Program Slicing
论文地址:Program Slicing | IEEE Journals & Magazine | IEEE Xplore
TSE-1984-CCFA
总结:1.基于“切片准则
论文地址:Program Slicing | IEEE Journals & Magazine | IEEE Xplore
TSE-1984-CCFA
总结:1.基于“切片准则
TSE-2022-CCFA 姚丹凤老师团队
总结:围绕三个问题分析现有工具设计,实证评估6种工具的检测效果,收集反馈者意见,揭示Java加密API误用检测工具在检测能力与开发者实际需求之间的差距
论文地址:CRYLOGGER: Detecting Crypto Misuses Dynamically | IEEE Conference Publication | IEEE Xplore
2021 IEEE Symposium on Security and Privacy (SP) CCF-A
总结:1.Logger+Checker;2.7类加密操作的参数,26条检测规则;3.动态插桩技术,4个检测流程;4.Monkey机制实现随机UI生成;5.两个基准+CryptoGuard对比;6.针对标准库JCA、JCE,三方库支持?
ACSAC '22 CCF-B
总结:1.使用污点分析静态程序分析技术;2.设计5种污点分析规则;3.设计12种加密规则;4.说明不同API对应的source、sink、filter
论文地址:Runtime Verification of Crypto APIs: An Empirical Study | IEEE Journals & Magazine | IEEE Xplore
2023 TSE CCF-A
总结:RVsec利用CrySl转化为JavaMOP规则实现RV(运行时验证);三类方法四个工具对五个基准进行测评,详细描述了FN、FP的原因,在三类和五个分别进行展开描述(感觉重复内容有点多)
恰逢清明,刷b站的时候刚好刷到了《寻梦环游记》的片段,回想起上次看的时候还是icy在课上给我们放的hhh,便又去重温了一遍。
《寻梦环游记》讲述了一个关于死亡的感人故事, 12岁的墨西哥男孩米格尔从小梦想着成为音乐家,但他的家族却因曾曾祖父为了音乐抛弃家庭而禁止音乐。在亡灵节这天,米格尔偷拿已故歌神德拉库斯的吉他,意外穿越到亡灵世界。在那里,他遇见许多已故的家人,并得知自己必须得到家人的祝福才能返回人间,否则将永远留在亡灵世界。 之后,米格尔遇到了埃克托,历经几次冲突,他发现埃克托才是自己的曾曾祖父,而德拉库斯是个窃取埃克托歌曲并毒害他的骗子。在亡灵家人的帮助下,米格尔揭露真相,让埃克托的故事被家族铭记。回到人间后,米格尔用埃克托创作的《Remember Me》唤醒了太奶奶可可的记忆,使埃克托免于被遗忘的“终极死亡”。最终,家族解除了音乐禁令,米格尔的音乐梦想与家庭传承达成和解。
CCS '24: Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security
总结:1.Crydict进行约束生成,支持动态更新,提高精度;2.检测器使用四个OP减少误报,使用CHA进行过程间稀疏数据流分析
本小节通过四个部分介绍过程间分析。
给定一个有 k 个节点的 CFG,迭代算法会更新每个节点 n 的 OUT[n] 值。那么就可以考虑把这些值定义为一个 k-tuple:
则,我们的数据流分析迭代算法框架就可记为
迭代过程就被记为:
数据流分析的核心:How Data Flows on CFG?
将这句话展开来,所谓数据流分析就是:
How application-specific Data (对数据的抽象:+, -, 0 等……)
Flows (根据分析的类型,做出合适的估算) through the
Nodes (数据如何 transfer, 如 + op + = +) and
Edges (控制流如何处理,例如两个控制流汇入一个BB) of
CFG (整个程序) ?