静态和一致的检测潜在的溢出安排

Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI:10.5753/sbseg.2014.20142

Bruno Adriano Rodrigues Silva

{"title":"静态和一致的检测潜在的溢出安排","authors":"Bruno Adriano Rodrigues Silva","doi":"10.5753/sbseg.2014.20142","DOIUrl":null,"url":null,"abstract":"Estouros de arranjos, uma vulnerabilidade de software bastante conhecida na literatura especializada em segurança, são frequentemente utilizados por adversários que têm o objetivo de corromper o fluxo de controle do programa. Isto é possível em linguagens fracamente tipadas como C e C++ onde os acessos à arranjos não são verificados. Uma possível solução é a inserção de código para verificação de todos os acessos à arranjos de forma a evitar aqueles fora dos limites. Entretanto o custo em tempo de execução seria proibitivo. Este trabalho propõe a detecção de potenciais estouros de arranjos via análise estática de código, o que permitiria ao desenvolvedor, a inserção de código de verificação apenas nos traços estáticos possivelmente vulneráveis. Verificou-se que cerca de 41% do código fonte dos benchmarks SPEC CPUINT 2006 estão vulneráveis à este tipo de ataque.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"14 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Detecção Estática e Consistente de Potenciais Estouros de Arranjos\",\"authors\":\"Bruno Adriano Rodrigues Silva\",\"doi\":\"10.5753/sbseg.2014.20142\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Estouros de arranjos, uma vulnerabilidade de software bastante conhecida na literatura especializada em segurança, são frequentemente utilizados por adversários que têm o objetivo de corromper o fluxo de controle do programa. Isto é possível em linguagens fracamente tipadas como C e C++ onde os acessos à arranjos não são verificados. Uma possível solução é a inserção de código para verificação de todos os acessos à arranjos de forma a evitar aqueles fora dos limites. Entretanto o custo em tempo de execução seria proibitivo. Este trabalho propõe a detecção de potenciais estouros de arranjos via análise estática de código, o que permitiria ao desenvolvedor, a inserção de código de verificação apenas nos traços estáticos possivelmente vulneráveis. Verificou-se que cerca de 41% do código fonte dos benchmarks SPEC CPUINT 2006 estão vulneráveis à este tipo de ataque.\",\"PeriodicalId\":146489,\"journal\":{\"name\":\"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)\",\"volume\":\"14 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2014-11-03\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.5753/sbseg.2014.20142\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg.2014.20142","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

摘要

修复溢出是安全文献中众所周知的软件漏洞，经常被旨在破坏程序控制流程的对手使用。这是可能的，因为它是在一个特定的时间间隔内完成的。一种可能的解决方案是插入代码来验证所有访问安排，以避免那些超出限制的访问。然而，执行时间的成本将是令人望而却步的。这项工作提出了通过静态代码分析来检测潜在的溢出，这将允许开发人员只在可能脆弱的静态痕迹中插入验证代码。据发现，大约41%的CPUINT 2006规范基准测试源代码容易受到这种攻击。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

查看原文本刊更多论文

Detecção Estática e Consistente de Potenciais Estouros de Arranjos

Estouros de arranjos, uma vulnerabilidade de software bastante conhecida na literatura especializada em segurança, são frequentemente utilizados por adversários que têm o objetivo de corromper o fluxo de controle do programa. Isto é possível em linguagens fracamente tipadas como C e C++ onde os acessos à arranjos não são verificados. Uma possível solução é a inserção de código para verificação de todos os acessos à arranjos de forma a evitar aqueles fora dos limites. Entretanto o custo em tempo de execução seria proibitivo. Este trabalho propõe a detecção de potenciais estouros de arranjos via análise estática de código, o que permitiria ao desenvolvedor, a inserção de código de verificação apenas nos traços estáticos possivelmente vulneráveis. Verificou-se que cerca de 41% do código fonte dos benchmarks SPEC CPUINT 2006 estão vulneráveis à este tipo de ataque.

求助全文

通过发布文献求助，成功后即可免费获取论文全文。去求助

来源期刊

Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)

自引率

0.00%

发文量