|
麻省理工学院的新漏洞发现者在Web应用程序中发现的缺陷在64秒.远程控制软件
它发现23个新漏洞50流行的Web应用程序用Ruby on Rails
发现错误在Web应用程序是一个持续的挑战,但是麻省理工学院的一个新工具利用一些特质的Ruby on Rails快速发现新的编程框架。
在测试50流行使用Ruby on Rails Web应用程序编写,系统发现23之前未被诊断的安全漏洞,用了不超过64秒来分析任何给定的程序。
Ruby on Rails是区别于其他框架,因为它定义了甚至在图书馆最基本的操作。
麻省理工学院的研究人员利用这一事实通过重写这些库中定义的操作描述自己的行为在一个合乎逻辑的语言。
把Rails解释器,将高层Rails程序转换成机器可读的代码,到一个静态分析工具,描述了如何通过程序数据流。
结果是通过解释器运行Rails程序产生一个正式的、逐行描述了程序处理数据的方式。
被称为空间,新的调试器关注程序的数据访问程序使用一个简单的逻辑模型,描述了操作用户可以执行哪些数据和在什么情况下。
从描述入侵库,生成的空间可以自动确定程序遵循这些模型;如果没有,有可能是一个安全缺陷。
研究人员将他们的结果下个月在软件工程国际会议,灰鸽子远程控制软件。 |
|