Dissertação

Automatic Repair of Java Code with Timing Side-Channel Vulnerabilities EVALUATED

A detecção e reparação de vulnerabilidades é uma parte exigente e desafiante do processo de desenvolvimento de software. Por isso, tem havido um esforço por parte dos investigadores para desenvolver novas e melhoradas formas de detectar e corrigir de forma automática vulnerabilidades. DifFuzz é uma ferramenta de ponta para a detecção automática de vulnerabilidades `timing side-channel', um tipo de vulnerabilidade que é particularmente difícil de detectar e corrigir. Apesar do progresso recente alcançado com ferramentas como o DifFuzz, há pouco trabalho em ferramentas capazes de corrigir de forma automática vulnerabilidades "timing side-channel". Propomos uma nova ferramenta para a correcção automática de vulnerabilidades `timing side-channel' em código Java. A ferramenta funciona em conjunto com o DifFuzz e foi capaz de reparar 56% das vulnerabilidades identificadas no dataset do DifFuzz. Os resultados mostram que a ferramenta pode corrigir de forma automática vulnerabilidades "timing side-channel", sendo mais eficaz em vulnerabilidades `control-flow based timing side-channel'.
Java, Vulnerabilidades Timing Side-Channel, Detecção automática de vulnerabilidades, Reparação automática de vulnerabilidades, Segurança, Modificação de Código

janeiro 28, 2021, 16:30

Publicação

Extended Abstract

Thesis

Obra sujeita a Direitos de Autor

Orientação

Rui Diogo Tomaz Lima (ist194073)

AUTOR

Rui Diogo Tomaz Lima (ist194073)

João Fernando Peixoto Ferreira

ORIENTADOR

João Fernando Peixoto Ferreira

Departamento de Engenharia Informática (DEI)

Professor Auxiliar