POSITIVE HACK DAYS



ОРГАНИЗАТОР

Технологии


Полная программа форума в формате PDF.

Проблемы автоматической генерации эксплойтов по исходному коду

Ведущие: Сергей Плехов и Алексей Москвин

При автоматической генерации эксплойтов и анализе исходных кодов возникает ряд сложностей. Например, проведение анализа одними только статическими методами не дает возможности отслеживать взаимодействие приложения с базой данных, анализировать обфусцированный код или обнаруживать уязвимости, вызванные настройками системы. При этом для проведения динамического анализа кода необходимо развернутое (установленное) приложение, а установка и настройка крупных entreprise-решений является достаточно сложной задачей. Существует также ряд уязвимостей, которые в принципе не могут быть обнаружены при помощи фаззинга (динамического анализа). На практике ни статический, ни динамический анализ не обеспечивают полного покрытия кода и не дают возможности выявить все уязвимости. Кроме того, при применении статических методов возникает огромное количество ложных срабатываний, и если нет возможности проверить обнаруженные уязвимости, то отчеты, сгенерированные статическими методами, становятся фактически бесполезными. В докладе будут представлены результаты, полученные с использованием подхода, включающего методы как статического, так и динамического анализа, что позволяет не только выявлять уязвимости, но и генерировать эксплойты для них.

  • Язык доклада
  • Русский

Сергей Плехов — ведущий специалист компании Positive Technologies. Занимается вопросами статического и динамического анализа исходного кода приложений с точки зрения безопасности.

Алексей Москвин — эксперт компании Positive Technologies по безопасности. Специализируется на решении задач анализа исходного кода приложений.

Сергей Плехов и Алексей Москвин Сергей Плехов и Алексей Москвин

Возврат к списку