JPWO2006087780A1 - 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 - Google Patents
脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 Download PDFInfo
- Publication number
- JPWO2006087780A1 JPWO2006087780A1 JP2007503520A JP2007503520A JPWO2006087780A1 JP WO2006087780 A1 JPWO2006087780 A1 JP WO2006087780A1 JP 2007503520 A JP2007503520 A JP 2007503520A JP 2007503520 A JP2007503520 A JP 2007503520A JP WO2006087780 A1 JPWO2006087780 A1 JP WO2006087780A1
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- variable
- program
- input
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44589—Program code verification, e.g. Java bytecode verification, proof-carrying code
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
Description
Claims (16)
- 被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより検出された脆弱性について警告メッセージを出力する警告出力ステップと、
をコンピュータに実行させることを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記判定ルールは、ライブラリ関数における脆弱な引数の定義を含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記変数管理ステップにより管理される変数は、前記値が外部から入力される変数と、前記値が外部から入力される変数が関数等で処理された結果の変数を含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記変数に関する情報は、値が外部から入力されるものであるか否かの情報、外部から入力された値について脆弱性のチェックを行ったか否かの情報を含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記警告メッセージは、前記値が外部から入力される変数の位置、使用されたライブラリ関数と引数、使用されたライブラリ関数の位置、検出された脆弱性の説明、前記被監査プログラムの修正方法のいずれかを含むことを特徴とする脆弱性監査プログラム。 - 請求項1に記載の脆弱性監査プログラムにおいて、
前記被監査プログラムは、ソースコードまたは中間言語ファイルであることを特徴とする脆弱性監査プログラム。 - 被監査プログラムの脆弱性を検出する脆弱性監査方法をコンピュータに実行させる脆弱性監査プログラムであって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより判定された脆弱性について前記被監査プログラムの修正を行う修正出力ステップと、
をコンピュータに実行させる脆弱性監査プログラム。 - 被監査プログラムの脆弱性を検出する脆弱性監査装置であって、
脆弱性に関する判定ルールを管理する判定ルール管理部と、
前記被監査プログラムを読み込むプログラム入力部と、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡部と、
前記変数に関する情報を管理する変数管理部と、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定部と、
前記脆弱性判定部により判定された脆弱性について警告メッセージを出力する警告出力部と、
を備えてなる脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記判定ルールは、ライブラリ関数における脆弱な引数の定義を含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記変数管理部により管理される変数は、前記値が外部から入力される変数と、前記値が外部から入力される変数が関数等で処理された結果の変数を含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記変数に関する情報は、値が外部から入力されるものであるか否かの情報、外部から入力された値について脆弱性のチェックを行ったか否かの情報を含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記警告メッセージは、前記値が外部から入力される変数の位置、使用されたライブラリ関数と引数、使用されたライブラリ関数の位置、検出された脆弱性の説明、前記被監査プログラムの修正方法のいずれかを含むことを特徴とする脆弱性監査装置。 - 請求項8に記載の脆弱性監査装置において、
前記被監査プログラムは、ソースコードまたは中間言語ファイルであることを特徴とする脆弱性監査装置。 - 被監査プログラムの脆弱性を検出する脆弱性監査装置であって、
脆弱性に関する判定ルールを管理する判定ルール管理部と、
前記被監査プログラムを読み込むプログラム入力部と、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡部と、
前記変数に関する情報を管理する変数管理部と、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定部と、
前記脆弱性判定部により判定された脆弱性について前記被監査プログラムの修正を行う修正出力部と、
を備えてなる脆弱性監査装置。 - 被監査プログラムの脆弱性を検出する脆弱性監査方法であって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより判定された脆弱性について警告を出力する警告出力ステップと、
を実行する脆弱性監査方法。 - 被監査プログラムの脆弱性を検出する脆弱性監査方法であって、
脆弱性に関する判定ルールを管理する判定ルール管理ステップと、
前記被監査プログラムを読み込むプログラム入力ステップと、
値が外部から入力される変数について、前記被監査プログラムの処理フローの追跡を行い、該追跡により変数に関する情報を取得する処理フロー追跡ステップと、
前記変数に関する情報を管理する変数管理ステップと、
前記判定ルールと前記変数に関する情報を用いて脆弱性の判定を行う脆弱性判定ステップと、
前記脆弱性判定ステップにより判定された脆弱性について前記被監査プログラムの修正を行う修正出力ステップと、
を実行する脆弱性監査方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2005/002422 WO2006087780A1 (ja) | 2005-02-17 | 2005-02-17 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011048514A Division JP5077455B2 (ja) | 2011-03-07 | 2011-03-07 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPWO2006087780A1 true JPWO2006087780A1 (ja) | 2008-07-03 |
Family
ID=36916196
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007503520A Pending JPWO2006087780A1 (ja) | 2005-02-17 | 2005-02-17 | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20070271617A1 (ja) |
JP (1) | JPWO2006087780A1 (ja) |
WO (1) | WO2006087780A1 (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7665119B2 (en) | 2004-09-03 | 2010-02-16 | Secure Elements, Inc. | Policy-based selection of remediation |
US7757282B2 (en) * | 2005-05-20 | 2010-07-13 | Microsoft Corporation | System and method for distinguishing safe and potentially unsafe data during runtime processing |
JP4693044B2 (ja) * | 2005-08-18 | 2011-06-01 | 株式会社日立ソリューションズ | ソースコード脆弱性検査装置 |
US8510827B1 (en) * | 2006-05-18 | 2013-08-13 | Vmware, Inc. | Taint tracking mechanism for computer security |
US7991902B2 (en) * | 2006-12-08 | 2011-08-02 | Microsoft Corporation | Reputation-based authorization decisions |
JP5176478B2 (ja) * | 2007-10-22 | 2013-04-03 | 富士通株式会社 | データフロー解析装置、データフロー解析方法およびデータフロー解析プログラム |
US8429633B2 (en) * | 2008-11-21 | 2013-04-23 | International Business Machines Corporation | Managing memory to support large-scale interprocedural static analysis for security problems |
US8387017B2 (en) * | 2009-09-03 | 2013-02-26 | International Business Machines Corporation | Black box testing optimization using information from white box testing |
US8819637B2 (en) | 2010-06-03 | 2014-08-26 | International Business Machines Corporation | Fixing security vulnerability in a source code |
US8914890B2 (en) * | 2011-01-31 | 2014-12-16 | International Business Machines Corporation | Determining the vulnerability of computer software applications to privilege-escalation attacks |
US20150207811A1 (en) * | 2012-07-31 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Vulnerability vector information analysis |
US20150213272A1 (en) * | 2012-07-31 | 2015-07-30 | Hewlett-Packard Developement Company, L.P. | Conjoint vulnerability identifiers |
CN104508672B (zh) * | 2012-08-01 | 2017-05-17 | 三菱电机株式会社 | 程序执行装置以及程序分析装置 |
US10169032B2 (en) * | 2014-10-16 | 2019-01-01 | International Business Machines Corporation | Parallel development of diverged source streams |
US11895138B1 (en) * | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
US10691808B2 (en) * | 2015-12-10 | 2020-06-23 | Sap Se | Vulnerability analysis of software components |
CN106940772B (zh) * | 2016-01-05 | 2020-09-18 | 阿里巴巴集团控股有限公司 | 变量对象的跟踪方法及装置 |
JP7068752B2 (ja) * | 2018-03-22 | 2022-05-17 | 三菱電機株式会社 | ソースコード解析装置およびソースコード解析プログラム |
US11042634B2 (en) * | 2018-12-21 | 2021-06-22 | Fujitsu Limited | Determining information leakage of computer-readable programs |
CN110399725A (zh) * | 2019-06-18 | 2019-11-01 | 深圳壹账通智能科技有限公司 | 漏洞处理方法及装置、电子设备和计算机可读存储介质 |
JP7008879B2 (ja) * | 2019-06-26 | 2022-01-25 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
JP2021086399A (ja) * | 2019-11-28 | 2021-06-03 | 富士通株式会社 | プログラムエラー統合プログラム及び情報処理装置 |
EP3933632B1 (en) | 2020-07-02 | 2023-08-16 | Mitsubishi Electric R&D Centre Europe B.V. | Verifying a correct implementation of a confidentiality and integrity policy by a software |
CN113010899B (zh) * | 2021-04-16 | 2022-06-07 | 上海交通大学 | 一种php反序列化漏洞利用链检测方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004095176A2 (en) * | 2003-04-18 | 2004-11-04 | Ounce Labs, Inc. | Detecting vulnerabilities in source code |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6978441B2 (en) * | 2001-10-03 | 2005-12-20 | Sun Microsystems, Inc. | Rating apparatus and method for evaluating bugs |
US7392545B1 (en) * | 2002-01-18 | 2008-06-24 | Cigital, Inc. | Systems and methods for detecting software security vulnerabilities |
WO2005029241A2 (en) * | 2003-09-15 | 2005-03-31 | Plum Thomas S | Automated safe secure techniques for eliminating |
US7624304B2 (en) * | 2004-10-07 | 2009-11-24 | Microsoft Corporation | Defect detection for integers |
-
2005
- 2005-02-17 WO PCT/JP2005/002422 patent/WO2006087780A1/ja not_active Application Discontinuation
- 2005-02-17 JP JP2007503520A patent/JPWO2006087780A1/ja active Pending
-
2007
- 2007-08-02 US US11/832,779 patent/US20070271617A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004095176A2 (en) * | 2003-04-18 | 2004-11-04 | Ounce Labs, Inc. | Detecting vulnerabilities in source code |
Also Published As
Publication number | Publication date |
---|---|
WO2006087780A1 (ja) | 2006-08-24 |
US20070271617A1 (en) | 2007-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
US9715593B2 (en) | Software vulnerabilities detection system and methods | |
Yang et al. | Appspear: Bytecode decrypting and dex reassembling for packed android malware | |
Wassermann et al. | Sound and precise analysis of web applications for injection vulnerabilities | |
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
US8635602B2 (en) | Verification of information-flow downgraders | |
Yu et al. | Patching vulnerabilities with sanitization synthesis | |
US8572747B2 (en) | Policy-driven detection and verification of methods such as sanitizers and validators | |
US20120216177A1 (en) | Generating Sound and Minimal Security Reports Based on Static Analysis of a Program | |
JP5863973B2 (ja) | プログラム実行装置及びプログラム解析装置 | |
Backes et al. | R-droid: Leveraging android app analysis with static slice optimization | |
US20130212682A1 (en) | Automatic discovery of system integrity exposures in system code | |
US20170169228A1 (en) | Machine-checkable code-annotations for static application security testing | |
JP5077455B2 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
US20210004470A1 (en) | Automatic Generation Of Patches For Security Violations | |
US20170344746A1 (en) | Utilizing likely invariants for runtime protection of web services | |
Kiss et al. | Combining static and dynamic analyses for vulnerability detection: illustration on heartbleed | |
Homaei et al. | Athena: A framework to automatically generate security test oracle via extracting policies from source code and intended software behaviour | |
US8875297B2 (en) | Interactive analysis of a security specification | |
US10002253B2 (en) | Execution of test inputs with applications in computer security assessment | |
Hoole et al. | Improving vulnerability detection measurement: [test suites and software security assurance] | |
CN111027073B (zh) | 漏洞检测方法、装置、设备及存储介质 | |
Hermann et al. | Getting to know you: Towards a capability model for java | |
JP7008879B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
KR20240066072A (ko) | 프로그램 정적 분석 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100820 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101112 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101207 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110307 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110310 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20110401 |