“Remoção Automática de Vulnerabilidades usando Análise Estática de Código Direcionada”
From Navigators
Paulo Antunes, Ibéria Medeiros, Nuno Ferreira Neves
in Proceedings of the 10th Simpósio de Informática (INForum 2018), Coimbra, Portugal, Sept. 2018.
Abstract: As aplicações web são uma presença assídua no nosso quotidiano, sendo usadas na concretização de uma variedade de serviços e empregues nos mais diversos contextos. No entanto, a correção destas aplicações pode ser comprometida pela existência de vulnerabilidades no seu código, incorrendo em consequências nefastas, nomeadamente o roubo de dados privados e a adulteração de informação. Este artigo apresenta uma solução para a deteção e remoção automática de vulnerabilidades nas aplicações web. Através da monitorização das interações com a aplicação, com ferramentas tradicionais para a descoberta de ataques, são identificados os inputs maliciosos fornecidos pelo atacante. Estes inputs são explorados para direcionar a análise estática, permitindo comprovar eventuais problemas e corrigir os erros no programa. A solução foi concretizada na ferramenta WArLoCk e validada com um conjunto de aplicações vulneráveis. Os resultados experimentais demonstraram a deteção e correção de vulnerabilidades de injeção de SQL e XSS.
Export citation
Project(s): Project:SEAL
Research line(s): Fault and Intrusion Tolerance in Open Distributed Systems (FIT)