JP5852676B2 - 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム - Google Patents
権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム Download PDFInfo
- Publication number
- JP5852676B2 JP5852676B2 JP2013550717A JP2013550717A JP5852676B2 JP 5852676 B2 JP5852676 B2 JP 5852676B2 JP 2013550717 A JP2013550717 A JP 2013550717A JP 2013550717 A JP2013550717 A JP 2013550717A JP 5852676 B2 JP5852676 B2 JP 5852676B2
- Authority
- JP
- Japan
- Prior art keywords
- software application
- computer software
- access
- computer
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Description
Claims (11)
- プロセッサとメモリを有するコンピュータの情報処理を用いて権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法であって、
コンピュータ・ソフトウェア・アプリケーションの命令のアクセス制限領域候補を識別するステップと、
前記アクセス制限領域候補を静的に分析して、前記アクセス制限領域候補への実行フローを制御する条件付き命令の有無を判定するステップと、
静的分析を実施して、前記条件付き命令が前記コンピュータ・ソフトウェア・アプリケーション内の、ユーザの認証を実施する際にユーザ入力をアプリケーション内に取り込む命令文として定義されたデータ・ソースに依存しているかを判定するステップと、
前記条件付き命令がないか、前記データ・ソースに依存していない場合、前記アクセス制限領域候補を権限昇格攻撃に脆弱であるとして指定するステップと
を含む方法。 - 前記コンピュータ・ソフトウェア・アプリケーションの前記命令の前記アクセス制限領域候補を識別する前記ステップが、
前記アクセス制限領域候補を、前記命令のいずれかをアクセス制限命令として識別するための事前定義された基準に従って識別するステップを含む、請求項1に記載の方法。 - 前記コンピュータ・ソフトウェア・アプリケーションの前記命令の前記アクセス制限領域候補を識別する前記ステップが、
前記コンピュータ・ソフトウェア・アプリケーション内の前記アクセス制限領域候補の手動で入力された場所を受信するステップを含む、請求項1に記載の方法。 - 前記コンピュータ・ソフトウェア・アプリケーションの前記命令の前記アクセス制限領域候補を識別する前記ステップが、
前記アクセス制限領域候補を識別するための、前記コンピュータ・ソフトウェア・アプリケーションの差分ブラック・ボックス・テストを実行するステップを含む、請求項1に記載の方法。 - 前記アクセス制限領域候補を識別するための、前記コンピュータ・ソフトウェア・アプリケーションの前記差分ブラック・ボックス・テストを実行する前記ステップが、
ブラック・ボックス・テスタを制御して、前記コンピュータ・ソフトウェア・アプリケーションの制限領域へのアクセスを許可されたユーザとして、前記コンピュータ・ソフトウェア・アプリケーションとの対話をシミュレートする第1のテストを実行するステップと、
前記ブラック・ボックス・テスタを制御して、前記コンピュータ・ソフトウェア・アプリケーションの制限領域へのアクセスを許可されていないユーザとして、前記コンピュータ・ソフトウェア・アプリケーションとの対話をシミュレートする第2のテストを実行するステップと、
前記テストの両方の結果を比較して、前記許可されたユーザには露出されたが、前記許可されていないユーザには露出されなかった任意のデータ入力インタフェースを識別するステップと、
前記識別されたデータ入力インタフェースと、前記識別されたデータ入力インタフェースの根底にある前記コンピュータ・ソフトウェア・アプリケーションの命令とを相互に関連付けるステップと、
前記相互に関連付けられた命令を前記アクセス制限領域候補として指定するステップと
を含む、請求項4に記載の方法。 - 前記コンピュータ・ソフトウェア・アプリケーションの前記命令の前記アクセス制限領域候補を識別する前記ステップが、
セキュリティ上注意が必要な動作にかかわる事前定義された仕様を使用して、前記アプリケーションの命令を静的に分析するステップを含む、請求項1に記載の方法。 - 前記コンピュータ・ソフトウェア・アプリケーションの前記命令の前記アクセス制限領域候補を識別する前記ステップが、
セキュリティ上注意が必要な動作に関する分野特有の知識にかかわる事前定義された仕様を使用して、前記アプリケーションの命令を静的に分析するステップを含む、請求項1に記載の方法。 - 前記コンピュータ・ソフトウェア・アプリケーションによって露出されており、前記条件付き命令によって実行される認証テストにつながるそれぞれのデータ入力インタフェースに対し、
前記コンピュータ・ソフトウェア・アプリケーションの制限領域へのアクセスを許可されたユーザとして、前記データ入力インタフェースとの対話をシミュレートする第1のテストを実行するステップと、
前記コンピュータ・ソフトウェア・アプリケーションの制限領域へのアクセスを許可されていないユーザとして、前記データ入力インタフェースとの対話をシミュレートする第2のテストを実行するステップと、
前記第1のテストだけが成功した場合に、前記認証テストが有効な認証テストであることを判定するステップと
をさらに含む、請求項1に記載の方法。 - 前記アクセス制限領域候補が権限昇格攻撃に脆弱であるとする前記指定を、コンピュータ制御された出力デバイスを介して提示するステップをさらに含む、
請求項1に記載の方法。 - 請求項1〜9の何れか1項に記載の方法の各ステップをコンピュータに実行させる、コンピュータ・プログラム。
- 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するためのシステムであって、請求項1〜9の何れか1項に記載の方法の各ステップをコンピュータのハードウェアによる手段として構成したシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/018,342 | 2011-01-31 | ||
US13/018,342 US8914890B2 (en) | 2011-01-31 | 2011-01-31 | Determining the vulnerability of computer software applications to privilege-escalation attacks |
PCT/CA2012/050052 WO2012103646A1 (en) | 2011-01-31 | 2012-01-30 | Determining the vulnerability of computer software applications to privilege-escalation attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014507718A JP2014507718A (ja) | 2014-03-27 |
JP5852676B2 true JP5852676B2 (ja) | 2016-02-03 |
Family
ID=46578550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013550717A Expired - Fee Related JP5852676B2 (ja) | 2011-01-31 | 2012-01-30 | 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム |
Country Status (6)
Country | Link |
---|---|
US (2) | US8914890B2 (ja) |
JP (1) | JP5852676B2 (ja) |
CN (1) | CN103339635B (ja) |
DE (1) | DE112012000279T5 (ja) |
GB (1) | GB2499353B (ja) |
WO (1) | WO2012103646A1 (ja) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0700687A1 (en) | 1994-06-23 | 1996-03-13 | Ralph A. Milliken | Dual one-way valved respiratory "T" with threaded locking female luer connector |
US8893268B2 (en) * | 2011-11-15 | 2014-11-18 | Microsoft Corporation | Permission re-delegation prevention |
WO2014018029A1 (en) * | 2012-07-25 | 2014-01-30 | Hewlett-Packard Development Company, L.P. | Determining application vulnerabilities |
FI124560B (en) * | 2012-09-14 | 2014-10-15 | Codenomicon Oy | Monitoring of the operation of the communication protocol procedure |
US10521288B2 (en) * | 2012-11-07 | 2019-12-31 | International Business Machines Corporation | Collaborative application testing |
US9197660B2 (en) | 2013-03-15 | 2015-11-24 | Mcafee, Inc. | Generic privilege escalation prevention |
US20150007330A1 (en) * | 2013-06-26 | 2015-01-01 | Sap Ag | Scoring security risks of web browser extensions |
CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
WO2016048294A1 (en) * | 2014-09-24 | 2016-03-31 | Hewlett Packard Enterprise Development Lp | Infrastructure rule generation |
US10264008B2 (en) | 2015-10-08 | 2019-04-16 | Bank Of America Corporation | Vulnerability exposing application characteristic variation identification engine |
US10268824B2 (en) | 2016-03-01 | 2019-04-23 | Wipro Limited | Method and system for identifying test cases for penetration testing of an application |
US10505962B2 (en) * | 2016-08-16 | 2019-12-10 | Nec Corporation | Blackbox program privilege flow analysis with inferred program behavior context |
WO2018174990A1 (en) * | 2017-03-21 | 2018-09-27 | Mcafee, Llc | Automatic detection of software that performs unauthorized privilege escalation |
EP3663959B1 (en) * | 2018-12-06 | 2021-08-11 | Mastercard International Incorporated | An integrated circuit, method and computer program |
US10965686B1 (en) * | 2020-12-30 | 2021-03-30 | Threatmodeler Software Inc. | System and method of managing privilege escalation in cloud computing environments |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
US7975296B2 (en) * | 2002-02-07 | 2011-07-05 | Oracle International Corporation | Automated security threat testing of web pages |
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
CN1809812A (zh) * | 2003-04-18 | 2006-07-26 | 盎司实验室股份有限公司 | 用于源代码检测源代码中弱点的方法和装置 |
AU2004232058B2 (en) * | 2003-04-18 | 2010-05-27 | International Business Machines Corporation | Method and system for detecting vulnerabilities in source code |
JP4789933B2 (ja) * | 2004-06-04 | 2011-10-12 | フォーティファイ ソフトウェア, エルエルシー | セキュアーソフトウェアを開発し、テストし、監視するための装置および方法 |
US20050273859A1 (en) * | 2004-06-04 | 2005-12-08 | Brian Chess | Apparatus and method for testing secure software |
US7207065B2 (en) | 2004-06-04 | 2007-04-17 | Fortify Software, Inc. | Apparatus and method for developing secure software |
JPWO2006087780A1 (ja) * | 2005-02-17 | 2008-07-03 | 富士通株式会社 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
US8266700B2 (en) * | 2005-05-16 | 2012-09-11 | Hewlett-Packard Development Company, L. P. | Secure web application development environment |
US7779399B2 (en) | 2005-05-16 | 2010-08-17 | Armorize Technologies, Inc. | System and method for securing web application code and verifying correctness of software |
US7900193B1 (en) * | 2005-05-25 | 2011-03-01 | Parasoft Corporation | System and method for detecting defects in a computer program using data and control flow analysis |
JP5042315B2 (ja) * | 2006-10-19 | 2012-10-03 | チェックマークス リミテッド | ソースコード内のセキュリティ脆弱性の検出 |
US8266702B2 (en) * | 2006-10-31 | 2012-09-11 | Microsoft Corporation | Analyzing access control configurations |
JP4951416B2 (ja) * | 2007-06-01 | 2012-06-13 | 株式会社 日立システムアンドサービス | プログラム検証方法、プログラム検証装置 |
US20090327943A1 (en) | 2008-06-26 | 2009-12-31 | Microsoft Corporation | Identifying application program threats through structural analysis |
-
2011
- 2011-01-31 US US13/018,342 patent/US8914890B2/en not_active Expired - Fee Related
-
2012
- 2012-01-30 WO PCT/CA2012/050052 patent/WO2012103646A1/en active Application Filing
- 2012-01-30 DE DE112012000279T patent/DE112012000279T5/de not_active Ceased
- 2012-01-30 JP JP2013550717A patent/JP5852676B2/ja not_active Expired - Fee Related
- 2012-01-30 CN CN201280006387.0A patent/CN103339635B/zh not_active Expired - Fee Related
- 2012-01-30 GB GB1310455.9A patent/GB2499353B/en not_active Expired - Fee Related
- 2012-07-05 US US13/542,214 patent/US8910293B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US8910293B2 (en) | 2014-12-09 |
DE112012000279T5 (de) | 2013-10-10 |
US20120198557A1 (en) | 2012-08-02 |
WO2012103646A1 (en) | 2012-08-09 |
GB2499353A (en) | 2013-08-14 |
JP2014507718A (ja) | 2014-03-27 |
CN103339635B (zh) | 2016-08-10 |
GB2499353B (en) | 2013-10-16 |
US8914890B2 (en) | 2014-12-16 |
GB201310455D0 (en) | 2013-07-24 |
US20120272322A1 (en) | 2012-10-25 |
CN103339635A (zh) | 2013-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5852676B2 (ja) | 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム | |
US8984642B2 (en) | Detecting security vulnerabilities in web applications | |
US10915659B2 (en) | Privacy detection of a mobile application program | |
US8613080B2 (en) | Assessment and analysis of software security flaws in virtual machines | |
US10019581B2 (en) | Identifying stored security vulnerabilities in computer software applications | |
US20120110551A1 (en) | Simulating black box test results using information from white box testing | |
US9201769B2 (en) | Progressive black-box testing of computer software applications | |
US9519788B2 (en) | Identifying security vulnerabilities related to inter-process communications | |
US11416613B2 (en) | Attack detection through exposure of command abuse | |
US10827349B2 (en) | SEALANT: security for end-users of android via light-weight analysis techniques | |
Bhuiyan et al. | API vulnerabilities: Current status and dependencies | |
US20120198555A1 (en) | Testing web services that are accessible via service oriented architecture (soa) interceptors | |
Elsayed et al. | IFCaaS: information flow control as a service for cloud security | |
US10002253B2 (en) | Execution of test inputs with applications in computer security assessment | |
Kumar | Reverse Engineering and Vulnerability Analysis in Cyber Security. | |
Wang et al. | Credit karma: Understanding security implications of exposed cloud services through automated capability inference | |
US20230229787A1 (en) | Automated zero trust security validation | |
Ehichoya et al. | Evaluation of Static Analysis on Web Applications | |
Holmberg | iOS vs Android: Security of Inter-App Communication | |
AL-Aufi et al. | Security Testing of Android Applications Using Drozer | |
Sara | Test performance and security measurements in software development | |
Sharma et al. | Protection of software against various attacks: issues and challenges | |
Song et al. | A Qualitative Analysis of Privilege Escalation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140813 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150626 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151007 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151110 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5852676 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |