Information Sciences Seminar——数据库软件安全测试
报告人:Yu Jiang(Tsinghua University)
时间:2022-03-09 10:00-11:00
地点:腾讯会议号:695-700-478
Abstract: 模糊测试是一种极为有效的缺陷和漏洞检测技术,将模糊测试技术应用于整个数据库系统,对提升数据库系统质量和系统安全有着极其重要的意义, 但是在实际应用中,依然存在三个突出难点:(1)无法监测覆盖信息。数据库系统往往有着极为复杂的逻辑,而粗略记录的特征在大型系统中存在冲突和不精确的情况,因而无法有效将测试过程导向新的路径。(2)无法高效生成有效输入。数据库具有复杂的输入规范,在特定状态下只有特定的输入才会被接受。而现有的模糊测试依靠随机生成,会生成大量数据库无法接受的无用输入。(3)无法监测程序异常情况。数据库具有守护程序,该守护程序会监控程序在执行过程中遇到的异常并进行异常恢复。因此该监控功能与模糊测试工具获取进程退出码的方法有冲突,从而使模糊测试工具无法捕获程序异常。本报告将围绕数据库系统测试的现状和上述难点展开,介绍数据库模糊测试的关键技术和实践。
Bio: 姜宇,清华大学软件公司副教授。重点关注数据库、内核、工控等软件系统的安全,利用程序分析与模糊测试等技术,进行软件缺陷的自动挖掘与理解,在广泛使用的系统软件(Linux, Safari, Openssl,Postgresql等)中挖掘数百个漏洞被收录入中美国家信息安全漏洞库。相关自动化漏洞挖掘技术成果被谷歌,华为,微软合并应用,以第一作者或通讯作者在ACM SOSP, IEEE S&P, USNIX Security等知名会议和期刊上发表论文80余篇,并获EMSOFT,ICSE-SEIP等会议的最佳论文或提名奖6次。曾获2015年中国计算机学会优秀博士论文奖、2020年阿里巴巴达摩院青橙奖,2021年微众学者等奖励。