• 语料库ID:226227017

Mir:针对JavaScript中动态库泄露的自动可量化特权减少

@第{Vasilakis2020MirAQ条,title={Mir:针对JavaScript中的动态库泄露的自动可量化特权减少},author={Nikos Vasilakis、Cristian-Alexandru Staicu、Greg Ntusakis、Konstantinos Kallas、Ben Karel、Andr{'e}DeHon和Michael Pradel},日志={ArXiv},年份={2020年},体积={abs/2011.00253},网址={https://api.semanticscholar.org/CorpusID:226227017}}
Mir的JavaScript原型应用于50个流行的库,表明RWX权限模型将简单性与强大性结合在一起:它足够简单,可以自动推断99.33%的所需权限,表达能力足以抵御16个真实威胁,效率足以在实践中使用,并且它使得能够对特权减少进行新的量化。

本文图表

询问这篇论文
AI供电

SandDriller:一种测试基于语言的JavaScript沙盒的全自动方法

提出了第一种基于动态分析的检测沙盒逃逸漏洞的方法S AND D RILLER,基于基于语言的沙盒的两个主要目标设计测试预言:防止沙盒外的写操作和限制对特权操作的访问。

Jack-in-the-box:Web上JavaScript捆绑及其安全含义的实证研究

这项工作提出了一种新的自动检测捆绑包的方法,并对web上的捆绑代码进行了首次大规模的实证研究,并检查了其安全含义。

具有细粒度安全约束的C程序分区及分区后验证

这项工作为具有安全意识的应用程序提供了一个C程序分区器,该程序分区器通过使用细粒度安全约束进行注释来解决缺点,并给出了结果,表明当使用非平凡安全约束对大型现实C应用程序进行分区时,该方法是可行的。

ConflictJS:查找和理解JavaScript库之间的冲突

本文使用ConflictJS(一种自动化和可扩展的方法来分析库中的冲突)来分析和研究951个现实世界中的库之间的冲突,并提供证据证明设计一种没有显式名称空间的语言会产生不良影响。

使用COWL限制JavaScript保护用户

COWL以与传统web内容完全向后兼容的方式将基于标签的强制访问控制引入到浏览上下文中,并允许在应用程序中包含不受信任的脚本,以及构建组合来自多个相互不信任来源的敏感信息的mashup,同时保护用户的隐私。

NodeEntry:服务器端JavaScript的最小权限库集成

这项工作开发了NodeEntry,这是服务器端JavaScript的第一个安全体系结构,支持在库及其环境(包括任何依赖库)之间的交互上轻松部署web处理技术和访问控制策略。

楔形:将应用程序拆分为特权减少的隔间

Wedge是一个非常适合将复杂的、遗留的、单片应用程序拆分为细粒度的、最少特权的分区的系统,它的功能足以防止在更粗糙的特权分离的Apache web服务器上成功的微妙的中间人攻击。

你不应该依赖我:分析过时的JavaScript库在网络上的使用

对客户端JavaScript库的使用以及由此产生的Web安全影响进行的第一次全面研究表明,不仅网站管理员,而且第三方服务的动态架构和开发人员都是Web糟糕的库管理状态的罪魁祸首。

SYNODE:理解并自动防止节点上的注入攻击。JS公司

这项研究表明,数千个模块可能容易受到命令注入攻击,修复它们需要很长时间,即使对于流行的项目也是如此,并介绍了Synode,这是一种自动缓解技术,它结合了静态分析和安全策略的运行时强制,以安全的方式使用易受攻击的模块。

动态JavaScript的意外危险

一项关于150个排名靠前的域中跨站点脚本包含的流行情况的研究表明,80%以上的站点容易受到远程脚本包含的攻击,并为使用动态脚本提供了一种安全且功能相当的替代方案。

Java访问权限分析

一种通过使用上下文敏感、流敏感、过程间数据流分析计算访问权限要求的技术,该分析在每个程序点计算代码所需的访问权限集。

配置驱动软件脱浮

这项工作探索了另一种配置驱动的软件脱浮方法,该方法删除了仅在指定某些配置指令时才需要的特定于功能的代码,这些指令通常在默认情况下被禁用。

少即是多:量化消除Web应用程序的安全优势

结果表明,解浮过程删除了与数十个历史漏洞相关的代码,并通过删除不必要的外部包和滥用的PHP小工具进一步缩小了web应用程序的攻击面。
...