【课程笔记】南大软件分析课程9——污点分析

Tattoo

发布日期: 2020-07-21 14:23:35 浏览量: 82
评分:
star star star star star star star star star star_border
*转载请注明来自write-bug.com

最近在看“静态分析”技术相关的文章,看到这个系列的笔记和视频教程,感觉介绍得很好,通俗易懂,而且还比较详细,故转载分享,同时也备份保留下,方便自己今后阅读。(PS:建议大家一边看笔记,一边看视频,加深理解)
原作者:bsauce
原文链接:https://www.jianshu.com/p/f43218636968

首先非常感谢南京大学李樾谭添老师的无私分享,之前学习程序分析是看的北大熊英飞老师的ppt,但是很多地方没看懂,正如李樾老师所说的那样,熊英飞老师的授课涵盖非常广,不听课只看ppt的话,理解起来还是很有难度的。但李樾老师的视频就讲解的非常易懂,示例都是精心挑选的,所以墙裂推荐。

推送门南大课件 南大视频课程 北大课件


目录

  1. 信息流安全
  2. 保密性和完整性
  3. 显示流和隐藏信道-Explicit Flows and Covert Channels
  4. 污点分析

重点

显示流和隐藏信道,使用污点分析来检测信息流漏洞。

1.信息流安全

访问控制:关注信息访问。

信息流安全:关注信息传播。

信息流x->y表示x的值流向y。

信息等级:对不同变量进行分级,即安全等级,H-高密级,L-低密级。

安全策略:非干涉策略,高密级变量H的信息不能影响(流向)低密级变量L。

2.保密性和完整性

保密性—信息泄露,读保护;完整性—信息篡改,写保护。

完整性错误类型:命令注入、SQL注入、XSS攻击、… 。都属于注入错误。

完整性更宽泛的定义:准确性、完整性、一致性。准确性表示关键数据不被不可信数据破坏;完整性表示系统存储了所有的数据;一致性表示发送的数据和接收的数据是一致的。

3.显示流和隐藏信道-Explicit Flows and Covert Channels

显示流:直接的数值传递。由于显示流能泄露更多信息,所以本课程关注显示流的信息泄露。

隐式信息流—侧信道:程序可能会以一些意想不到的方式泄露数据。

  1. // Eg1 隐式流
  2. if (secret_H < 0)
  3. public_L = 1;
  4. else Public_L = 0;
  5. // Eg2 终止信道
  6. while(secret_H < 0) { ... };
  7. // Eg3 时间信道
  8. if (secret_H < 0)
  9. for (int i = 0; i< 1000000; ++i) { ... };
  10. // Eg4 异常
  11. if (secret_H < 0)
  12. throw new Exception("...");
  13. // Eg5 如果访问数组越界,则可以推断secret可以为负数
  14. int sa_H[] = getSecretArray();
  15. sa_H[secret_H] = 0;

covert channels:信道指的是传递信息的机制,原本目的不是为了传递信息的信道。

4.污点分析

说明:使用最广的信息流分析技术,需将程序数据分为两类,把感兴趣的数据标记为污点数据。

(1)概念

Sources & SinkSources是污点数据的源,一般是有些函数的返回值,如read()Sink是特定的程序点,某些敏感函数。

保密性:Source是秘密数据,sink是泄露点,信息泄露漏洞。

  1. x = getPassword(); // source
  2. y = x;
  3. log(y); // sink

完整性:Source是不可信数据,Sink是关键计算,注入漏洞。

  1. x = readInput(); // source
  2. cmd = "..." + x;
  3. execute(cmd); // sink

(2)污点分析

定义:关注的是,污点数据是否能流向sink点。或者说,sink点处的指针指向哪些污点数据。

TA/PTA对比:污点分析与指针分析,一个是污点数据的流向,一个是抽象对象的流向。可把污点数据看作是对象,source看作allocation-site,借助指针分析来实现污点分析。

标记tit_i表示调用点i返回的污点数据,指针集就包含普通对象 + 污点数据。

输入:source(返回污点数据的函数),sink(违反安全规则的函数)

输出:TaintFlows—<tit_i, m>,表示tit_i这个污点数据会流向m函数,污点数据和sink函数这个pair的集合就是TaintFlows

规则:主要规则不变,关键是SourcesSink调用的处理。

  • Sources:对于产生污点源的函数调用m,将返回值标记为污点值tlt_l,并更新接收变量r的指向。

  • Sink:对于Sink函数调用m,若所传参数的指向集包含污点tjt_j,则将<tj,m><t_j, m>加入TaintFlows

示例:第3行产生新对象o11o_{11}的同时,产生的污点数据t3t_3;最终指针分析发现,t3t_3会流向sink函数log()

问答:

实现分析器用到:分析Java用Soot/WALA;分析C++用LLVM;有的用Datalog实现分析器(如DOOP分析框架)。

隐藏信道的论文:Implicit Flows: Can’t Live With ‘Em, Can’t Live Without ‘Em

LLVM指针分析工具:SVF

上传的附件

发送私信

人生最好的三个词:久别重逢,失而复得,虚惊一场

93
文章数
34
评论数
最近文章
eject