cs161 midterm 2 review
play

CS161 Midterm 2 Review Midterm 2: April 29, 18:30-20:00 - PowerPoint PPT Presentation

Oct 29, 2022 •392 likes •845 views

CS161 Midterm 2 Review Midterm 2: April 29, 18:30-20:00 Same room as lecture Overview StaAc analysis and program verificaAon Security architecture

  1. CS161 ¡Midterm ¡2 ¡Review ¡ Midterm ¡2: ¡April ¡29, ¡18:30-­‑20:00 ¡ Same ¡room ¡as ¡lecture ¡

  2. Overview ¡ • StaAc ¡analysis ¡and ¡program ¡verificaAon ¡ • Security ¡architecture ¡and ¡principles ¡ • Web ¡security ¡ • Crypto ¡ • Network ¡security ¡

  3. StaAc ¡Analysis ¡ • SyntacAc ¡analysis ¡ – Does ¡not ¡interpret ¡the ¡statements ¡ • SemanAc ¡analysis ¡ – Interpret ¡statements ¡

  4. SyntacAc ¡Analysis ¡ Error ¡pa'erns : ¡HeurisAcally ¡observed ¡ Specify ¡Error ¡ Parse ¡Program ¡ common ¡error ¡paNerns ¡in ¡pracAce ¡ PaNerns ¡ Parsing : ¡generates ¡data ¡structure ¡ used ¡for ¡error ¡detecAon ¡ Detec1on: ¡match ¡paNern ¡against ¡ Detect ¡PaNerns ¡ program ¡representaAon ¡ Pruning : ¡Used ¡to ¡eliminate ¡common ¡ false ¡alarms ¡ Prune ¡False ¡ Alarms ¡

  5. SemanAc ¡Analysis ¡ • Sign ¡analysis ¡ • Zero ¡propagaAon ¡ • Interval ¡analysis ¡ ¡ • Product ¡analysis ¡ – DisjuncAve ¡refinement ¡

  6. Architecture ¡of ¡a ¡StaAc ¡Analyzer ¡ The ¡behavior ¡of ¡a ¡program ¡can ¡be ¡approximated ¡by ¡separately ¡ approximaAng ¡variable ¡values, ¡statements ¡and ¡control ¡flow. ¡ ¡ La^ce ¡ Variables ¡ StaAc ¡ ExecuAons ¡ Analyzer ¡ Control ¡ System ¡of ¡ Statements ¡ Transformers ¡ Flow ¡ EquaAons ¡

  7. Quiz: ¡Sign ¡Analysis ¡Transformers ¡ d in ¡ Which ¡of ¡the ¡following ¡is ¡the ¡right ¡transformer ¡for ¡ x=x-1 ¡? ¡ f ¡ Answer: ¡ ¡ C ¡ d out ¡ (a) ¡ (b) ¡ (c) ¡ true ¡ true ¡ true ¡ x<=0 ¡ x!=0 ¡ x<=0 ¡ x!=0 ¡ x>=0 ¡ x>=0 ¡ x<=0 ¡ x!=0 ¡ x>=0 ¡ x<0 ¡ x==0 ¡ x<0 ¡ x==0 ¡ x>0 ¡ x>0 ¡ x<0 ¡ x==0 ¡ x>0 ¡ false ¡ false ¡ false ¡

  8. Program ¡VerificaAon ¡ • E.g., ¡how ¡to ¡prove ¡a ¡program ¡free ¡of ¡buffer ¡overflows? ¡ • PrecondiAon ¡ – An ¡asserAon ¡that ¡must ¡ ¡ PrecondiAon: ¡ ¡ ¡ ¡ ¡hold ¡at ¡input ¡to ¡ f() ¡ φ(x) ¡ • PostcondiAon ¡ f(x) ¡ – An ¡asserAon ¡that ¡holds ¡ ¡ PostcondiAon: ¡ ¡ ¡ ¡ ¡when ¡ f() ¡returns ¡ ψ ¡ • Loop ¡invariant ¡ – An ¡asserAon ¡that ¡is ¡true ¡at ¡entrance ¡to ¡a ¡loop, ¡on ¡any ¡path ¡ through ¡the ¡code ¡ – Prove ¡by ¡inducAon ¡

  9. Security ¡Architecture ¡and ¡Principles ¡ • Access ¡control ¡ – ACL/Capability ¡ – Role-­‑based ¡access ¡control ¡ – Reference ¡monitor ¡ • Principle ¡of ¡least ¡privilege ¡ • Defense ¡in ¡depth ¡ • Consider ¡human ¡factors ¡ • SeparaAon ¡of ¡responsibility ¡ • Don’t ¡rely ¡on ¡security ¡through ¡obscurity ¡ • Fail ¡safe ¡ • Design ¡security ¡in ¡from ¡the ¡start ¡ • Ensure ¡complete ¡mediaAon ¡ • Detect ¡if ¡you ¡cannot ¡prevent ¡

  10. Malware ¡ • Virus ¡ – PropagaAon ¡requires ¡human ¡intervenAon ¡ • Polymorphic ¡virus ¡ – Creates ¡a ¡random ¡encrypAon ¡of ¡the ¡virus ¡body ¡ • Metamorphic ¡virus ¡ – Mutate ¡the ¡virus ¡body, ¡too ¡ – Code ¡obfuscaAon/mutaAon ¡

  11. Malware ¡ • Worm ¡ – Propagates ¡automaAcally ¡without ¡human ¡ intervenAon ¡ • Botnet ¡ – A ¡network ¡of ¡programs ¡capable ¡of ¡acAng ¡on ¡ instrucAons ¡ • Bot ¡master ¡and ¡bots ¡ – Used ¡for ¡spamming, ¡click ¡fraud, ¡and ¡DDoS ¡

  12. Web ¡Security ¡ • Same-­‑origin ¡Policy ¡(SOP) ¡ • Command ¡injecAon ¡ • SQL ¡injecAon ¡ • Cross-­‑site ¡ScripAng ¡(XSS) ¡ • Cross-­‑site ¡Request ¡Forgery ¡(CSRF) ¡ • Session ¡hijacking ¡

  13. Same-­‑origin ¡Policy ¡(SOP) ¡ (for ¡javascript ¡and ¡DOM) ¡ Two ¡documents ¡have ¡the ¡same ¡origin ¡if: ¡ Results ¡of ¡same-­‑origin ¡checks ¡against ¡“hNp:// cards.safebank.com/c1/info.html” ¡ (hNps, ¡hNp, ¡lp, ¡etc) ¡ Same ¡ protocol ¡ Same ¡origin: ¡ “hNp://cards.safebank.com/c2/edit.html” ¡ “hNp://cards.safebank.com/” ¡ (safebank.com, ¡etc) ¡ Same ¡ domain ¡ Different ¡origin: ¡ “hNp://www.cards.safebank.com” ¡ Same ¡ port ¡ “hNp://catville.com” ¡ (80, ¡23, ¡8080, ¡etc) ¡ “hNps://cards.safebank.com” ¡ “hNp://cards.safebank:8080” ¡

  14. Command ¡InjecAon ¡ • Inject ¡malicious ¡code ¡into ¡data ¡ – Malicious ¡code ¡in ¡the ¡parameters ¡of ¡URLs ¡ • Defenses ¡ – Input ¡validaAon ¡ • BacklisAng ¡ • WhitelisAng ¡ – Input ¡escaping ¡ – Use ¡of ¡less ¡powerful ¡APIs ¡

  15. SQL ¡InjecAon ¡ • Caused ¡when ¡aNacker ¡controlled ¡data ¡interpreted ¡ as ¡a ¡(SQL) ¡command ¡ – Goal ¡is ¡to ¡manipulate ¡a ¡SQL ¡database ¡ • Defenses ¡ – Input ¡validaAon ¡ • BacklisAng ¡ • WhitelisAng ¡ – Input ¡escaping ¡ – Use ¡of ¡less ¡powerful ¡APIs ¡ • Prepared ¡statements ¡

  16. Cross-­‑site ¡ScripAng ¡ ¡(XSS) ¡ • Vulnerability ¡in ¡web ¡applicaAon ¡that ¡enables ¡ aNackers ¡to ¡inject ¡client-­‑side ¡scripts ¡into ¡web ¡ pages ¡viewed ¡by ¡other ¡users. ¡ • Three ¡types ¡ – Persistent ¡or ¡stored ¡ • Malicious ¡code ¡is ¡stored ¡at ¡the ¡server ¡ ¡ – Reflected ¡ • Malicious ¡code ¡is ¡reflected ¡back ¡by ¡the ¡server ¡ ¡ – DOM ¡based ¡ • The ¡vulnerability ¡is ¡in ¡the ¡client ¡side ¡code ¡

  17. Cross-­‑site ¡Request ¡Forgery ¡(CSRF) ¡ • An ¡aNack ¡which ¡forces ¡an ¡end ¡user ¡to ¡execute ¡ unwanted ¡acAons ¡on ¡a ¡web ¡applicaAon ¡in ¡ which ¡he/she ¡is ¡currently ¡authenAcated. ¡ • Caused ¡because ¡browser ¡automaAcally ¡ includes ¡authorizaAon ¡credenAals ¡such ¡as ¡ cookies. ¡ • Defenses ¡ – Origin ¡headers ¡ – Nonces ¡

  18. Session ¡Hijacking ¡ • Get ¡the ¡user’s ¡session ¡token ¡and ¡act ¡on ¡behalf ¡ of ¡the ¡user ¡ • How ¡to ¡get ¡session ¡tokens? ¡ – Session ¡token ¡thel ¡ • Eavesdropping ¡network ¡communicaAon, ¡e.g., ¡hNp ¡ • XSS ¡ – Session ¡fixaAon ¡ • ANacker ¡sets ¡the ¡user’s ¡session ¡token ¡ • Defense: ¡issue ¡a ¡new ¡session ¡token ¡when ¡logging ¡in ¡

  19. Crypto ¡ • Symmetric-­‑key ¡crypto ¡ – Blocker ¡cipher ¡ – Modes ¡of ¡operaAon ¡ – HMAC ¡ • Public-­‑key ¡crypto ¡ – EncrypAon ¡ – Digital ¡signature ¡ – Digital ¡cerAficate ¡ – Diffie-­‑Hellman ¡key ¡exchange ¡ – Shamir ¡secret ¡sharing ¡ – Secure ¡mulA-­‑party ¡computaAon ¡ – Zero-­‑knowledge ¡proof ¡

  20. Block ¡Cipher ¡ • Encrypt/Decrypt ¡messages ¡in ¡fixed ¡size ¡blocks ¡ using ¡the ¡same ¡secret ¡key ¡ – k-­‑bit ¡secret ¡key ¡ Examples: ¡DES, ¡AES ¡ – n-­‑bit ¡plaintext/ciphertext ¡ n bits n bits E, D Plaintext Block Ciphertext Block k Bits Key

  21. Modes ¡of ¡OperaAon ¡ • Electronic ¡Code ¡Book ¡(ECB) ¡ – Blocks ¡are ¡encrypted ¡independently ¡ • Cipher ¡Block ¡Chaining ¡(CBC) ¡ – EncrypAon ¡of ¡one ¡block ¡depends ¡on ¡the ¡ciphertext ¡ of ¡the ¡previous ¡block ¡ • Counter ¡(CTR) ¡ – Encrypts ¡counter ¡value ¡

  22. Cryptographic ¡Hash ¡FuncAons ¡ • Preimage ¡resistance ¡ – Given ¡ h , ¡intractable ¡to ¡find ¡ y ¡such ¡that ¡ H(y)=h ¡ • Second ¡preimage ¡resistance ¡ – Given ¡ x , ¡intractable ¡to ¡find ¡ y≠x ¡such ¡that ¡ H(y)=H(x) ¡ • Collision ¡resistance ¡ – Intractable ¡to ¡find ¡ x, ¡y ¡ such ¡that ¡ y≠x ¡and ¡ H(y)=H(x) ¡

  23. Message ¡Integrity: ¡ ¡ ¡ ¡MACs ¡ Goal: ¡ ¡ ¡provide ¡message ¡integrity. ¡ ¡ ¡ ¡ ¡No ¡confidenAality. ¡ • – ex: ¡ ¡ ¡ProtecAng ¡public ¡binaries ¡on ¡disk. ¡ ¡ ¡ ¡ k k Message m tag Alice Bob Verify tag: Generate tag: ? tag ← S(k, m) V(k, m, tag) = `yes’ note: ¡ ¡ ¡ ¡non-­‑keyed ¡checksum ¡ (CRC) ¡ is ¡an ¡insecure ¡ MAC ¡ ¡!! ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

CS161 Midterm 1 Review Midterm 1: March 4, 18:30- 20:00 Same room as lecture Security Analysis

CS161 Midterm 1 Review Midterm 1: March 4, 18:30- 20:00 Same room as lecture Security Analysis

CS161 Midterm 1 Review Midterm 1: March 4, 18:30- 20:00 Same room as lecture Security Analysis and Threat Model Basic security properties CIA Threat model A. We want perfect security B. Security is about risk analysis and

426 views • 29 slides
Midterm review Midterm: what you need to know Everything weve covered thus far (chapters 1

Midterm review Midterm: what you need to know Everything weve covered thus far (chapters 1

Midterm review Midterm: what you need to know Everything weve covered thus far (chapters 1 -10, lectures, discussions, cases) may appear on the exam The only item that will not be covered on the midterm is chapter 8 (Global Marketing)

815 views • 53 slides
CSE 461 Midterm Review A quick tour of what we have learned so far Midterm Topic Coverage

CSE 461 Midterm Review A quick tour of what we have learned so far Midterm Topic Coverage

CSE 461 Midterm Review A quick tour of what we have learned so far Midterm Topic Coverage Midterm is on Everything we covered in lecture slides, textbook, and Feb. 10, Mon assignments before Section 3.1 (Backward Learning and Spanning Tree

531 views • 42 slides
Review Review of topics for midterm Next class Homeworks 1 &amp; 2 solutions and

Review Review of topics for midterm Next class Homeworks 1 &amp; 2 solutions and

Numerical and Scientific Computing with Applications David F . Gleich CS 314, Purdue September 16, 2016 In this class: Review Review of topics for midterm Next class Homeworks 1 &amp; 2 solutions and questions Midterm G&amp;C

495 views • 14 slides
CSE 461 MIDTERM REVIEW HELP YOURSELF TO SNACKS MIDTERM OVERVIEW 50 minutes Closed

CSE 461 MIDTERM REVIEW HELP YOURSELF TO SNACKS MIDTERM OVERVIEW 50 minutes Closed

CSE 461 MIDTERM REVIEW HELP YOURSELF TO SNACKS MIDTERM OVERVIEW 50 minutes Closed book, closed notes Covers topics in lectures, projects and homeworks Not intended to test things you can easily look up If something

728 views • 42 slides
CS 401 Midterm review Xiaorui Sun 1 Midterm Exam Midterm exam via gradescope : October 16

CS 401 Midterm review Xiaorui Sun 1 Midterm Exam Midterm exam via gradescope : October 16

CS 401 Midterm review Xiaorui Sun 1 Midterm Exam Midterm exam via gradescope : October 16 (Friday) The exam will be available on Oct 16 0am You must submit no later than Oct 16 11:59pm Usually can be finished in 2 hours

679 views • 35 slides
Midterm Review Logistics Lab 2 now due Monday May 18 th Midterm next class computer

Midterm Review Logistics Lab 2 now due Monday May 18 th Midterm next class computer

Midterm Review Logistics Lab 2 now due Monday May 18 th Midterm next class computer architecture background, gpu architecture, CUDA Parallelism, Memory coalescing, warp divergence, thread synchronization, Reduction, Scan, and Matrix

706 views • 31 slides
Topics For Final (1) everything from before the midterm outline posted in midterm review

Topics For Final (1) everything from before the midterm outline posted in midterm review

Topics For Final (1) everything from before the midterm outline posted in midterm review slides Architectural Styles 5 styles discussed: pipe &amp; filter layered implicit invocation (event based) repository

429 views • 14 slides
Midterm 2 Review. Midterm format Modular Arithmetic Inverses and GCD Midterm Topics: Notes 6-14.

Midterm 2 Review. Midterm format Modular Arithmetic Inverses and GCD Midterm Topics: Notes 6-14.

Midterm 2 Review. Midterm format Modular Arithmetic Inverses and GCD Midterm Topics: Notes 6-14. Modular Arithmetic. Inverses. GCD/Extended-GCD. x has inverse modulo m if and only if gcd ( x , m ) = 1 . Time: 120 minutes Proof Idea:

282 views • 5 slides
Midterm review 98-348: Lecture 6 Midterm logistics Next week in class (Oct 16 th ) Worth

Midterm review 98-348: Lecture 6 Midterm logistics Next week in class (Oct 16 th ) Worth

Midterm review 98-348: Lecture 6 Midterm logistics Next week in class (Oct 16 th ) Worth 30% of your grade Should look like Homework 3 and 4 2 short answers 2 declensions 2 weak conjugation 2 gloss-and-translations

544 views • 26 slides
CSE 461 MIDTERM REVIEW MIDTERM OVERVIEW 50 minutes Closed book,

CSE 461 MIDTERM REVIEW MIDTERM OVERVIEW 50 minutes Closed book,

CSE 461 MIDTERM REVIEW MIDTERM OVERVIEW 50 minutes Closed book, closed notes Covers topics in lectures, projects and homeworks Not intended to test

789 views • 45 slides
Midterm 2 Review Midterm Topics Leader Election Consensus Formulation Synchronous

Midterm 2 Review Midterm Topics Leader Election Consensus Formulation Synchronous

Midterm 2 Review Midterm Topics Leader Election Consensus Formulation Synchronous consensus Paxos FLP Theorem Bitcoin Raft DHT Midterm Format Timed exam, 79 p.m. Monday Exam released @ 7 p.m.

340 views • 14 slides
CSE 461: Midterm Review! Autumn 2020 Midterm Info November 9th, 12:30pm - 1:20pm PST

CSE 461: Midterm Review! Autumn 2020 Midterm Info November 9th, 12:30pm - 1:20pm PST

CSE 461: Midterm Review! Autumn 2020 Midterm Info November 9th, 12:30pm - 1:20pm PST Reminder: Assignment 3 due tomorrow! Networks Parts of a network Types of links Overview Key interfaces Sockets

498 views • 38 slides
Midterm 1 Review Office Hours Midterm 1 on Sept. 28th Mon 12-1pm Zane will

Midterm 1 Review Office Hours Midterm 1 on Sept. 28th Mon 12-1pm Zane will

Midterm 1 Review Office Hours Midterm 1 on Sept. 28th Mon 12-1pm Zane will cover Chapters 1-5 and lecture material Tues 1:30-3pm me Tues 5-6pm Randall Chapter 10 Reading Assignment due Monday,

825 views • 53 slides
Lecture 10 Midterm review Announcements The midterm is on Tue Feb 9 th in class 4 Bring photo

Lecture 10 Midterm review Announcements The midterm is on Tue Feb 9 th in class 4 Bring photo

Lecture 10 Midterm review Announcements The midterm is on Tue Feb 9 th in class 4 Bring photo ID 4 You may bring a single sheet of notebook sized paper 8x10 inches with notes on both sides (A4 OK) 4 You may not bring a magnifying

491 views • 32 slides
Wrap of Number Theory &amp; Midterm Review F Primes, GCD, and LCM (Section 3.5 in text) F Midterm

Wrap of Number Theory &amp; Midterm Review F Primes, GCD, and LCM (Section 3.5 in text) F Midterm

Wrap of Number Theory &amp; Midterm Review F Primes, GCD, and LCM (Section 3.5 in text) F Midterm Review Sections 1.1-1.7 Propositional logic Predicate logic Rules of inference and proofs Sections 2.1-2.3 Sets and Set operations Functions

241 views • 12 slides
CS5412: DANGERS OF CONSOLIDATION Lecture XXIII Ken Birman Are Clouds Inherently Dangerous? 2

CS5412: DANGERS OF CONSOLIDATION Lecture XXIII Ken Birman Are Clouds Inherently Dangerous? 2

CS5412 Sping 2015 1 CS5412: DANGERS OF CONSOLIDATION Lecture XXIII Ken Birman Are Clouds Inherently Dangerous? 2 Gene Spafford, famous for warning that the emperor has no clothes fears that moving critical information to the cloud

585 views • 57 slides
CS345a: Data Mining Jure Leskovec Stanford University CPU Machine Learning, Statistics Memory

CS345a: Data Mining Jure Leskovec Stanford University CPU Machine Learning, Statistics Memory

CS345a: Data Mining Jure Leskovec Stanford University CPU Machine Learning, Statistics Memory Memory Classical Data Mining Disk 1/7/2010 Jure Leskovec, Stanford CS345a: Data Mining 2 20+ billion web pages x 20KB = 400+ TB 20+

784 views • 54 slides
CS 105 x86-64 Linux Memory Layout x86-64 Linux Memory Layout Tour of Black Holes of Computing

CS 105 x86-64 Linux Memory Layout x86-64 Linux Memory Layout Tour of Black Holes of Computing

CS 105 x86-64 Linux Memory Layout x86-64 Linux Memory Layout Tour of Black Holes of Computing 00007FFFFFFFFFFF Stack

197 views • 8 slides
Apache As A Malware-Scanning Proxy Jeremy Stashewsky, Sophos Plc. http://www.sophos.com/

Apache As A Malware-Scanning Proxy Jeremy Stashewsky, Sophos Plc. http://www.sophos.com/

Apache As A Malware-Scanning Proxy Jeremy Stashewsky, Sophos Plc. http://www.sophos.com/ jeremys@ca.sophos.com Overview The case: building an appliance product Apache HTTPD proxy architecture Malware scanning: challenges and

895 views • 68 slides
Chapter 8 Digital Design and Computer Architecture , 2 nd Edition David Money Harris and Sarah L.

Chapter 8 Digital Design and Computer Architecture , 2 nd Edition David Money Harris and Sarah L.

Chapter 8 Digital Design and Computer Architecture , 2 nd Edition David Money Harris and Sarah L. Harris Chapter 8 &lt;1&gt; Chapter 8 :: Topics Introduction Memory System Performance Analysis Caches Virtual Memory

1.21k views • 87 slides
Leakage-Resilient Cryptography with Key Derived from Sensitive Data Konrad Durnoga, Stefan

Leakage-Resilient Cryptography with Key Derived from Sensitive Data Konrad Durnoga, Stefan

Leakage-Resilient Cryptography with Key Derived from Sensitive Data Konrad Durnoga, Stefan Dziembowski, Tomasz Kazana, Micha Zaj c , Maciej Zdanowicz Estonian Computer Science Theory Days Jekla 2-4.10.2015 Computers can be

542 views • 32 slides
FileSender FileSender http://www.filesender.org/ J Jan Meijer M ij TF St TF-Storage 7 7

FileSender FileSender http://www.filesender.org/ J Jan Meijer M ij TF St TF-Storage 7 7

FileSender FileSender http://www.filesender.org/ J Jan Meijer M ij TF St TF-Storage 7 7 9+10 September 2010 Poznan value proposition value proposition easy sharing arbitrarily large files through a trusted intermediary through a trusted

401 views • 13 slides
ISDD Friday lecture Bits, Bytes and certainly more than just Microsoft, an overview of the

ISDD Friday lecture Bits, Bytes and certainly more than just Microsoft, an overview of the

ISDD Friday lecture Bits, Bytes and certainly more than just Microsoft, an overview of the ESRF computing infrastructure Slide: 1 Organisational Today, many of us are computer experts or at least computer literate Home computing

658 views • 61 slides

More recommend