文档介绍:上海交通大学硕士学位论文
JVM 逃逸技术与 JRE 漏洞挖掘研究
硕士研究生 : 李骁
学号 : 1110369054
导 师 : 宦飞副教授
申请学位 : 工程硕士
学科 : 计算机技术
所 在 单 位 : 信息安全工程学院
答 辩 日 期 : 2014 年 1 月
授予学位单位 : 上海交通大学
Dissertation Submitted to Shanghai Jiao Tong
University for the Degree of Master
RESEARCH OF JVM ESCAPE
AND JRE VULNERABILITY DISCOVERY
Candidate: Li Xiao
Student ID: 1110369054
Supervisor: Associate Fei
Academic Degree Applied for: Master of Engineering
Speciality: Computer Technology
Affiliation: School of Information Security Engineering
Date of Defence: Jan, 2014
Degree-Conferring-Institution: Shanghai Jiao Tong University
上海交通大学硕士学位论文 摘要
JVM 逃逸技术与 JRE 漏洞挖掘研究
摘 要
Java 语言是最为流行的面向对象编程语言之一,Java 运行时环境
(JRE)拥有着非常大的用户群,其安全问题十分重要。近年来,由 JRE
漏洞引发的 JVM 逃逸攻击事件不断增多,对个人计算机安全造成了极
大的威胁。研究 JRE 安全机制、JRE 漏洞及其挖掘、JVM 逃逸攻防技
术逐渐成为软件安全领域的热门研究方向。
针对 Java 层 API 与原生层 API,JRE 安全机制分别包括 JRE 沙箱
与 JVM 类型安全机制。本文针对 JRE 沙箱组件及其工作原理进行剖析,
总结其脆弱点;分析调研 JVM 安全机制,提出其脆弱点在于 Java 原生
层漏洞,为 JRE 漏洞挖掘工作提供理论基础。
对于 JRE 漏洞,本文进行漏洞分类研究,提取 Java API 设计缺陷、
Java 原生层漏洞两种 JRE 漏洞类型的典型漏洞进行分析,总结漏洞特
征,为漏洞挖掘工作建立漏洞模型。
根据 JRE 漏洞分析中建立的漏洞模型,本文采用源代码审计的方法
开展 Java API 设计缺陷类型的漏洞挖掘工作,发现了数个 Oracle JRE、
OpenJDK