|
|
麻省理工學(xué)院的新漏洞發(fā)現(xiàn)者在Web應(yīng)用程序中發(fā)現(xiàn)的缺陷在64秒.遠(yuǎn)程控制軟件
它發(fā)現(xiàn)23個(gè)新漏洞50流行的Web應(yīng)用程序用Ruby on Rails
發(fā)現(xiàn)錯(cuò)誤在Web應(yīng)用程序是一個(gè)持續(xù)的挑戰(zhàn),但是麻省理工學(xué)院的一個(gè)新工具利用一些特質(zhì)的Ruby on Rails快速發(fā)現(xiàn)新的編程框架��。
在測(cè)試50流行使用Ruby on Rails Web應(yīng)用程序編寫,系統(tǒng)發(fā)現(xiàn)23之前未被診斷的安全漏洞,用了不超過64秒來分析任何給定的程序��。
Ruby on Rails是區(qū)別于其他框架,因?yàn)樗x了甚至在圖書館最基本的操作����。
麻省理工學(xué)院的研究人員利用這一事實(shí)通過重寫這些庫(kù)中定義的操作描述自己的行為在一個(gè)合乎邏輯的語言。
把Rails解釋器,將高層Rails程序轉(zhuǎn)換成機(jī)器可讀的代碼,到一個(gè)靜態(tài)分析工具,描述了如何通過程序數(shù)據(jù)流�����。
結(jié)果是通過解釋器運(yùn)行Rails程序產(chǎn)生一個(gè)正式的��、逐行描述了程序處理數(shù)據(jù)的方式����。
被稱為空間,新的調(diào)試器關(guān)注程序的數(shù)據(jù)訪問程序使用一個(gè)簡(jiǎn)單的邏輯模型,描述了操作用戶可以執(zhí)行哪些數(shù)據(jù)和在什么情況下��。
從描述入侵庫(kù),生成的空間可以自動(dòng)確定程序遵循這些模型;如果沒有,有可能是一個(gè)安全缺陷�����。
研究人員將他們的結(jié)果下個(gè)月在軟件工程國(guó)際會(huì)議��,灰鴿子遠(yuǎn)程控制軟件��。 |
|
加載中...
發(fā)表于 2016-4-18 16:47:58
QQ好友和群
收藏