Труды института системного программирования РАН
RUS  ENG    ЖУРНАЛЫ   ПЕРСОНАЛИИ   ОРГАНИЗАЦИИ   КОНФЕРЕНЦИИ   СЕМИНАРЫ   ВИДЕОТЕКА   ПАКЕТ AMSBIB  
Общая информация
Последний выпуск
Архив

Поиск публикаций
Поиск ссылок

RSS
Последний выпуск
Текущие выпуски
Архивные выпуски
Что такое RSS



Труды ИСП РАН:
Год:
Том:
Выпуск:
Страница:
Найти






Персональный вход:
Логин:
Пароль:
Запомнить пароль
Войти
Забыли пароль?
Регистрация


Труды института системного программирования РАН, 2019, том 31, выпуск 3, страницы 177–190
DOI: https://doi.org/10.15514/ISPRAS-2019-31(3)-14
(Mi tisp431)
 

Эта публикация цитируется в 1 научной статье (всего в 1 статье)

Vulnerabilities detection via static taint analysis
[Поиск уязвимостей при помощи статического анализа помеченных данных]

N. V. Shimchika, V. N. Ignatyevba

a Ivannikov Institute for System Programming of the Russian Academy of Sciences
b Lomonosov Moscow State University
Список литературы:
Аннотация: В связи с большими объёмами кода в современных программных продуктах, в программах всегда существует целый набор малозаметных ошибок или дефектов, которые сложно обнаружить при повседневном использовании или в ходе обычного тестирования. Многие такие ошибки могут быть использованы в качестве потенциального вектора атаки, если они могут быть эксплуатированы удалённым пользователем посредством манипуляций над входными данными программы. В данной работе представлен подход к автоматическому обнаружению уязвимостей безопасности с использованием межпроцедурного статического анализа помеченных данных. Цель данного исследования - разработка инфраструктуры анализа помеченных данных, применимой для обнаружения уязвимостей в программах на языках C и C++ и расширяемой при помощи отдельных детекторов. Этот инструмент основывается на алгоритме решения задачи Межпроцедурных, Конечных, Дистрибутивных Подмножеств (IFDS) при помощи её сведения к специальной задаче о достижимости на графе и способен выполнять межпроцедурный, чувствительный к контексту, нечувствительный к путям анализ программ, представленных в виде LLVM-биткода. Анализа помеченных данных недостаточно для получения хороших результатов, поэтому улучшения существующих методов, мы предлагаем дополнить его ещё одним этапом анализа, который основан на статическом символьном выполнении. Для фильтрации результатов первого этапа выполняется анализ, чувствительный к путям и учитывающий размеры регионов памяти. Оценка результатов была проведена на Juliet Test Suite и проектах с открытым исходным кодом, имеющих подходящие публично известные уязвимости из базы данных CVE.
Ключевые слова: статический анализ кода, анализ помеченных данных, уязвимости.
Реферативные базы данных:
Тип публикации: Статья
Язык публикации: английский
Образец цитирования: N. V. Shimchik, V. N. Ignatyev, “Vulnerabilities detection via static taint analysis”, Труды ИСП РАН, 31:3 (2019), 177–190
Цитирование в формате AMSBIB
\RBibitem{ShiIgn19}
\by N.~V.~Shimchik, V.~N.~Ignatyev
\paper Vulnerabilities detection via static taint analysis
\jour Труды ИСП РАН
\yr 2019
\vol 31
\issue 3
\pages 177--190
\mathnet{http://mi.mathnet.ru/tisp431}
\crossref{https://doi.org/10.15514/ISPRAS-2019-31(3)-14}
\elib{https://elibrary.ru/item.asp?id=39556541}
Образцы ссылок на эту страницу:
  • https://www.mathnet.ru/rus/tisp431
  • https://www.mathnet.ru/rus/tisp/v31/i3/p177
  • Эта публикация цитируется в следующих 1 статьяx:
    Citing articles in Google Scholar: Russian citations, English citations
    Related articles in Google Scholar: Russian articles, English articles
    Труды института системного программирования РАН
    Статистика просмотров:
    Страница аннотации:382
    PDF полного текста:270
    Список литературы:43
     
      Обратная связь:
     Пользовательское соглашение  Регистрация посетителей портала  Логотипы © Математический институт им. В. А. Стеклова РАН, 2024