توضیحات
Securely developed applications may have unidentified vulnerabilities in the underlying programming languages. Attackers can target these programming language flaws to alter applications’ behavior. This means applications are only as secure as the programming languages parsing the code.
A differential fuzzing framework was created to detect dangerous and unusual behaviors in similar software implementations. Multiple implementations of the top five interpreted programming languages were tested: JavaScript, Perl, PHP, Python, and Ruby. After fuzzing the default libraries and built-in functions, several dangerous behaviors were automatically identified.
This paper reveals the most serious vulnerabilities found in each language. It includes practical examples identifying which undocumented functions could allow OS command execution, when sensitive file contents may be partially exposed in error messages, how native code is being unexpectedly interpreted locally and remotely and when constant’s names could be used as regular strings for OS command execution.
The vulnerabilities, methodology, and fuzzer will be made open source, and the accompanying talk will include live demonstrations.
————————————————————–
ترجمه ماشینی :
برنامه های کاربردی توسعه یافته ایمن ممکن است دارای آسیب پذیری های ناشناس در زبان های برنامه نویسی اساسی باشند. مهاجمان می توانند این نقص های زبان برنامه نویسی را هدف قرار دهند تا رفتار برنامه ها را تغییر دهند. این بدان معناست که برنامهها فقط به اندازه زبانهای برنامهنویسی که کد را تجزیه میکنند، ایمن هستند. یک چارچوب فازی دیفرانسیل برای شناسایی رفتارهای خطرناک و غیرعادی در پیاده سازی نرم افزارهای مشابه ایجاد شد. چندین پیاده سازی از پنج زبان برنامه نویسی تفسیری برتر مورد آزمایش قرار گرفتند: جاوا اسکریپت، پرل، پی اچ پی، پایتون و روبی. پس از فازی کردن کتابخانه های پیش فرض و توابع داخلی، چندین رفتار خطرناک به طور خودکار شناسایی شدند. این مقاله جدی ترین آسیب پذیری های موجود در هر زبان را نشان می دهد. این شامل مثالهای عملی است که مشخص میکند کدام توابع غیرمستند میتوانند اجرای فرمان سیستمعامل را مجاز کنند، زمانی که محتوای فایل حساس ممکن است تا حدی در پیامهای خطا نمایش داده شود، چگونه کد بومی به طور غیرمنتظره به صورت محلی و از راه دور تفسیر میشود و زمانی که نامهای ثابت میتوانند بهعنوان رشتههای معمولی برای اج
tag : دانلود کتاب افشای رفتارهای قابل بهره برداری پنهان در زبان های برنامه نویسی با استفاده از فاز دیفرانسیل , Download افشای رفتارهای قابل بهره برداری پنهان در زبان های برنامه نویسی با استفاده از فاز دیفرانسیل , دانلود افشای رفتارهای قابل بهره برداری پنهان در زبان های برنامه نویسی با استفاده از فاز دیفرانسیل , Download Exposing Hidden Exploitable Behaviors in Programming Languages Using Differential Fuzzing Book , افشای رفتارهای قابل بهره برداری پنهان در زبان های برنامه نویسی با استفاده از فاز دیفرانسیل دانلود , buy افشای رفتارهای قابل بهره برداری پنهان در زبان های برنامه نویسی با استفاده از فاز دیفرانسیل , خرید کتاب افشای رفتارهای قابل بهره برداری پنهان در زبان های برنامه نویسی با استفاده از فاز دیفرانسیل , دانلود کتاب Exposing Hidden Exploitable Behaviors in Programming Languages Using Differential Fuzzing , کتاب Exposing Hidden Exploitable Behaviors in Programming Languages Using Differential Fuzzing , دانلود Exposing Hidden Exploitable Behaviors in Programming Languages Using Differential Fuzzing , خرید Exposing Hidden Exploitable Behaviors in Programming Languages Using Differential Fuzzing , خرید کتاب Exposing Hidden Exploitable Behaviors in Programming Languages Using Differential Fuzzing ,
نقد و بررسیها
هنوز بررسیای ثبت نشده است.