奇安信代码安全实验室又一研究成果入选国际顶会USENIX Security 2023
原文中文,约1800字,阅读约需5分钟。发表于: 。目前已经有一些自动化工具可用于检测RESTful API漏洞,但它们通常只能检测单个API端点,并且无法识别多个API端点之间的潜在漏洞。
奇安信代码安全实验室与新加坡南洋理工大学教授团队合作,提出了一种自动化检测RESTful API漏洞的方法,名为Nautilus。该方法通过发现多个API之间的漏洞来提高准确性和效率。Nautilus在真实软件中发现了23个漏洞,包括Atlassian Confluence的远程代码执行漏洞。该方法创新之处在于使用OpenAPI规范解析API端点之间的关系,并使用注释原语标记操作和参数。在测试阶段,Nautilus还能够从动态反馈中自动更新注释,适应系统变化并提高准确性。奇安信代码安全实验室是奇安信集团的团队,专注于软件源代码安全分析技术和二进制漏洞挖掘技术研究与开发。他们的技术成果包括奇安信代码卫士和奇安信开源卫士,已在数百家企业和机构中应用。