0%

Automatic Detection of Java Cryptographic API Misuses: Are We There Yet?

论文地址:Automatic Detection of Java Cryptographic API Misuses: Are We There Yet? | IEEE Journals & Magazine | IEEE Xplore

TSE-2022-CCFA 姚丹凤老师团队

总结:围绕三个问题分析现有工具设计,实证评估6种工具的检测效果,收集反馈者意见,揭示Java加密API误用检测工具在检测能力与开发者实际需求之间的差距

阅读全文 »

恰逢清明,刷b站的时候刚好刷到了《寻梦环游记》的片段,回想起上次看的时候还是icy在课上给我们放的hhh,便又去重温了一遍。

《寻梦环游记》讲述了一个关于死亡的感人故事, 12岁的墨西哥男孩米格尔从小梦想着成为音乐家,但他的家族却因曾曾祖父为了音乐抛弃家庭而禁止音乐。在亡灵节这天,米格尔偷拿已故歌神德拉库斯的吉他,意外穿越到亡灵世界。在那里,他遇见许多已故的家人,并得知自己必须得到家人的祝福才能返回人间,否则将永远留在亡灵世界。 之后,米格尔遇到了埃克托,历经几次冲突,他发现埃克托才是自己的曾曾祖父,而德拉库斯是个窃取埃克托歌曲并毒害他的骗子。在亡灵家人的帮助下,米格尔揭露真相,让埃克托的故事被家族铭记。回到人间后,米格尔用埃克托创作的《Remember Me》唤醒了太奶奶可可的记忆,使埃克托免于被遗忘的“终极死亡”。最终,家族解除了音乐禁令,米格尔的音乐梦想与家庭传承达成和解。

阅读全文 »

Gopher精读记录

论文地址:Gopher: High-Precision and Deep-Dive Detection of Cryptographic API Misuse in the Go Ecosystem | Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security

CCS '24: Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security

总结:1.Crydict进行约束生成,支持动态更新,提高精度;2.检测器使用四个OP减少误报,使用CHA进行过程间稀疏数据流分析

阅读全文 »

Interprocedural Analysis

过程间分析简介

本小节通过四个部分介绍过程间分析。

  1. Motivation
    • 为什么 要引入过程间分析?
  2. Call Graph Construction (CHA)
    • 介绍一个过程间分析 必要的数据结构Call Graph
    • 当前有数种方法来构建Call Graph,本节介绍其中速度最快的一种(Class hierarchy analysis,简称CHA)
  3. Interprocedural Control-Flow Graph
    • 之前的章节关注CFG,引入过程间分析后,我们向CFG中添加相应的元素,得到过程间的控制流图(ICFG)
    • 讨论由于添加了新元素而需要增加的操作
  4. Interprocedural Data-Flow Analysis
    • 通过一个例子(也就是实验一中做的常量传播分析)来总结过程间分析
阅读全文 »

DFA-FD

Iterative Algorithm, Another View

给定一个有 k 个节点的 CFG,迭代算法会更新每个节点 n 的 OUT[n] 值。那么就可以考虑把这些值定义为一个 k-tuple:

则,我们的数据流分析迭代算法框架就可记为

迭代过程就被记为:

  • 此时我们发现,意味着就是的一个不动点。
阅读全文 »

DFA-AP

数据流分析总揽

数据流分析的核心:How Data Flows on CFG?

将这句话展开来,所谓数据流分析就是:

How application-specific Data (对数据的抽象:+, -, 0 等……)

Flows (根据分析的类型,做出合适的估算) through the

Nodes (数据如何 transfer, 如 + op + = +) and

Edges (控制流如何处理,例如两个控制流汇入一个BB) of

CFG (整个程序) ?

阅读全文 »