代码，Mapper层进行数据库映射，Util层调用实体类完成数据库读写。因此，调用链中的深层函数在这类项目中不需要花费太多时间进行模糊测试，只要完成每个函数的控制流测试并攻克难以通过的分支代码，就可以覆盖调用链的最深层函数。2.1.2剪

29、枝与目标选择本文设计的模糊测试系统需要对待测代码进行插桩，统计基本块的覆盖情况与覆盖到的多维深度，因(3)（4)286NETINFOSECURITY2024年第2 期技术研究此本文需要对待测代码的所有基本块都执行插桩。然而，如果所有基本块在被运行时都执行一次模糊测试的回调函数，就会降低系统的运行速度，影响模糊测试的效率。因此，本文根据模糊测试的分析结果和JavaWeb应用特点设计了剪枝算法，对一些简单的基本块不执行插桩，从而提高模糊测试效率。在一个普通的JavaWeb应用中，存在大量如图4所示的代码。public Integer getldO(return id;)public void se

30、tId(Integer id)(this.id=id;)public Integer getEidO(return eid;)public void setEid(Integer eid)(this.eid=eid;public Integer getSidO(return sid;)public void setSid(Integer sid)(this.sid=sid;)图4JavaWeb应用实体类函数示例图4中的函数是在JavaWeb应用中实体类里的函数，通过定义实体类，使得JavaWeb应用可以简单地与数据库映射，快速执行增、删、改、查操作。在这些类中，存在大量getO 函数和setO

31、函数，这些函数虽然也是基本块，但是只有一条执行语句，并且语句较简单，一般不会存在漏洞，因此在插桩时需要将这些函数排除在外。此外，在程序开发时也必然会存在其他结构简单的函数，因此本文在控制流深度分析和计算时设计了一个剪枝算法。具体的，需要获取每个函数的Unit节点控制流图，并将控制流图的节点数和边数少于3的简单函数过滤。通常JavaWeb应用存在大量接口，这些接口用于处理各自的请求，并且有自已的处理逻辑和代码实现。在进行模糊测试时，对每个接口都进行完整的模糊测试会耗费大量时间，并且接口分为post接口、get接口、put接口和delete接口，每个接口的逻辑不同，因此难以设计一个通用的模糊测试方

32、法。例如，如果要测试delete接口，就需要在数据库中存储大量可以删除的数据，并且每个接口的删除逻辑不同，因此对该类型接口设计通用的模糊测试方法是比较困难的。本文在进行测试时，首先根据每条调用链中每个基本块的多维深度大小，选出3条多维深度最大的调用链，并通过函数名和代码分析出对应的3个接口；然后针对这3个接口生成单元测试代码；最后利用模糊测试器进行模糊测试。2.2基于深度覆盖反馈的双阶段测试指导策略现有的模糊测试器针对Java Web应用的指导策略存在一定问题，导致系统的漏洞检测效率较低，无法有效检测待测应用的深层代码。本文根据种子的多维深度、待测应用运行时间以及模糊测试执行时间，设立能量分配

33、策略、变异策略和输入结构解析策略。同时根据测试过程中是否到达设定的目标点，将测试分为探索阶段和开发阶段。探索阶段与开发阶段分别代表模糊测试在前期和后期需要完成的目标。在探索阶段，模糊测试需要探索更多路径，防止一开始就收敛于某一条多维深度很大的路径；在开发阶段，模糊测试将增大多维深度对种子能量的影响，降低输人结构变异的概率，同时调整变异策略，使模糊测试用例尽快到达设定的目标点。路径探索收益会随着时间而衰减，因此将探索阶段设定在模糊测试初期，当到达预设的目标点或者达到预先设置的时间阈值（通常为数个小时）后，系统自动进人开发阶段，此时模糊测试将向着多维深度较大的方向前进，并一直工作到测试结束。2.2

34、.1输入结构解析的概率输人结构解析是Web领域模糊测试中的重要思想，由于JavaWeb应用接收的输人格式为数据报文（通常为键值对形式），如果对该输入进行随机变异，就会破坏输入的结构，导致产生的变异输人都是无效请求，降低了测试效率。因此，本文引人AFLSmart中的输入结构解析思想，在模糊测试过程中按照一定概率对种子输入进行结构解析，将输人结构变为一个树形结构，并在该结构上选取节点进行变异，这样变异后的结果仍然是一个树形结构，转换后的输人也是符合JavaWeb应用标准的结构，从而提升测试效率。在本文的变异策略中，由于包括数据块的修改、增加和删除，输人的结构不是固定的，在经过数据块287NETIN

35、FOSECURITY技术研究2024年第2 期增加或删除后，原有的树形结构与现有的种子不匹配，需要再次进行输人结构解析，但是此操作需要耗费一定时间，因此本文设计了输入结构解析策略，在长时间没有获得新路径的情况下，有一定概率进行输入结构解析。由于Java Web应用的一个接口可能只处理一种类型的请求，当模糊测试进行一定时间后，可能将大多数容易探索的路径都覆盖了，因此长时间不能产生新的路径覆盖，这时再将时间耗费在结构解析上是不明智的，本文的输人结构解析策略如公式（5）所示。P=m-Tmm+x10%,其他(5)1Tolal2其中，Tcur为当前时间，Tiaspa为上一次产生新路径的时间，Total为

36、模糊测试总执行时间，T为系统设定的双阶段转换时间。在探索阶段，一开始系统会调用输入结构解析的概率约为50%，随着时间的增长，这个概率逐渐降低，最终策略会退化成原来的概率算法。如果模糊测试进人开发阶段，表明系统已到达目标点，或者模糊测试经过一段时间后仍未到达目标点。这样设计的主要原因是本文将多维深度最大的基本块设置为目标点，如果系统已经到达目标点，说明种子输人已经能够覆盖大部分代码，输入的结构是有效的，不需要再更新结构；如果系统长时间没有到达目标点，则说明当前的种子、pit解析文件或者输人结构不够优秀，系统能通过解析输入结构提升效率的概率很低，没有必要将时间花费在输人结构解析上。2.2.2种子能

37、量分配策略种子能量分配策略决定一个种子能被使用和变异的次数。因此，设计一个优秀的能量分配策略，可以让系统在更短时间、更少测试次数的情况下，获得更多代码覆盖、发现更多漏洞。AFL工具原本的能量分配策略考虑了待测代码的执行速度、覆盖率、发现新覆盖的时间以及代码的循环次数，执行速度越快、覆盖率越高、循环次数越多、种子越新，获得的能量就越多。其中，新种子是指两个种子都发现新的路径覆盖，但是a种子发现覆盖的时间更早，那么发现时间较晚的b种子获得的能量会适当多一点。而在针对JavaWeb应用进行测试时，这样的能量分配策略并不科学，模糊测试效率也较低。JavaWeb实质上是对数据库进行读写操作，应用处理请求

38、的大多数时间也是进行这个操作，因此如果一次测试的执行速度快，说明应用还没有进行数据库读写就拒绝了该读写请求，种子输人是无效的。如果一个JavaWeb应用在处理一个请求时花费的时间比平时多，说明该请求在处理过程中可能增加了应用的消耗，_Total如果攻击者针对这个问题发送大量同类报文，就可能产生DDoS攻击，因此在本文设计中，执行时间越长的种子获得的能量就越多，计算方法与AFL正好相反。本文在AFL能量分配策略的基础上，根据种子覆盖的多维深度大小，设计了基于多维深度和执行时间的能量分配策略。从每个种子的多维深度覆盖位图中统计一个多维深度值，计算方式如公式（6）所示。d(s,D,)-ZDepn其中

39、，d(s,D,)是每个种子的多维深度值，其计算方法是对种子覆盖的每个基本块的多维深度求平均数。为了防止优秀的种子能量分配过大而其他种子能量过少，导致测试器将大部分时间花费在对优秀种子进行测试上，本文将所有种子的多维深度值按公式（7）进行归一化处理。d(s,D,)=d(s,D,)-min Dmax D-min D其中，maxD是所有种子集中多维深度最大的种子，minD是种子集中多维深度最小的种子，公式（7）得到的归一化种子多维深度值在0,1 范围内，因此有效防止了模糊测试的大部分时间都在变异测试同一个种子。本文的能量分配策略如公式（8）公式（10）所示。p(s)=Par1 210p(s,)-s（

40、8)p(s,Db)=d(s,D,)(1-Texp)+0.5Tesp(9)tTesp=2030(6)(7)(10)288NETINFOSECURITY2024年第2 期技术研究其中，p(s)是s种子最终分配到的能量；pcn是s种子在本文改进的AFL能量分配策略下获得的能量；Texp将时间收敛，时间越长，Tep就越小，最终趋于零。在开始阶段，能量分配策略中时间所占权重很高，每个种子分配的能量相似，每个种子都能获得同样概率的变异机会。随着时间越来越长，时间在能量分配策略中的占比就越来越小，当时间趋于无穷时，Tep的值就趋于零，最终的种子能量一般取决于多维深度的大小。通过这样的策略，确保在模糊测试开始

41、阶段种子就能探索足够多的路径，而不是马上就收敛于一条多维深度足够大的路径。随着模糊测试时间的增长，系统逐渐进入开发阶段，只向着多维深度增大的方向进行模糊测试，使系统尽快到达设定的目标点。2.2.3变异策略本文基于AFLSmart设计模糊测试工具，AFLSmart第一次变异不会进行Chunk级别的变异，并且AFLSmart为了防止种子输人在短时间内产生明显变化，严格控制了Chunk变异的概率。而本文除了代码的覆盖率，还有多维深度大小作为模糊测试的指导方案，因此本文方法与一般的灰盒模糊测试有本质区别。本文在AFLSmart原有的变异策略基础上，增大了初始Chunk变异的概率，这个概率随着时间的增大

42、而减小，最终收敛于一个稳定的值，具体的变异策略如公式（11）所示。110Pueh=x10 2Pigh是在Byte级变异策略的基础上，转变成Chunk级变异的概率。其中t为系统总运行时间，t为本文设置的阶段跳转时间，设定为3h。在模糊测试一开始，系统选择Chunk级变异策略的概率约为50%；在ti=3h时，转变的概率仅为5%；随着时间的增长，最后概率趋于零，退化成普通的Byte级模糊测试。3系统测试与评估本文搭建的实验环境分为两个部分：一部分是单元测试端，运行待测JavaWeb应用的单元测试代码，系统配置为Windows1064位操作系统，Intel(R)Core(TM)i5-85003.00G

43、Hz处理器，16 GB运行内存；另一部分是模糊测试端，本文模糊测试器基于AFL进行改进，模糊测试端运行在VMware虚拟机上，具体配置为Ubuntu16.04虚拟机，分配了4GB内存和两个处理器，每个处理器有两个内核。这两个部分通过Socket通信交互信息，因为在Java语言编写的单元测试模块和C语言编写的模糊测试模块中就采用Socket通信，所以实验环境几乎不会对系统的效率产生影响。本文的功能测试分为两部分：1）检测系统的基本块覆盖情况和设定的目标点到达情况；2）系统在一段时间内检测到的程序异常情况。本文的对照工具有Peach和Kelinci，Pe a c h 是一个常用的商用模糊测试工具，

44、有开源的版本，同时Peach支持对Web应用进行模糊测试。Kelinci是针对Java语言的模糊测试工具，具有独立的插桩模块，通过Socket通信连接AFL完成模糊测试。本文为了控制变量将Kelinci的测试程序设定为发包程序，向待测JavaWeb应用发送http网络请求，通过这样的方式将Peach、Kelinci与本文的模糊测试方法进行对比。本文提出的模糊测试方法为每个基本块分配多维深度，因此可以统计测试过程中的基本块覆盖情况。本文对4款不同的GitHub高星开源JavaWeb应用进行测试，测试对象分别是VBlog、Na c o s、Vh r 和Guns。其中,VBlog是开源个人博客管理平

45、台，Nacos是阿里巴巴微(11)服务架构开源项目，Vhr是开源人事管理平台，Guns是基于SpringBoot的开源Java Web项目。本文选择待测应用中的大部分post接口和一些具有代表性的其他接口进行测试，测试结果为这些接口基本块覆盖的总和，每次测试时间约为5h，重复10 次测试求取平均值，具体测试结果如图5所示。从图5中可以看出，针对Java语言的Kelinci在测试JavaWeb项目时效果不好，主要原因在于Kelinci进行一次测试需要先对应用发送网络请求并接收结果，然后启动Socket通信和模糊测试器AFL交互，因此系统的运行289NETINFOSECURITY技术研究2024年

46、第2 期速度不快，同时缺乏有效的指导策略。而Peach由于执行速度的优势及其解析文件的指导，使得测试在一开始就能有一个较好的效果。随着时间的增长，本文使用多维深度指导的模糊测试能在达到瓶颈时继续探索难以覆盖的分支，因此能在长时间测试中取得新进展，基本块覆盖效果优于Peach和Kelinci。100Kelinci90一一本文方法80+Peach/706040302010010090一本文方法80+Peach7060403020100175+Kelinci150本文方法-Peach10075502501009080706050403020100待测程序的异常触发次数是衡量模糊测试工具是否优秀的重要

47、指标之一。将本文方法与Peach、K e l i n c i进行对比，分别测试了1h5h的模糊测试中3个模糊12时间ha）V Blo g 测试结果+Kelinci1b）Na c o s 测试结果12时间/hc）Vh r 测试结果Kelinci一本文方法+Peach12时间/hd)Guns测试结果图5测试结果对比3423时间/h335测试工具能触发的异常数量，每个待测程序选取的接口与基本块测试接口一致，并在测试结束后对收集的异常数量进行分析和去重。表2 列出了Peach、K e lin c i和本文方法触发的总体异常数量，具体异常触发情况如表3所示。在相同的测试时间内，Peach比Kelinci

48、触发的异常数量更多，Kelinci在VBlog和Vhr中分别触发了一个Peach不曾触发的实例未初始化异常，这是Peach和Kelinci的模糊测试策略不同而导致的。从结果上看，本文方法触发了Kelinci和Peach发现的所有异常。通过对触发异常的进45454一步分析表明，本文方法在多维深度的导向下进人更深层次的代码块，并且触发了异常，而Kelinci和Peach在相同时间内并未到达异常所在的区域。在这些异常中，大部分可以归类为实例未初始化异常。在JavaWeb应用中，以键值对的形式传输网络请求，并在处理请求时为程序中的相应对象赋值。当请求报文中没有某个键值对时，程序中相应的对象就不会被赋值

49、，如果程序没有判断就直接使用该对象，就会产生异常。这些开源应用往往只在前端对数据进行校验，导致直接对后端发送报文的方式极易产生漏洞。这些由于缺少对输入的检测而产生的异常，很有可能被攻击者发5290NETINFOSECURITY2024年第2 期技术研究现漏洞，从而变为远程命令/代码执行漏洞或者反序列化漏洞。此外，还有一些漏洞是由于数据库的配置不当而产生的，例如，Vhr的测试接口对应的一个数据库表无法接收中文字符串，进而触发了异常。表2 待测应用异常触发情况测试对象测试工具异常数量/个Kelinci2VBlogPeach本文方法KelinciNacosPeach本文方法KelinciVhrPea

50、ch本文方法KelinciGunsPeach本文方法表3具体异常触发情况Kelinci触发Peach触发本文方法触发的漏洞类型测试对象的异常数量的异常数量异常数量/个/个/个VBlog1Nacos0数据库异常VhrGunsVBlogNacos未授权访问VhrGunsVBlogNacos实例未初始化VhrGunsVBlogNacosXSS注人VhrGunsVBlogNacos类型混淆VhrGuns4结束语Java Web应用在给生活和工作带来便利的同时，也带来了安全隐患。目前，Java Web应用存在基本块权重单一、生成的测试用例不符合Java Web应用特点等问题，导致测试JavaWeb应用时