麻省理工學(xué)院的新漏洞發(fā)現(xiàn)者在Web應(yīng)用程序中發(fā)現(xiàn)的缺陷在64秒.遠(yuǎn)程控制軟件

admin

麻省理工學(xué)院的新漏洞發(fā)現(xiàn)者在Web應(yīng)用程序中發(fā)現(xiàn)的缺陷在64秒.遠(yuǎn)程控制軟件
它發(fā)現(xiàn)23個新漏洞50流行的Web應(yīng)用程序用Ruby on Rails

發(fā)現(xiàn)錯誤在Web應(yīng)用程序是一個持續(xù)的挑戰(zhàn),但是麻省理工學(xué)院的一個新工具利用一些特質(zhì)的Ruby on Rails快速發(fā)現(xiàn)新的編程框架。
在測試50流行使用Ruby on Rails Web應(yīng)用程序編寫,系統(tǒng)發(fā)現(xiàn)23之前未被診斷的安全漏洞,用了不超過64秒來分析任何給定的程序。
Ruby on Rails是區(qū)別于其他框架,因為它定義了甚至在圖書館最基本的操作。
麻省理工學(xué)院的研究人員利用這一事實通過重寫這些庫中定義的操作描述自己的行為在一個合乎邏輯的語言。
把Rails解釋器,將高層Rails程序轉(zhuǎn)換成機器可讀的代碼,到一個靜態(tài)分析工具,描述了如何通過程序數(shù)據(jù)流。
結(jié)果是通過解釋器運行Rails程序產(chǎn)生一個正式的、逐行描述了程序處理數(shù)據(jù)的方式。
被稱為空間,新的調(diào)試器關(guān)注程序的數(shù)據(jù)訪問程序使用一個簡單的邏輯模型,描述了操作用戶可以執(zhí)行哪些數(shù)據(jù)和在什么情況下。
從描述入侵庫,生成的空間可以自動確定程序遵循這些模型;如果沒有,有可能是一個安全缺陷。
研究人員將他們的結(jié)果下個月在軟件工程國際會議，灰鴿子遠(yuǎn)程控制軟件。