論文の概要: Hyperfuzzing: black-box security hypertesting with a grey-box fuzzer
- arxiv url: http://arxiv.org/abs/2308.09081v1
- Date: Thu, 17 Aug 2023 16:15:02 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 13:51:51.601916
- Title: Hyperfuzzing: black-box security hypertesting with a grey-box fuzzer
- Title(参考訳): ハイパーファジング:グレイボックスファジングによるブラックボックスセキュリティハイパーテスト
- Authors: Daniel Blackwell, Ingolf Becker, David Clark
- Abstract要約: LeakFuzzerは、非干渉セキュリティプロパティとセキュリティフローポリシーを神託として使用することで、技術の状態を前進させる。
LeakFuzzerは、通常のファジィザが検出できるのと同じエラーセットを検出し、セキュアな情報フローポリシー違反を検出することができる。
- 参考スコア(独自算出の注目度): 2.2000560351723504
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Information leakage is a class of error that can lead to severe consequences.
However unlike other errors, it is rarely explicitly considered during the
software testing process. LeakFuzzer advances the state of the art by using a
noninterference security property together with a security flow policy as an
oracle. As the tool extends the state of the art fuzzer, AFL++, LeakFuzzer
inherits the advantages of AFL++ such as scalability, automated input
generation, high coverage and low developer intervention.
The tool can detect the same set of errors that a normal fuzzer can detect,
with the addition of being able to detect violations of secure information flow
policies.
We evaluated LeakFuzzer on a diverse set of 10 C and C++ benchmarks
containing known information leaks, ranging in size from just 80 to over 900k
lines of code. Seven of these are taken from real-world CVEs including
Heartbleed and a recent error in PostgreSQL. Given 20 24-hour runs, LeakFuzzer
can find 100% of the leaks in the SUTs whereas existing techniques using such
as the CBMC model checker and AFL++ augmented with different sanitizers can
only find 40% at best.
- Abstract(参考訳): 情報漏洩は重大な結果をもたらす可能性のあるエラーのクラスである。
しかし、他のエラーとは異なり、ソフトウェアテストプロセス中に明示的に考慮されることは滅多にない。
LeakFuzzerは、非干渉セキュリティプロパティとセキュリティフローポリシーを神託として使用することで、技術の状態を前進させる。
ツールがアートファズー、AFL++の状態を拡大するにつれて、LeakFuzzerはスケーラビリティ、自動入力生成、高カバレッジ、開発者の介入の少ないAFL++の利点を継承する。
このツールは、通常のファジィザが検出できるのと同じエラーセットを検出し、セキュアな情報フローポリシー違反を検出することができる。
我々は、80行から9万行以上のコードまで、既知の情報リークを含む10のcおよびc++ベンチマークで、 leakfuzzerを評価した。
これらのうち7つは、HeartbleedやPostgreSQLの最近のエラーなど、現実世界のCVEから取り出されている。
20時間実行すると、LeakFuzzerはSUTのリークの100%を見つけることができるが、CBMCモデルチェッカーや異なるサニタイザを備えたAFL++などの既存のテクニックは40%しか見つからない。
関連論文リスト
- "Don't forget to put the milk back!" Dataset for Enabling Embodied Agents to Detect Anomalous Situations [49.66220439673356]
私たちは、SafetyDetectと呼ばれる新しいデータセットを作成しました。
SafetyDetectデータセットは1000の異常なホームシーンで構成されている。
提案手法は,シーンのグラフ表現とシーン内のオブジェクト間の関係の両方とともに,大規模言語モデル(LLM)を利用する。
論文 参考訳(メタデータ) (2024-04-12T21:56:21Z) - Beyond Random Inputs: A Novel ML-Based Hardware Fuzzing [16.22481369547266]
ハードウェアファジィングは、現代のプロセッサのような大規模設計におけるセキュリティ脆弱性の探索と検出に有効なアプローチである。
この課題に対処するために,MLベースのハードウェアファザであるChatFuzzを提案する。
ChatFuzzは、最先端のファズーと比較して、わずか52分で75%の条件カバレッジ率を達成する。
論文 参考訳(メタデータ) (2024-04-10T09:28:54Z) - Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。
既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。
本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
論文 参考訳(メタデータ) (2023-10-08T10:08:21Z) - rCanary: Detecting Memory Leaks Across Semi-automated Memory Management
Boundary in Rust [4.981203415693332]
Rustはコンパイル時の検証を通じてメモリ安全性を保証するシステムプログラミング言語である。
リソースの自動配置を容易にするために、新しいオーナシップベースのリソース管理モデルを採用している。
半自動境界における漏洩を検出するために,非侵襲的で完全自動化されたモデルチェッカーであるrCanaryを提案する。
論文 参考訳(メタデータ) (2023-08-09T08:26:04Z) - Vulnerability Detection Through an Adversarial Fuzzing Algorithm [2.074079789045646]
本プロジェクトは,ファザがより多くの経路を探索し,短時間でより多くのバグを発見できるようにすることにより,既存のファザの効率を向上させることを目的としている。
逆法は、より効率的なファジィングのためのテストケースを生成するために、現在の進化アルゴリズムの上に構築されている。
論文 参考訳(メタデータ) (2023-07-21T21:46:28Z) - Security Knowledge-Guided Fuzzing of Deep Learning Libraries [9.930638894226004]
そこで我々は,Orionという新しいディープラーニングファザを提案する。
Orionはファジィルールのセットに基づいて、ガイドされたテスト入力生成とコーナーケーステスト入力生成を組み合わせる。
論文 参考訳(メタデータ) (2023-06-05T21:38:56Z) - Augmenting Diffs With Runtime Information [53.22981451758425]
Collector-Sahabは、コード差分をランタイム差分情報で拡張するツールである。
We run Collector-Sahab on 584 code diffs for Defects4J bugs and found it successfully augment the code diff for 95% (555/584)。
論文 参考訳(メタデータ) (2022-12-20T16:33:51Z) - Fault-Aware Neural Code Rankers [64.41888054066861]
サンプルプログラムの正しさを予測できる故障認識型ニューラルネットワークローダを提案する。
我々のフォールト・アウェア・ローダは、様々なコード生成モデルのpass@1精度を大幅に向上させることができる。
論文 参考訳(メタデータ) (2022-06-04T22:01:05Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - DeFuzz: Deep Learning Guided Directed Fuzzing [41.61500799890691]
本稿では,DeFuzzというソフトウェア脆弱性検出のための,ディープラーニング(DL)誘導指向ファズリングを提案する。
DeFuzzには2つの主要なスキームが含まれている。 1) 潜在的に脆弱な機能と位置(脆弱性のあるアドレス)を特定するために、トレーニング済みのDL予測モデルを使用する。
正確には、Bidirectional-LSTM (BiLSTM) を用いて注意語を識別し、その脆弱性はこれらの注意語に関連付けられている。
論文 参考訳(メタデータ) (2020-10-23T03:44:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。