ترجمه مقاله یک اسکنر یا پویشگر آسیب پذیر استاتیک (ایستا یا پویا) برای C و کد ++C
مشخصات مقاله:
عنوان فارسی مقاله:
یک اسکنر یا پویشگر آسیب پذیر استاتیک (ایستا یا پویا) برای C و کد ++C
عنوان انگلیسی مقاله:
ITS4: A Static Vulnerability Scanner for C and C++ Code
مناسب برای رشته های دانشگاهی زیر:
مهندسی کامپیوتر
مناسب برای گرایش های دانشگاهی زیر:
امنیت اطلاعات و برنامه نویسی کامپیوتر
وضعیت مقاله انگلیسی و ترجمه:
مقاله انگلیسی را میتوانید به صورت رایگان با فرمت PDF از باکس زیر دانلود نمایید. ترجمه این مقاله با فرمت WORD – DOC آماده خریداری و دانلود آنی میباشد.
فهرست مطالب:
چکیده
1. معرفی
2. مشکلات مربوط به grep
3. چرا تحلیل دقیق تر نیست؟
3.1. استراتژی تجزیه
3.1.1. منفی های کاذب
3.1.2. تعامل
3.2. محدودیت های کنونی تجزیه و تحلیل پیشرفته استاتیک برای C و ++C
4 . این نرم افزار احمقانه است! (اسکنر امنیت)
4.1. اسکن اولیه و ارزیابی
4.2. پایگاه داده آسیب پذیر
4.3.دستورات 4 ITS
4.4.تکنیک های تجزیه و تحلیل
4.4.1. سلامت استدلال های بررسی
4.4.2 . تجزیه و تحلیل شرایط مسابقه
4.5. ادغام محیط زیست
4.6 . عملکرد
5. تجربه عملی با 4 ITS
5.1 . IPay
5.2. Jitterbug
6. مقایسه 4 ITS با راه حل های دیگر
6.1 . grep (گرپ)
6.2 . تشخیص سرریزی بافر از طریق تجزیه و تحلیل محدوده
7. کارهای مرتبط
8. نتیجه گیری
قسمتی از مقاله انگلیسی و ترجمه آن:
1. Introduction
The C and C++ programming languages and supporting libraries make it extremely easy for programmers to inadvertently introduce security vulnerabilities into their code. For example, the standard C library defines the gets routine which takes as a parameter a pointer to a character s. gets reads text from the standard input, placing the first character in the location specified by s, and subsequent data consecutively in memory. Reading continues until a newline or end of file character is reached, at which point the buffer is terminated with a null character. The programmer has no way to specify the size of the buffer passed to gets. As a result, when the buffer is n bytes an attacker trying to write n + m bytes into the buffer will always succeed if the data excludes newlines.
1. معرفی
زبان های برنامه نویسی C و C ++ و کتابخانه های پشتیبانی کننده، به طور ناخواسته ارائه و معرفی آسیبپذیری های امنیتی که به صورت کد آنها می باشند را برای برنامه نویسان آسان می کنند. به عنوان مثال، کتابخانه استاندارد C تعیین کننده روش کسب شده ایست که به عنوان یک پارامتر و یک اشاره گر به یک علامت s در نظر گرفته می شود. نوشتار را از ورودی استاندارد می گیرد (این روش کسب شده، متن را از ورودی استاندارد می خواند)، علامت اول را در محل مشخص شده توسط s قرار می دهد، و داده های بعدی نیز به طور متوالی در حافظه است. و تا زمانی که یک خط جدید یا انتهای فلیم رسیده باشد که در آن نقطه بافر (حافظه میانجی) با یک علامت خالی خاتمه می یابد، خواندن ادامه می یابد. برنامه نویسی هیچ راهی برای مشخص کردن اندازه بافری که به روش کسب شده منتقل می شود، ندارد. در نتیجه، وقتی که بافر n بایت است، مهاجم برای نوشتن n + m بایت به صورت بافر تلاش می کند، و در صورتیکه داده ها خطوط جدید را حذف کنند، همیشه موفق خواهند بود.