وارسی امنیتی خودکار برنامه های زبان C به کمک حاشی هگذاری

زهرا زیلوچی; بهروز تر کلادانی

وارسی امنیتی خودکار برنامه های زبان C به کمک حاشی هگذاری

محل انتشار: هفتمین کنفرانس بین المللی فناوری اطلاعات و دانش

سال انتشار: 1394

نوع سند: مقاله کنفرانسی

زبان: فارسی

مشاهده: 617

فایل این مقاله در 6 صفحه با فرمت PDF قابل دریافت می باشد

دریافت فایل کامل مقاله

صدور گواهی نمایه سازی
من نویسنده این مقاله هستم

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:

https://civilica.com/doc/388709

شناسه ملی سند علمی:

ICIKT07_067

تاریخ نمایه سازی: 22 مهر 1394

چکیده مقاله:

توجه به امنیت در تمام مراحل توسعه نرم افزار لازم است اما از آن جایی که معمولاً تا مرحله پیاده سازی بسیاری از جزئیات نادیده گرفته می شوند، تشخیص و رفع آسیب پذیری های موجود در پیاده سازی نرم افزار روشی تکمیل کننده برای تضمین امنیت نرم افزار می باشد. در صورت در دسترس بودن کد منبع، تحلیل ایستا بهترین روش برای کشف اشکالات نرم افزار محسوب می شود. از میان تکنیک های ایستا، تکنیک حاشیه گذاری امکان اضافه کردن ساختارها و دستورات اضافه به کد و در نتیجه معنا بخشیدن به آن را فراهم می کند. از این رو به نظر می رسد که این روش بتواند به صورت کارآمدتری آسیب پذیری های امنیتی را بیابد. در این مقاله روشی برای تشخیص آسیب پذیری های موجود در نحوه استفاده از توابع کتابخانه ای زبان C با کمک حاشیه گذاری ارائه شده است. روش پیشنهادی با در نظر گرفتن تعدادی قید امنیتی برای توابع و بررسی این قیود به کمک حاشیه ها، وارسی را انجام می دهد. روش ارائه شده با کمک ابزار حاشیه گذاری VCC پیاده سازی شده است. نتایج حاصل از به کارگیری ابزار فراهم شده به روی مجموعه آزمون Fortify برای کشف مجموع های از آسیب پذیری های امنیتی نشان دهنده قابلیت بالای روش پیشنهادی است. نتایج حاصل از تحلیل با نتایج ابزار تحلیل ایستای Flawfinder که یکی از ابزارهای قوی ارائه شده در سالهای اخیر است، مقایسه شده و بهبود نسبی روش در مقایسه با ابزار مذکور را نشان می دهد.

کلیدواژه ها:

وارسی کد ، تحلیل ایستای کد ، حاشیه گذاری ، VCC

نویسندگان

زهرا زیلوچی

دانشجوی کارشناسی ارشد، دانشکده مهندسی کامپیوتر، دانشگاه اصفهان

بهروز تر کلادانی

عضو هیئت علمی دانشیار، دانشکده مهندسی کامپیوتر، دانشگاه اصفهان

مراجع و منابع این مقاله:

لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :

k. Lhee and S J. Chapin, "Buffer Overflow And FormatString ...
D. A. Wheeler, "Flawfinder, " 2011, ...
J. Viega, J. Bloch, Y. Kohno, and G. Mcgraw, "ITS4: ...
A. Sotirov, "Automatic Vulnerability Detection Using Static Source Code Analysis", ...
M. Leino, G. Nelson and J. B. Saxe, "ESC/Java User's ...
J. Smans, B. Jacobs, and F. Piessens, "Static Verification ...
Conference on .NET, pp. 1-12 , 2005 ...
Microsoft Research, " HAVOC: Heap-Aware Verifier for C Programs, " ...
Microsoft research, "The VCCC Manual", 2012, Https://vcc. codeplex.com/ [Online]. ...
Cohen, M. Moskal, W. Schulte and S. Tobies, "A Verification ...
Concurrent Programs, " T Research, 2009. ...
M. Dahlweid, M. Moskal, T. Santen, S. Tobies and W ...
National Institute of Standards and Technology (NIST), "Software Assurance Metrics ...
T. Newsham, and B. Chess, "ABM: A Prototype For Benchmarking ...

نمایش کامل مراجع