“Remoção Automática de Vulnerabilidades usando Análise Estática de Código Direcionada”

From Navigators

Jump to: navigation, search

Paulo Antunes, Ibéria Medeiros, Nuno Ferreira Neves

in Proceedings of the 10th Simpósio de Informática (INForum 2018), Coimbra, Portugal, Sept. 2018.

Abstract: As aplicações web são uma presença assídua no nosso quotidiano, sendo usadas na concretização de uma variedade de serviços e empregues nos mais diversos contextos. No entanto, a correção destas aplicações pode ser comprometida pela existência de vulnerabilidades no seu código, incorrendo em consequências nefastas, nomeadamente o roubo de dados privados e a adulteração de informação. Este artigo apresenta uma solução para a deteção e remoção automática de vulnerabilidades nas aplicações web. Através da monitorização das interações com a aplicação, com ferramentas tradicionais para a descoberta de ataques, são identificados os inputs maliciosos fornecidos pelo atacante. Estes inputs são explorados para direcionar a análise estática, permitindo comprovar eventuais problemas e corrigir os erros no programa. A solução foi concretizada na ferramenta WArLoCk e validada com um conjunto de aplicações vulneráveis. Os resultados experimentais demonstraram a deteção e correção de vulnerabilidades de injeção de SQL e XSS.


Export citation

BibTeX

Project(s): Project:SEAL

Research line(s): Fault and Intrusion Tolerance in Open Distributed Systems (FIT)

Personal tools
Navigators toolbox