MARC

 008240221s2023        ulk                      00        kor
■001000016934667
■00520240214101641
■006m          o    d                
■007cr#unu||||||||
■020    ▼a9798380169004
■035    ▼a(MiAaPQ)AAI30632477
■040    ▼aMiAaPQ▼cMiAaPQ
■0820  ▼a004
■1001  ▼aCassel,  Darion.▼0(orcid)0000-0002-7898-966X
■24510▼aPractical  End-to-End  Analysis  of  Information  Flow  Security  Policies▼h[electronic  resource]
■260    ▼a[S.l.]▼bCarnegie  Mellon  University.  ▼c2023
■260  1▼aAnn  Arbor▼bProQuest  Dissertations  &  Theses▼c2023
■300    ▼a1  online  resource(257  p.)
■500    ▼aSource:  Dissertations  Abstracts  International,  Volume:  85-03,  Section:  B.
■500    ▼aAdvisor:  Jia,  Limin.
■5021  ▼aThesis  (Ph.D.)--Carnegie  Mellon  University,  2023.
■506    ▼aThis  item  must  not  be  sold  to  any  third  party  vendors.
■520    ▼aC  and  JavaScript  are  widely-used  languages  for  writing  security-sensitive  software,  despite  their  inherent  security  issues.  The  widespread  deployment  of  these  languages  makes  them  attractive  targets  for  attackers;  vulnerabilities  in  C  programs  remain  common  and  recent  years  have  seen  a  surge  in  attacks  that  target  web  page  scripts  and  Node.js  packages.  Several  types  of  vulnerabilities  in  these  programs  can  be  expressed  as  violations  of  information  flow  policies  that  specify  the  confidentiality  and  integrity  of  program  data,  or  required  sequences  of  declassification  and  endorsement.  Prior  work  has  proposed  analysis  techniques  for  C  and  JavaScript  to  check  these  policies,  but  a  practical  end-to-end  analysis  pipeline,  applicable  to  real  programs,  requires  additional  solutions  that  enable  precise,  scalable  analysis  that  minimizes  manual  effort.In  this  thesis,  we  develop  a  set  of  information  flow  policy-based  modeling  and  analysis  methodologies  for  checking  security-sensitive  software,  including  C  cryptographic  libraries,  server-side  Node.js  applications,  and  website  scripts.  We  build  tools  that  help  analysts  specify  and  precisely  check  security  policies  on  their  software,  without  requiring  manually-crafted  test  drivers,  with  reduced  manual  tuning  to  ensure  analysis  tractability,  and  with  lowered  effort  for  manual  triage  and  confirmation  of  reported  potential  vulnerabilities.  We  first  develop  techniques  to  apply  information  flow  policy  checking  scalably  via  type  systems  for  C  and  via  dynamic  taint  analysis  for  JavaScript.  We  then  demonstrate  how  dynamic  taint  analysis  can  be  used  in  combination  with  dynamic  symbolic  execution  to  improve  analysis  comprehensiveness.  Finally,  we  show  how  information  flow  traces  can  be  leveraged  to  synthesize  concrete  exploits  that  can  then  be  used  to  automatically  confirm  potential  vulnerabilities  in  real  programs.
■590    ▼aSchool  code:  0041.
■650  4▼aComputer  science.
■650  4▼aComputer  engineering.
■650  4▼aElectrical  engineering.
■653    ▼aInformation  flow
■653    ▼aJavaScript
■653    ▼aProgram  analysis
■653    ▼aSymbolic  execution
■653    ▼aType  systems
■690    ▼a0984
■690    ▼a0544
■690    ▼a0464
■71020▼aCarnegie  Mellon  University▼bElectrical  and  Computer  Engineering.
■7730  ▼tDissertations  Abstracts  International▼g85-03B.
■773    ▼tDissertation  Abstract  International
■790    ▼a0041
■791    ▼aPh.D.
■792    ▼a2023
■793    ▼aEnglish
■85640▼uhttp://www.riss.kr/pdu/ddodLink.do?id=T16934667▼nKERIS▼z이  자료의  원문은  한국교육학술정보원에서  제공합니다.
■980    ▼a202402▼f2024

미리보기

내보내기

chatGPT토론

Ai 추천 관련 도서