cc防火墙_香港_服务器怎么谨防cc-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > cc防火墙_香港_服务器怎么谨防cc

cc防火墙_香港_服务器怎么谨防cc

小墨安全管家 2021-01-20 14:53 CC防护 89 ℃
DDoS防御

cc防火墙_香港_服务器怎么谨防cc

当我听讲Heartbleed(OpenSSL中的漏洞导致了多年来最严峻的安全漏洞)的那一刻,我下载了源代码并运行了CodeSonar,看它是否能找到缺陷。不幸的是,对代码的深入研究证实了我的怀疑,即经过代码到有咨询题的语句的路径特别长,同时涉及到经过很多级别的间接访咨询数据。其中也有特别多函数指针调用,这也没有关心。代码的复杂性也许难以精确分析。我想懂确切的缘由,但令人心痛的故事还在进展,我们正忙着完成codesonar4,CC防御DDoS防御,于是我把它放在一边几天。(James Kupsch和Bart Miller对静态分析工具为何会浮上心血咨询题举行了特别好的描述,能够在那个地点找到。)寻觅心血几天后,DDoS防御,johnregehr在他的博客上发表了一篇文章。他向来带着他的学生们扫瞄OpenSSL的Coverity扫描,并指出该工具也没有发觉它。可是,Coverity的andychou继续讨论了他们的工具怎么使用启示式来检测心血。它寻觅字节交换操作作为被操作的值来自网络连接的指示器,接着将这些值标记为被污染。有了这些知识,他们的工具在对memcpy()的错误调用中报告了一具受污染的缓冲区访咨询。我真希翼我自个儿也能想到那个启示,因为它是一具很聪慧的例子,讲明了用一点领域知识来教育一具静态分析工具能够获得特别大的回报。我们特别快就能够确认CodeSonar能够使用同样的启示式想法来发觉那个bug,然而它让我有些困扰,因为它觉得这是一种脆弱的解决咨询题的想法。为了强壮并适用于其他代码基,DDoS防御,该工具普通需要可以可靠地识别字节交换语句。在OpenSSL中用于举行字节交换的宏不是标准宏,所以匹配宏的名称对该程序特别好,但关于其他程序则不好。另一种想法是匹配宏扩展到的语句。大概有十几种或更多可行的想法来举行字节交换,但要使其有效,静态分析工具必须事先懂所有这些想法,或者有其他想法来判断字节交换正在举行。假如代码是为big-endian平台编译的,其中字节交换是不可操作的呢?或者假如序列化的表单是其他不需要字节交换的表单?一定有更好的办法。找到让人心痛的"正确"方式我们向来在CodeSonar中实现一具新的警告类,污染缓冲区访咨询,原则上,它包括心血。那个检查器被设计成以"正确"的方式来检测这些bug,也算是找到污染源的位置,并经过代码跟踪污点,直到它到达触发bug的点。心血越来越大,我请团队成员德鲁·德哈斯和大卫·维泰克,看看我们未完成的原型实现能否检测到它。OpenSSL不是一具非常大的程序,但它相当复杂,所感觉了保持可治理性,我们将重点放在分析显示咨询题的代码子集上。通过几天的调查,我们发觉:我们确认分析正确地解析了间接函数调用,同时污染信息正经过这些调用传播。这是一具关键因素,因为malloc()和read()的调用(其中缓冲区的大小是确定的)基本上经过函数指针举行的。污染传播大概特别棘手。有很多明显的方式,污染能够传播,但我们错过了一些微妙的。我们有很多可调参数,允许用户在分析性能与完全性之间举行权衡。这些默认的设置偏向于更好的性能,所以分析没有探索它所需要的一切。这些基本上能够解决的咨询题,于是我们回去工作了。昨天,德鲁给我发了一封邮件,主题如下:主题:由CodeSonar探测到的心血果然,CodeSonar在调用memcpy()时报告了一具受污染的缓冲区访咨询。下面是显示该路径最终一部分的屏幕截图:这并不是完美的;解释是指memcpy()的形式参数,而不是实际参数,但这对我们来讲相当容易清理。注意红色下划线-这表示变量有咨询题。我们跟踪不同种类的污点,那个颜色表示文件描述符的污点。这能够追溯到在调用read()时污染源的位置。我们学到了啥?我还要强调的是,这项工作还处于试验时期。上面的截图来自对OpenSSL子集的分析,尽管我们在完整版本中也检测到了它,但我们仍在努力寻觅合适的技术和参数组合,以可靠地找到它,具有合理的性能和精度,并生成一具用户能够相对容易理解的报告。虽然在这方面还有特别多工作要做,然而特别明显,检测到那个bug的缘由是正确的。关键是,我们用来实现那个新的检查器的技术是开辟出来的,同时在发觉心血之前基本接近可用性,这是它们通用性的一具证明。像如此的挑战性咨询题对那个行业是有好处的。尽管有点人大概会抱怨我们在马基本跑掉后关上了马厩的门,但事实是,几乎能够确信,马厩里还剩下特别多马。心血不太大概是存在的最终一具严峻的安全漏洞。拥有真正重要的bug的很具体的例子是促使像我们如此的工具供应商不断改进技术的缘由。这些改进应该有助于我们幸免下一具重大的安全漏洞。


DDoS防御

当前位置:主页 > CC防护 > cc防火墙_香港_服务器怎么谨防cc

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119