奇安信代码安全实验室又一研究成果入选国际顶会USENIX Security 2023
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
奇安信代码安全实验室与新加坡南洋理工大学教授团队合作,提出了一种自动化检测RESTful API漏洞的方法,名为Nautilus。该方法通过发现多个API之间的漏洞来提高准确性和效率。Nautilus在真实软件中发现了23个漏洞,包括Atlassian Confluence的远程代码执行漏洞。该方法创新之处在于使用OpenAPI规范解析API端点之间的关系,并使用注释原语标记操作和参数。在测试阶段,Nautilus还能够从动态反馈中自动更新注释,适应系统变化并提高准确性。奇安信代码安全实验室是奇安信集团的团队,专注于软件源代码安全分析技术和二进制漏洞挖掘技术研究与开发。他们的技术成果包括奇安信代码卫士和奇安信开源卫士,已在数百家企业和机构中应用。
🎯
关键要点
- 奇安信代码安全实验室与南洋理工大学教授团队合作,提出了Nautilus自动化检测RESTful API漏洞的方法。
- Nautilus通过发现多个API之间的漏洞,提高了检测的准确性和效率。
- 该方法在真实软件中发现了23个漏洞,包括Atlassian Confluence的远程代码执行漏洞。
- Nautilus的创新之处在于使用OpenAPI规范解析API端点之间的关系。
- Nautilus使用注释原语标记操作和参数,生成逻辑操作序列,解决了现有工具中缺乏顺序意识的问题。
- 在测试阶段,Nautilus能够从动态反馈中自动更新注释,适应系统变化,提高准确性。
- 奇安信代码安全实验室专注于软件源代码安全分析和二进制漏洞挖掘技术的研究与开发。
- 实验室的技术成果包括奇安信代码卫士和奇安信开源卫士,已在数百家企业和机构中应用。
➡️
