關(guān)于漏洞發(fā)現(xiàn)者的真相：他們根本沒用.遠(yuǎn)程控制軟件,灰鴿子下載

admin

關(guān)于漏洞發(fā)現(xiàn)者的真相：他們根本沒用.遠(yuǎn)程控制軟件,灰鴿子下載

在測試中，他們錯過了研究人員代碼中的百分之98的漏洞
當(dāng)今流行的錯誤發(fā)現(xiàn)者只捕獲有關(guān)漏洞潛伏在軟件代碼百分之二，研究人員發(fā)現(xiàn)，盡管有數(shù)百萬美元的公司每年花在他們。
錯誤發(fā)現(xiàn)者是常用的軟件工程師來根除問題的代碼，可以變成漏洞。
他們通常會報告他們發(fā)現(xiàn)了多少個錯誤-你不知道的是多少人錯過了，留下成功率一個開放的謎。
所以，在紐約大學(xué)的該學(xué)院與麻省理工學(xué)院林肯實驗室與東北大學(xué)合作的工程技術(shù)人員決定找出他們有多少思念。
熔巖，或大型自動化的脆弱性此外，是一種技術(shù)，由研究人員創(chuàng)建的測試的限制，尋找錯誤的工具，以幫助開發(fā)人員提高他們。它通過故意增加一個程序的源代碼的漏洞。
“評價一個錯誤查找的唯一辦法是控制程序中的一些錯誤，這正是我們做的熔巖，”布蘭登多蘭Gavitt，助理教授計算機科學(xué)和工程在NYU Tandon。
該系統(tǒng)插入已知數(shù)量的新的漏洞，是合成的，但擁有許多相同的屬性，在野外的計算機錯誤。它是自動化的，所以它避免了人工，自定義設(shè)計的漏洞的成本。
相反，熔巖作了有針對性的編輯房程序源代碼創(chuàng)建成千上萬的自然數(shù)百，高度逼真的漏洞，跨越程序的執(zhí)行的一生，是嵌入在正常控制流和數(shù)據(jù)流，并表現(xiàn)為投入的一小部分，以避免關(guān)閉整個程序。
與現(xiàn)有的bug的發(fā)現(xiàn)軟件代表的“模糊”的符號執(zhí)行方法目前常用的測試時，只有百分之二的由熔巖的錯誤被檢測到。這個夏天，球隊計劃推出允許開發(fā)者和其他研究人員要求一個熔巖竊聽軟件版本開放競爭，試圖尋找漏洞，并收到一個分?jǐn)?shù)基于其準(zhǔn)確性。
“從來沒有在這個地區(qū)在這一規(guī)模的性能基準(zhǔn)，現(xiàn)在我們有一個，”多蘭Gavitt說�！伴_發(fā)人員可以競爭誰擁有最高的成功率在錯誤發(fā)現(xiàn)的吹牛的權(quán)利，和程序，將出來的過程中可能會更強�！�
詳細(xì)介紹該研究最近發(fā)表在了對安全和隱私的IEEE研討會并發(fā)表在會議論文集。