×

兹马思-数学第一资源

对浏览器扩展的权限提升攻击的细粒度检测。(英语) Zbl 1335.68047
Vitek,Jan(编辑),《编程语言与系统》。第24届欧洲编程研讨会,ESOP 2015,作为欧洲软件理论与实践联合会议的一部分举行,ETAPS 2015,伦敦,英国,2015年4月11日至18日。会议记录。柏林:斯普林格出版社(ISBN 978-3-662-46668-1/pbk;978-3-662-46669-8/电子书)。计算机科学课堂讲稿9032,510-534(2015)。
摘要:尽管他们的体系结构依赖于可靠的安全原则,但众所周知,糟糕的编程实践可能会使浏览器扩展暴露于严重的安全缺陷,导致不可信的网页或受损的扩展组件导致权限提升。我们提出了一个形式化的浏览器扩展的安全性分析,从一个细粒度的描述一个活跃的对手可能通过消息传递接口升级的特权,我们讨论了当前的编程实践在多大程度上考虑了这种威胁。我们的理论建立在一种形式化语言的基础上,这种语言体现了JavaScript的基本特性,同时还提供了一些处理特定于浏览器扩展体系结构的安全方面的附加结构。然后,针对权限提升的威胁,提出了一个流逻辑规范来评估用我们的语言建模的浏览器扩展的安全性,并证明了其合理性。最后,我们用,一个基于我们的流逻辑规范的googlechrome扩展的原型静态分析器。
整个系列请参见[Zbl 1333.68020].

理学硕士:
68N30型 软件工程的数学方面(规范、验证、度量、需求等)
03B70型 计算机科学中的逻辑
软件:
JavaScript
PDF格式 BibTeX公司 XML 引用
全文: 内政部