复旦大学、清华大学等 | 超越漏洞扫描:一种功能性变更驱动的远程软件版本识别方法
💡
原文中文,约5500字,阅读约需13分钟。
📝
内容提要
该研究提出了一种名为VersionSeek的隐蔽软件版本识别方法,基于功能性变更分析软件更新的功能差异,设计探测请求以提高识别准确率。实验结果表明,该方法在识别率和数据包发送量上均优于传统技术,成功识别了240,020个软件实例,揭示了用户面临的安全威胁。
🎯
关键要点
- 研究提出了一种名为VersionSeek的隐蔽软件版本识别方法,基于功能性变更分析软件更新的功能差异。
- 该方法通过设计探测请求提高识别准确率,实验结果显示其在识别率和数据包发送量上均优于传统技术。
- 研究背景强调了远程软件攻击对目标软件版本精确识别的重要性,传统方法存在局限性。
- VersionSeek框架由功能探针生成模块、响应处理模块和版本识别模块组成,利用功能性变化作为新型指纹。
- 实验评估了VersionSeek在Elasticsearch、Redis、Dubbo、Joomla和phpMyAdmin等软件上的有效性,识别率提升2.8倍,数据包减少65.37%。
- 探针生成模块通过提取功能性变更特征生成探针,响应处理模块标准化响应并分类,版本识别模块优化探针使用顺序。
- VersionSeek在对抗环境下表现出强大的鲁棒性,能够在版本信息被隐藏或混淆的情况下保持高识别率。
- 真实场景测量显示VersionSeek成功识别240,020个软件实例,揭示用户面临的安全威胁,特别是旧版本软件的广泛使用。
- 通过与CVE漏洞数据库匹配,发现识别出的版本存在严重安全隐患,强调了及时更新软件的重要性。
➡️
