- · 《大众投资指南》栏目设[05/29]
- · 《大众投资指南》收稿方[05/29]
- · 《大众投资指南》投稿方[05/29]
- · 《大众投资指南》征稿要[05/29]
- · 《大众投资指南》刊物宗[05/29]
一、来稿必须是作者独立取得的原创性学术研究成果,来稿的文字复制比(相似度或重复率)必须低于用稿标准,引用部分文字的要在参考文献中注明;署名和作者单位无误,未曾以任何形式用任何文种在国内外公开发表过;未一稿多投。 二、来稿除文中特别加以标注和致谢之外,不侵犯任何版权或损害第三方的任何其他权利。如果20天后未收到本刊的录用通知,可自行处理(双方另有约定的除外)。 三、来稿经审阅通过,编辑部会将修改意见反馈给您,您应在收到通知7天内提交修改稿。作者享有引用和复制该文的权利及著作权法的其它权利。 四、一般来说,4500字(电脑WORD统计,图表另计)以下的文章,不能说清问题,很难保证学术质量,本刊恕不受理。 五、论文格式及要素:标题、作者、工作单位全称(院系处室)、摘要、关键词、正文、注释、参考文献(遵从国家标准:GB\T7714-2005,点击查看参考文献格式示例)、作者简介(100字内)、联系方式(通信地址、邮编、电话、电子信箱)。 六、处理流程:(1) 通过电子邮件将稿件发到我刊唯一投稿信箱(2)我刊初审周期为2-3个工作日,请在投稿3天后查看您的邮箱,收阅我们的审稿回复或用稿通知;若30天内没有收到我们的回复,稿件可自行处理。(3)按用稿通知上的要求办理相关手续后,稿件将进入出版程序。(4) 杂志出刊后,我们会按照您提供的地址免费奉寄样刊。 七、凡向文教资料杂志社投稿者均被视为接受如下声明:(1)稿件必须是作者本人独立完成的,属原创作品(包括翻译),杜绝抄袭行为,严禁学术腐败现象,严格学术不端检测,如发现系抄袭作品并由此引起的一切责任均由作者本人承担,本刊不承担任何民事连带责任。(2)本刊发表的所有文章,除另有说明外,只代表作者本人的观点,不代表本刊观点。由此引发的任何纠纷和争议本刊不受任何牵连。(3)本刊拥有自主编辑权,但仅限于不违背作者原意的技术性调整。如必须进行重大改动的,编辑部有义务告知作者,或由作者授权编辑修改,或提出意见由作者自己修改。(4)作品在《文教资料》发表后,作者同意其电子版同时发布在文教资料杂志社官方网上。(5)作者同意将其拥有的对其论文的汇编权、翻译权、印刷版和电子版的复制权、网络传播权、发行权等权利在世界范围内无限期转让给《文教资料》杂志社。本刊在与国内外文献数据库或检索系统进行交流合作时,不再征询作者意见,并且不再支付稿酬。 九、特别欢迎用电子文档投稿,或邮寄编辑部,勿邮寄私人,以免延误稿件处理时间。
理解大众报告安全漏洞的可重现性
作者:网站采编关键词:
摘要:大众报告漏洞现状 现如今,软件系统中的安全漏洞对个人用户、组织甚至国家都是严重的威胁。2017年,WannaCry勒索软件利用未修复的漏洞在全球范围内关停了30多万台电脑。 然而,安全
大众报告漏洞现状
现如今,软件系统中的安全漏洞对个人用户、组织甚至国家都是严重的威胁。2017年,WannaCry勒索软件利用未修复的漏洞在全球范围内关停了30多万台电脑。
然而,安全漏洞的识别越来越具有挑战性。 高度复杂的现代软件,使得内部团队不再能够在软件发布之前识别所有可能的漏洞。因此,越来越多的软件供应商开始依赖于“大众(The Crowd)的力量”来进行漏洞识别。大众可以是任何在互联网上的人(白帽黑客,安全分析师,甚至普通的软件用户),他们都可以识别并报告一个漏洞。现在很多公司,例如谷歌和微软都花费了数百万美元建立“漏洞赏金”(Bug Bounty)项目,以奖励漏洞报告者。报告者还可以为自己发现的漏洞向CVE(Common Vulnerabilities and Exposures)申请一个编号,以进一步提高社区对这个漏洞的认识,并将对应的漏洞条目归档到各种在线漏洞数据库中。截至2019年2月,CVE网站已存档超过11.2万个安全漏洞。
尽管大众报告(Crowd-Reported)的漏洞数量众多,但漏洞报告与漏洞修补之间仍有很长的路要走。最新数据表明,从最初被报告开始,一个漏洞需要很长时间,甚至是很多年才能被修复。究其原因,除了安全意识的缺乏,也有不少证据表明,这种众包方式获得的报告的质量很差。例如,曾有Facebook用户发现一个漏洞,允许攻击者在任何人的时间轴(Time Line)上发布消息。然而,由于“缺乏足够的细节来重现漏洞”,这份报告被Facebook工程师忽略,直到Facebook CEO 的账号遭到黑客攻击。
随着大众报告漏洞的数量越来越多,这些漏洞的可重现性,对于软件供应商快速定位和修复问题变得至关重要。令人担忧的是,一个不可重现的漏洞更有可能被忽略,从而留下隐患。到目前为止,相关研究工作主要集中在漏洞通知(Vulnerability Notifications)和生成安全补丁方面。而漏洞重现,作为漏洞风险缓解的一个关键早期步骤,尚未得到充分理解。
为了弥补这一空缺,在本文中,我们对大众报告的漏洞的可重现性进行首次深入的实证分析。我们的研究试图回答以下三个问题。首先,仅使用漏洞报告中提供的信息,这些漏洞的可重现性如何?第二,使得某些漏洞难以重现的原因是什么?第三,软件供应商(以及漏洞报告者)可以采取什么行动来系统地提高重现的效率?
这份工作的最大挑战是:重现一个漏洞不仅需要大量的手工工作量,还需要“重现者”具有丰富的相关知识和专业技能。这使得一个研究很难同时达到深度和比较大的规模。因此,我们优先考虑深度,同时保持相当的规模。具体来说,我们只关注内存错误漏洞。这是最危险的软件错误之一,并已造成重大的现实影响(例如Heartbleed,Wanna Cry)。我们组织了一组经验丰富的安全研究人员,并进行了一系列的控制实验,基于报告中的信息重现漏洞。通过精心设计的工作流程,我们保证重现的结果反映的是报告中信息的价值,而不是分析人员的个人技术。
实验花费了3600个工时,涵盖了从过去17年报告的漏洞中随机抽取的368个内存错误漏洞(291个CVE漏洞和77个非CVE漏洞)。对于有CVE编号的案例,我们抓取了CVE网站上列出的4694篇引用链接(比如技术报告,博客)作为重现的信息来源。我们将这些引用视为众包漏洞报告,其中包含了可用于漏洞重现的详细信息。我们有理由认为这是一个比较大的数据集。对比来看,之前的工作在也会使用这些大众报告的漏洞对其漏洞检测和补丁工具进行基准测试。大部分数据集包含的漏洞在10个以下,或者几十的范围内,因为构建漏洞的Ground Truth数据需要大量的手工工作。
我们得到了如下重要观察结果。首先,由于信息的缺失,来自主流安全论坛的单个漏洞报告的重现成功率极低(4.5%~43.8%)。其次,通过“众包”的方法即从所有可能的引用中收集信息,可以恢复部分但不是所有缺失的信息字段。信息聚合后,368个漏洞中的95.1%仍然遗漏了至少一个必需的信息字段。第三,妨碍重现的并不总是最常被遗漏的信息。大多数报告都没有详细介绍软件安装选项和配置(87%+),或受影响的操作系统(OS)(22.8%),这些信息通常可以使用“常识”知识进行恢复。不过当漏洞报告遗漏了概念验证(PoC)文件(11.7%)或者更常见的触发漏洞的方法(26.4%)时,重现将会变得很有挑战。这种情况下,仅有54.9%的被报告漏洞可以根据汇总的信息和常识知识得到重现。
由于能得到的反馈很有限,恢复缺失的信息极具挑战性。通过大量的手工调试和故障排除,我们总结出一些有用的启发式方法,使得重现率提高到95.9%。一个发现是,在测试哪些缺失的信息字段不是“标准配置”时,按照一定的优先级顺序进行,可以提高恢复信息的效率。我们还发现可以利用“相似”漏洞报告之间的相关性,利用“相似”漏洞的报告为一些信息缺乏的漏洞提供参考。尽管有这些启发式方法,但我们认为,如果报告系统强制指定一些信息字段,可以为重现者节省大量的手工工作。
文章来源:《大众投资指南》 网址: http://www.dztzznzzs.cn/qikandaodu/2021/0111/490.html