摘要
脅迫產生(Exploit Generation)過去都被視為一種無法自動化的過程,需具備純熟安全技能的人力介入。但近年來符號執行技術(Symbolic Execution)的快速發展,完全自動化的脅迫產生(Automatic Exploit Generation, 以下簡稱 AEG)已經可行。首先,我們將介紹目前僅有的三個組織(英國劍橋大學、美國卡內基美隆大學、與國立交通大學)的研發成果,並進行效能與定性的現況分析。最後,我們將針對AEG技術的未來發展,提出軟體系統與程式安全的思維改變。因為AEG可自動將程式的可靠性錯誤(Software Reliability),轉化為安全性弱點(Software Vulnerability),軟體安全與軟體品質的界線將趨於模糊,進而提出軟體錯誤即軟體安全缺陷(Bug as Vulnerability, BaV),軟體錯誤即隱含軟體後門(Bug as Backdoor, BaB)的思考方向。
並列摘要
參考文獻
“!exploitable crash analyzer,” http://msecdbg.codeplex.com/.
Avgerinos, T.,Cha, S. K.,Hao, B. L. T.,Brumley, D.(2011).AEG: Automatic Exploit Generation.Proceedings of the Network and Distributed System Security Symposium (NDSS'11).(Proceedings of the Network and Distributed System Security Symposium (NDSS'11)).:
Bellard, F.(2005).QEMU, a fast and portable dynamic translator.Proceedings of the FREENIX Track: 2005 USENIX Annual Technical Conference.(Proceedings of the FREENIX Track: 2005 USENIX Annual Technical Conference).:
Brumley, D.,Poosankam, P.,Song, D. X.,Zheng, J.(2008).Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications.Proceedings of the 2008 IEEE Symposium on Security and Privacy (S&P 2008).(Proceedings of the 2008 IEEE Symposium on Security and Privacy (S&P 2008)).:
Cadar, C.,Dunbar, D.,Engler, D. R.(2008).KLEE: Unassisted and Automatic Generation of High-Coverage Tests for Complex Systems Programs.Proceedings of the 8th USENIX Symposium on Operating Systems Design and Implementation (OSDI'08).(Proceedings of the 8th USENIX Symposium on Operating Systems Design and Implementation (OSDI'08)).:
被引用紀錄
陳泓文(2015)。結合滲透測試框架之攻擊脅迫強化系統〔碩士論文,國立交通大學〕。華藝線上圖書館。https://doi.org/10.6842/NCTU.2015.00212
Hsiang, C. (2014). 具目標認知符號執行模糊測試框架 [master's thesis, National Chiao Tung University]. Airiti Library. https://doi.org/10.6842/NCTU.2014.00143
延伸閱讀
- 譚子文、廖世義(2009)。犯罪類型對危機感受及衝擊程度影響之研究。商略學報,1(1),57-73。https://www.airitilibrary.com/Article/Detail?DocID=20732147-200912-201004060099-201004060099-57-73
- Lin, H. F., & Liu, S. (2006). 情境干擾效應在動作學習領域之生態效度:一個統合分析. 臺灣運動心理學報, (9), 61-83. https://doi.org/10.6497/BSEPT.20061101_(9).0004
- 陳嘉玫、林哲銘、歐雅惠、賴谷鑫(2015)。以汙染傳遞為基礎之行動軟體威脅行為偵測。電子商務學報,17(3),375-392。https://doi.org/10.6188/JEB.2015.17(3).04
- 曾梓豪(2021)。進階持續性威脅之偵測與攻擊情境重建〔碩士論文,國立臺灣大學〕。華藝線上圖書館。https://doi.org/10.6342/NTU202104097
- 吳正旺(2009)。現代組織行爲承受的衝擊、病象與導正措施之研究。萬能商學學報,(14),151-170。https://doi.org/10.29678/VCJ.200907.0011