We are not able to resolve this OAI Identifier to the repository landing page. If you are the repository manager for this record, please head to the Dashboard and adjust the settings.
A injecção de vulnerabilidades é uma área que recebeu relativamente pouca atenção da comunidade
científica, provavelmente por o seu objectivo ser aparentemente contrário ao propósito de
fazer as aplicações mais seguras. Esta pode no entanto ser usada em variadas áreas que a fazem
merecedora de ser investigada, tais como a criação automática de exemplos educacionais de
código vulnerável, testar mecanismos de segurança em profundidade, e a avaliação de detectores
de vulnerabilidades e de equipas de segurança.
Esta tese propõe uma arquitectura para uma ferramenta de injecção de vulnerabilidades genérica
que permite a inserção de vulnerabilidades num programa, e aproveita a vasta investigação existente
sobre detecção de vulnerabilidades. A arquitectura é também extensível, suportando a
adição de novas vulnerabilidades para serem injectadas.
Foi também implementado e avaliado um protótipo baseado nesta arquitectura por forma a perceber
se a arquitectura era implementável. O protótipo consegue injectar a maior parte das vulnerabilidades
da class taint-style, desde que em aplicações web desenvolvidas em PHP. Esta tese
contém também um estudo sobre as vulnerabilidades presentes nas últimas versões de algumas
aplicações PHP bem conhecidas, que permite perceber quais os tipos de vulnerabilidade mais
comuns. Este estudo conclui que as vulnerabilidades que o protótipo permite já incluem a maioria
das vulnerabilidades que aparecem habitualmente em aplicações PHP.
Finalmente, várias aplicações PHP foram usadas na avaliação. O protótipo foi usado para injectar
diversas vulnerabilidades sobre estas aplicações, e após isso as injecções foram analisadas à
mão para verificar se uma vulnerabilidade tinha sido criada ou não. Os resultados mostram que o
protótipo consegue não só injectar uma grande quantidade de vulnerabilidades mas também que
estas são atacáveis e realistas
Is data on this page outdated, violates copyrights or anything else? Report the problem now and we will take corresponding actions after reviewing your request.