JP2010176167A - 最小権限違反検出プログラム - Google Patents
最小権限違反検出プログラム Download PDFInfo
- Publication number
- JP2010176167A JP2010176167A JP2009015018A JP2009015018A JP2010176167A JP 2010176167 A JP2010176167 A JP 2010176167A JP 2009015018 A JP2009015018 A JP 2009015018A JP 2009015018 A JP2009015018 A JP 2009015018A JP 2010176167 A JP2010176167 A JP 2010176167A
- Authority
- JP
- Japan
- Prior art keywords
- api
- access
- data
- assumed
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007689 inspection Methods 0.000 claims description 69
- 238000013500 data storage Methods 0.000 claims description 62
- 238000000034 method Methods 0.000 abstract description 51
- 238000012545 processing Methods 0.000 description 54
- 238000005070 sampling Methods 0.000 description 49
- 239000008186 active pharmaceutical agent Substances 0.000 description 11
- 238000001514 detection method Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 5
- 239000011800 void material Substances 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000000547 structure data Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】権限要求APIの呼出とオブジェクトに対する実際のアクセスAPI(実アクセスAPIと呼ぶ)の呼出とをトレースする。そして、権限要求APIのトレースログから想定されるアクセスAPI(想定アクセスAPI)の呼出を導出して、実アクセスAPIの呼出と対応付けられるかを確認する。想定アクセスAPIについて実アクセスAPIとが適切に対応付けられない場合には、最小権限違反と判断する。
【選択図】図2
Description
(1)プログラムの仕様上、最低限必要な権限、パーミッション/アクセス許可を有するユーザ/グループよりも高い権限、パーミッション/アクセス許可を有するユーザ/グループでプログラムが実行されている。
[例1]目的のファイルへのアクセスは一般ユーザで可能であるのに,管理者「Administrator」で実行している。
[例2]シャットダウンAPI(Application Program Interface)を呼ぶことはないのに、特別権限SE_SHUTDOWN_NAME(シャットダウン権限)を有するユーザ/グループで実行している。
(2)プログラムの仕様上、最低限必要な一般権限/特権以上の権限/特権を要求している。
[例1]ファイルを参照するAPIを呼んでいるだけなのに、API OpenFile()で書き込み権を要求している。
[例2]ファイルのバックアップを行っていないのに、API AdjustTokenPrivileges()でSE_BACKUP_NAME(バックアップ権限)を要求している。
(3)不正なパーミッション/アクセス許可を持つオブジェクトを生成する。
[例]誤ってNULL DACL(アクセス許可未設定、すなわちeveryoneフルコントールが設定されているのと同等)のオブジェクトを生成している。
図1に、検査対象プログラムがオブジェクトの1つであるファイルA(FileA)にアクセスする際の処理内容を示す。
図2に、本実施の形態に係るシステム概要を示す。オペレーティングシステム(OS)200は、従来のものと同じであって、各種プログラムからのAPI呼出に対して処理を行うAPI群210と、ファイル、ディレクトリ、パイプ、プロセス/スレッド、アクセストークン、レジストリ、サービス、プリンタ、イベント、セマフォ、ミューテックス、タイマ、ジョブなどのオブジェクト群220と、オブジェクト群220についてのパーミッションの設定データであるオブジェクト群パーミッション231と、プログラムを実行させているユーザ/グループの情報であるユーザ/グループ情報233と、ユーザ/グループに設定されている特別権限情報232とを含む。検査対象プログラム300は、OS200のAPI群210に対して必要なAPI呼出を行って、その結果を受け取るようになっている。
検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成ステップと、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、当該想定アクセスAPIのデータに対応付けて前記実アクセスAPIのデータを前記想定アクセスAPIトレースログ格納部に格納する実アクセスAPI探索ステップと、
前記想定アクセスAPIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない想定アクセスAPIを探索して、検出された想定アクセスAPIに前記想定アクセスAPIデータ格納部において対応付けられている権限要求APIのデータを、最小権限違反データ格納部に格納する最小権限違反検出ステップと、
を、コンピュータに実行させるためのプログラム。
前記実アクセスAPI探索ステップが、
前記所定の条件を満たす前記想定アクセスAPIが抽出された場合には、前記想定アクセスAPIデータ格納部において当該想定アクセスAPIに対応付けられている前記権限要求APIに対応付けて、該当する前記実アクセスAPIのデータを、前記権限要求APIトレースログ格納部に格納するステップ
を含み、
さらに、
前記権限要求APIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない権限要求APIを探索して、検出された権限要求APIのデータを、前記最小権限違反データ格納部に格納するステップ
を、前記コンピュータに実行させるための付記1記載のプログラム。
前記実アクセスAPI探索ステップが、
前記所定の条件を満たす前記想定アクセスAPIが抽出された場合には、前記実アクセスAPIと前記想定アクセスAPIとが実質的に同一であることを表す第2の所定の条件を該当する前記実アクセスAPI及び前記想定アクセスAPIが満たすか判断するステップと、
前記第2の所定の条件を満たさないと判断された前記実アクセスAPIのデータを、前記最小権限違反データ格納部に格納するステップと、
を含む付記1又は2記載のプログラム。
前記想定アクセスAPI生成ステップが、
前記権限要求APIトレースログ格納部に格納されている特定の権限要求APIのデータに含まれる特別権限グループが当該特定の権限要求APIのデータより1つ前の第2の権限要求APIのデータに含まれる特別権限グループと相違する場合に、特別権限に応じて出力されると想定される想定アクセスAPIを規定している権限アクセスルールを格納する権限アクセスルール格納部から、前記特定の権限要求APIのデータに含まれる特別権限グループに対応する想定アクセスAPIを抽出し、当該想定アクセスAPIのデータをグループ化して前記想定アクセスAPI格納部に格納するステップ
を含み、
前記最小権限違反検出ステップが、
前記想定アクセスAPIトレースログ格納部において同一グループの想定アクセスAPIについていずれも実アクセスAPIのデータが対応付けられていない場合に、当該同一グループの想定アクセスAPIに前記想定アクセスAPIデータ格納部において対応付けられている権限要求APIのデータを、最小権限違反データ格納部に格納するステップ
を含む、付記1乃至3のいずれか1つ記載のプログラム。
検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成ステップと、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、前記想定アクセスAPIデータ格納部において当該想定アクセスAPIに対応付けられている前記権限要求APIに対応付けて、該当する前記実アクセスAPIのデータを、前記権限要求APIトレースログ格納部に格納するステップと、
前記権限要求APIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない権限要求APIを探索して、検出された権限要求APIのデータを、前記最小権限違反データ格納部に格納するステップと、
を、コンピュータに実行させるためのプログラム。
検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成ステップと、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、当該想定アクセスAPIのデータに対応付けて前記実アクセスAPIのデータを前記想定アクセスAPIトレースログ格納部に格納する実アクセスAPI探索ステップと、
前記想定アクセスAPIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない想定アクセスAPIを探索して、検出された想定アクセスAPIに前記想定アクセスAPIデータ格納部において対応付けられている権限要求APIのデータを、最小権限違反データ格納部に格納する最小権限違反検出ステップと、
を含み、コンピュータに実行される最小権限違反検出方法。
検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成ステップと、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、前記想定アクセスAPIデータ格納部において当該想定アクセスAPIに対応付けられている前記権限要求APIに対応付けて、該当する前記実アクセスAPIのデータを、前記権限要求APIトレースログ格納部に格納するステップと、
前記権限要求APIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない権限要求APIを探索して、検出された権限要求APIのデータを、前記最小権限違反データ格納部に格納するステップ
を含み、コンピュータに実行される最小権限違反検出方法。
検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成手段と、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、当該想定アクセスAPIのデータに対応付けて前記実アクセスAPIのデータを前記想定アクセスAPIトレースログ格納部に格納する実アクセスAPI探索手段と、
前記想定アクセスAPIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない想定アクセスAPIを探索して、検出された想定アクセスAPIに前記想定アクセスAPIデータ格納部において対応付けられている権限要求APIのデータを、最小権限違反データ格納部に格納する最小権限違反検出手段と、
を有する最小権限違反検出装置。
検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成手段と、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、前記想定アクセスAPIデータ格納部において当該想定アクセスAPIに対応付けられている前記権限要求APIに対応付けて、該当する前記実アクセスAPIのデータを、前記権限要求APIトレースログ格納部に格納する手段と、
前記権限要求APIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない権限要求APIを探索して、検出された権限要求APIのデータを、前記最小権限違反データ格納部に格納する手段と、
を有する最小権限違反検出装置。
131 権限要求APIサンプリングルール格納部
132 アクセス実行APIサンプリングルール格納部
133 権限要求APIトレースログ格納部
134 実アクセスAPIトレースログ格納部
135 オブジェクトアクセスルール格納部
136 権限アクセスルール格納部
137 想定アクセスAPIリスト格納部
138 判定結果格納部
Claims (5)
- 検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成ステップと、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、当該想定アクセスAPIのデータに対応付けて前記実アクセスAPIのデータを前記想定アクセスAPIトレースログ格納部に格納する実アクセスAPI探索ステップと、
前記想定アクセスAPIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない想定アクセスAPIを探索して、検出された想定アクセスAPIに前記想定アクセスAPIデータ格納部において対応付けられている権限要求APIのデータを、最小権限違反データ格納部に格納する最小権限違反検出ステップと、
を、コンピュータに実行させるためのプログラム。 - 前記実アクセスAPI探索ステップが、
前記所定の条件を満たす前記想定アクセスAPIが抽出された場合には、前記想定アクセスAPIデータ格納部において当該想定アクセスAPIに対応付けられている前記権限要求APIに対応付けて、該当する前記実アクセスAPIのデータを、前記権限要求APIトレースログ格納部に格納するステップ
を含み、
さらに、
前記権限要求APIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない権限要求APIを探索して、検出された権限要求APIのデータを、前記最小権限違反データ格納部に格納するステップ
を、前記コンピュータに実行させるための請求項1記載のプログラム。 - 前記実アクセスAPI探索ステップが、
前記所定の条件を満たす前記想定アクセスAPIが抽出された場合には、前記実アクセスAPIと前記想定アクセスAPIとが実質的に同一であることを表す第2の所定の条件を該当する前記実アクセスAPI及び前記想定アクセスAPIが満たすか判断するステップと、
前記第2の所定の条件を満たさないと判断された前記実アクセスAPIのデータを、前記最小権限違反データ格納部に格納するステップと、
を含む請求項1又は2記載のプログラム。 - 前記想定アクセスAPI生成ステップが、
前記権限要求APIトレースログ格納部に格納されている特定の権限要求APIのデータに含まれる特別権限グループが当該特定の権限要求APIのデータより1つ前の第2の権限要求APIのデータに含まれる特別権限グループと相違する場合に、特別権限に応じて出力されると想定される想定アクセスAPIを規定している権限アクセスルールを格納する権限アクセスルール格納部から、前記特定の権限要求APIのデータに含まれる特別権限グループに対応する想定アクセスAPIを抽出し、当該想定アクセスAPIのデータをグループ化して前記想定アクセスAPI格納部に格納するステップ
を含み、
前記最小権限違反検出ステップが、
前記想定アクセスAPIトレースログ格納部において同一グループの想定アクセスAPIについていずれも実アクセスAPIのデータが対応付けられていない場合に、当該同一グループの想定アクセスAPIに前記想定アクセスAPIデータ格納部において対応付けられている権限要求APIのデータを、最小権限違反データ格納部に格納するステップ
を含む、請求項1乃至3のいずれか1つ記載のプログラム。 - 検査対象プログラムから出力された権限要求APIのデータを格納する権限要求APIトレースログ格納部に格納されている各権限要求APIについて、権限要求APIが出力された後に前記検査対象プログラムから出力されることが想定されている想定アクセスAPIを前記権限要求API毎に規定しているオブジェクトアクセスルールを格納するオブジェクトアクセスルール格納部から該当する想定アクセスAPIを読み出し、当該想定アクセスAPIのデータを前記権限要求APIに対応付けて想定アクセスAPIデータ格納部に格納する想定アクセスAPI生成ステップと、
前記検査対象プログラムから出力された実アクセスAPIのデータを格納する実アクセスAPIトレースログ格納部に格納されている各実アクセスAPIについて、前記想定アクセスAPIデータ格納部において、前記権限要求APIトレースログ格納部に格納されている前記権限要求APIに対応して出力されたとみなすための所定の条件を満たす想定アクセスAPIを探索し、前記所定の条件を満たす前記想定アクセスAPIが検出された場合には、前記想定アクセスAPIデータ格納部において当該想定アクセスAPIに対応付けられている前記権限要求APIに対応付けて、該当する前記実アクセスAPIのデータを、前記権限要求APIトレースログ格納部に格納するステップと、
前記権限要求APIトレースログ格納部において前記実アクセスAPIのデータが対応付けられていない権限要求APIを探索して、検出された権限要求APIのデータを、前記最小権限違反データ格納部に格納するステップと、
を、コンピュータに実行させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009015018A JP5228943B2 (ja) | 2009-01-27 | 2009-01-27 | 最小権限違反検出プログラム |
US12/694,177 US8677501B2 (en) | 2009-01-27 | 2010-01-26 | Privilege violation detecting program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009015018A JP5228943B2 (ja) | 2009-01-27 | 2009-01-27 | 最小権限違反検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010176167A true JP2010176167A (ja) | 2010-08-12 |
JP5228943B2 JP5228943B2 (ja) | 2013-07-03 |
Family
ID=42355266
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009015018A Expired - Fee Related JP5228943B2 (ja) | 2009-01-27 | 2009-01-27 | 最小権限違反検出プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8677501B2 (ja) |
JP (1) | JP5228943B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013196310A (ja) * | 2012-03-19 | 2013-09-30 | Kddi Corp | アプリケーション解析装置、アプリケーション解析システム、およびプログラム |
WO2019026172A1 (ja) | 2017-08-01 | 2019-02-07 | 三菱電機株式会社 | セキュリティ診断装置およびセキュリティ診断方法 |
JP2021060702A (ja) * | 2019-10-04 | 2021-04-15 | 株式会社日立製作所 | 最小権限特定装置、及び最小権限特定方法 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103593238A (zh) * | 2012-08-16 | 2014-02-19 | 腾讯科技(深圳)有限公司 | 控制应用程序编程接口调用的方法及装置 |
EP2929480A4 (en) * | 2012-12-06 | 2016-10-26 | Thomson Licensing | PRIVACY POLICY FOR SOCIAL NETWORKS |
US9363267B2 (en) * | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US9928365B1 (en) | 2016-10-31 | 2018-03-27 | International Business Machines Corporation | Automated mechanism to obtain detailed forensic analysis of file access |
US9830469B1 (en) | 2016-10-31 | 2017-11-28 | International Business Machines Corporation | Automated mechanism to secure customer data |
US10346625B2 (en) | 2016-10-31 | 2019-07-09 | International Business Machines Corporation | Automated mechanism to analyze elevated authority usage and capability |
CN106570358A (zh) * | 2016-11-18 | 2017-04-19 | 广东欧珀移动通信有限公司 | 应用的权限设置方法和装置 |
CN106897608A (zh) * | 2017-01-19 | 2017-06-27 | 北京奇虎科技有限公司 | 一种应用程序的权限处理方法、装置和移动终端 |
US10650156B2 (en) | 2017-04-26 | 2020-05-12 | International Business Machines Corporation | Environmental security controls to prevent unauthorized access to files, programs, and objects |
CN113076258B (zh) * | 2021-04-21 | 2023-09-19 | 中国移动通信集团陕西有限公司 | 一种权限申请的方法、装置、设备及可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003186708A (ja) * | 2001-12-20 | 2003-07-04 | Fujitsu Ltd | アクセス権矛盾検出装置および解析ルール作成装置 |
WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
JP2006190050A (ja) * | 2005-01-05 | 2006-07-20 | Ntt Docomo Inc | マルチタスク実行システム及びマルチタスク実行方法 |
JP2007257426A (ja) * | 2006-03-24 | 2007-10-04 | Nomura Research Institute Ltd | 認証強度の異なるサーバに対応した連携型認証方法及びシステム |
WO2008047351A2 (en) * | 2006-10-19 | 2008-04-24 | Checkmarx Ltd. | Locating security vulnerabilities in source code |
JP2008269445A (ja) * | 2007-04-24 | 2008-11-06 | Sky Kk | 管理者の不当閲覧防止方法及び不当閲覧防止システム、並びに不当閲覧防止プログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5802291A (en) * | 1995-03-30 | 1998-09-01 | Sun Microsystems, Inc. | System and method to control and administer distributed object servers using first class distributed objects |
US20020087949A1 (en) * | 2000-03-03 | 2002-07-04 | Valery Golender | System and method for software diagnostics using a combination of visual and dynamic tracing |
CA2315449A1 (en) * | 2000-08-10 | 2002-02-10 | Ibm Canada Limited-Ibm Canada Limitee | Generation of runtime execution traces of applications and associated problem determination |
US20070198997A1 (en) * | 2003-06-17 | 2007-08-23 | Stmicroelectronics Belgium N.V. | Customer framework for embedded applications |
US7571482B2 (en) * | 2005-06-28 | 2009-08-04 | Microsoft Corporation | Automated rootkit detector |
US7774760B2 (en) * | 2005-12-23 | 2010-08-10 | Microsoft Corporation | Tracing errors in software |
JP4874670B2 (ja) | 2006-02-23 | 2012-02-15 | 株式会社エヌ・ティ・ティ・データ | ポリシー管理装置、ポリシー管理プログラムおよびポリシー管理方法 |
US7814544B1 (en) * | 2006-06-22 | 2010-10-12 | Symantec Corporation | API-profile guided unpacking |
US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
US7979850B2 (en) * | 2006-09-29 | 2011-07-12 | Sap Ag | Method and system for generating a common trace data format |
JP4882671B2 (ja) * | 2006-11-01 | 2012-02-22 | 富士通株式会社 | アクセス制御方法及びアクセス制御システム並びにプログラム |
JP4975544B2 (ja) * | 2007-07-20 | 2012-07-11 | 富士通セミコンダクター株式会社 | シミュレーション装置及びプログラム |
-
2009
- 2009-01-27 JP JP2009015018A patent/JP5228943B2/ja not_active Expired - Fee Related
-
2010
- 2010-01-26 US US12/694,177 patent/US8677501B2/en not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003186708A (ja) * | 2001-12-20 | 2003-07-04 | Fujitsu Ltd | アクセス権矛盾検出装置および解析ルール作成装置 |
WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
JP2006190050A (ja) * | 2005-01-05 | 2006-07-20 | Ntt Docomo Inc | マルチタスク実行システム及びマルチタスク実行方法 |
JP2007257426A (ja) * | 2006-03-24 | 2007-10-04 | Nomura Research Institute Ltd | 認証強度の異なるサーバに対応した連携型認証方法及びシステム |
WO2008047351A2 (en) * | 2006-10-19 | 2008-04-24 | Checkmarx Ltd. | Locating security vulnerabilities in source code |
JP2008269445A (ja) * | 2007-04-24 | 2008-11-06 | Sky Kk | 管理者の不当閲覧防止方法及び不当閲覧防止システム、並びに不当閲覧防止プログラム |
Non-Patent Citations (2)
Title |
---|
CSNG200900482056; 大久保 隆夫: '状態遷移に基づくアクセス制御のアプリケーション上での自動実装手法' コンピュータセキュリティシンポジウム2008 論文集 第一分冊, 20081008, 社団法人情報処理学会 * |
JPN6013006288; 大久保 隆夫: '状態遷移に基づくアクセス制御のアプリケーション上での自動実装手法' コンピュータセキュリティシンポジウム2008 論文集 第一分冊, 20081008, 社団法人情報処理学会 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013196310A (ja) * | 2012-03-19 | 2013-09-30 | Kddi Corp | アプリケーション解析装置、アプリケーション解析システム、およびプログラム |
WO2019026172A1 (ja) | 2017-08-01 | 2019-02-07 | 三菱電機株式会社 | セキュリティ診断装置およびセキュリティ診断方法 |
JP2021060702A (ja) * | 2019-10-04 | 2021-04-15 | 株式会社日立製作所 | 最小権限特定装置、及び最小権限特定方法 |
JP7261136B2 (ja) | 2019-10-04 | 2023-04-19 | 株式会社日立製作所 | 最小権限特定装置、及び最小権限特定方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5228943B2 (ja) | 2013-07-03 |
US8677501B2 (en) | 2014-03-18 |
US20100192229A1 (en) | 2010-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5228943B2 (ja) | 最小権限違反検出プログラム | |
EP3956773B1 (en) | Program execution coverage expansion by selective data capture | |
He et al. | Understanding and detecting evolution-induced compatibility issues in Android apps | |
Gallaba et al. | Use and misuse of continuous integration features: An empirical study of projects that (mis) use Travis CI | |
Yang et al. | Appintent: Analyzing sensitive data transmission in android for privacy leakage detection | |
Yu et al. | Maple: A coverage-driven testing tool for multithreaded programs | |
Bartel et al. | Static analysis for extracting permission checks of a large scale framework: The challenges and solutions for analyzing android | |
Hu et al. | Automatically verifying and reproducing event-based races in android apps | |
Biagiola et al. | Web test dependency detection | |
JP6003699B2 (ja) | テストデータ生成プログラム、方法及び装置 | |
Dong et al. | Flaky test detection in Android via event order exploration | |
CN115033894B (zh) | 一种基于知识图谱的软件组件供应链安全检测方法及装置 | |
Dong et al. | Concurrency-related flaky test detection in android apps | |
KR101228902B1 (ko) | 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템 | |
Wang et al. | Aper: evolution-aware runtime permission misuse detection for Android apps | |
JP2007109016A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム | |
CN103020415A (zh) | 游戏外挂防护方法、装置与系统 | |
Bate et al. | Use of modern processors in safety-critical applications | |
Harzevili et al. | Automatic Static Vulnerability Detection for Machine Learning Libraries: Are We There Yet? | |
Mahmud et al. | Acid: an api compatibility issue detector for android apps | |
Hermann et al. | Getting to know you: Towards a capability model for java | |
US11354081B2 (en) | Information processing apparatus with concealed information | |
JP4322763B2 (ja) | 文書ファイルコピー移動監視システム、方法及びプログラム | |
CN115391793B (zh) | 一种基于FlowDroid工具的实时漏洞检测系统、方法与存储介质 | |
JP5279657B2 (ja) | プログラム検査装置及び該装置としてコンピュータを動作させるプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111006 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130131 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130219 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130304 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160329 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |