finding vulnerabilifes cs642 computer security
play

Finding vulnerabiliFes CS642: Computer Security - PowerPoint PPT Presentation

Feb 01, 2024 •149 likes •637 views

Finding vulnerabiliFes CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

  1. Finding ¡vulnerabiliFes ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  2. AdministraFve ¡ • Do ¡people ¡have ¡access ¡to ¡running ¡the ¡HW1 ¡ VM? ¡ • Are ¡people ¡sFll ¡on ¡wait ¡list? ¡ – send ¡me ¡your ¡name ¡and ¡ID ¡

  3. Finding ¡vulnerabiliFes ¡ Manual ¡analysis ¡ Simple ¡example: ¡double ¡free ¡ Fuzzing ¡tools ¡ StaFc ¡analysis, ¡dynamic ¡analysis ¡ … ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  4. "#$%&'()*(&)+&,-.&/)+',$&((&()#01) 2&$30,.,45)6,),76#80)#)(804*.#') 4,#.9):0;,'<#68,0)1,<80#0$& From ¡“How ¡Hackers ¡Look ¡for ¡Bugs”, ¡Dave ¡Aitel ¡

  5. "#$%&#&'#()*%&)+,-./0&1&#2-& #00#/$&30&+%(,0%*4 560#32&7+,-./0 7+,0,/,*&82#*4'3' <#2.#*&=%0>,+$& @,.+/%AB32#+4 9.::32; ?.*2%+#63*304&82#*4'3' 82#*4'3' 5)%2&@,.+/% G%'%#+/H 7+3F#0%&@,.+/% CD)*,30&E%F%*,)(%20 G%'%#+/H ! From ¡“How ¡Hackers ¡Look ¡for ¡Bugs”, ¡Dave ¡Aitel ¡

  6. Manual ¡analysis ¡ • You ¡get ¡a ¡binary ¡or ¡the ¡source ¡code ¡ • You ¡find ¡vulnerabiliFes ¡

  7. IDA ¡Pro ¡

  8. IDA ¡Pro ¡

  9. What ¡type ¡of ¡vulnerability ¡might ¡this ¡be? ¡ main( ¡ ¡int ¡argc, ¡char* ¡argv[] ¡) ¡{ ¡ ¡ ¡char* ¡b1; ¡ ¡ ¡char* ¡b2; ¡ ¡ ¡char* ¡b3; ¡ ¡ ¡ ¡b1 ¡= ¡(char*)malloc(248); ¡ ¡ ¡ ¡b2 ¡= ¡(char*)malloc(248); ¡ ¡ ¡free(b1); ¡ ¡ ¡ ¡free(b2); ¡ ¡ ¡b3 ¡= ¡(char*)malloc(512); ¡ ¡ ¡strncpy( ¡b3, ¡argv[1], ¡511 ¡); ¡ ¡ ¡free(b2); ¡ ¡ ¡free(b3); ¡ } ¡ Double-­‑free ¡vulnerability ¡

  10. Double-­‑free ¡vulnerabiliFes ¡ Can ¡corrupt ¡the ¡state ¡of ¡the ¡heap ¡management ¡ Say ¡we ¡use ¡a ¡simple ¡doubly-­‑linked ¡list ¡malloc ¡implementaFon ¡ with ¡control ¡informaFon ¡stored ¡alongside ¡data ¡ Chunk ¡has: ¡ ¡ chunk.leg ¡ 1) leg ¡ptr ¡(to ¡previous ¡chunk) ¡ 2) right ¡ptr ¡(to ¡next ¡chunk) ¡ chunk.right ¡ h ¡ 3) free ¡bit ¡which ¡denotes ¡if ¡chunk ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡this ¡reuses ¡low ¡bit ¡of ¡right ¡ptr ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡because ¡we ¡will ¡align ¡chunks ¡ user ¡data ¡ 4) ¡ ¡ ¡user ¡data ¡

  11. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 1 ¡ empty ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  12. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 0 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡); ¡ data1 ¡ ¡ ¡ chunk3.leg ¡ chunk3.right ¡ 1 ¡ empty ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  13. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 0 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡) ¡ ¡ data1 ¡ ¡ b2 ¡= ¡malloc( ¡BUF_SIZE2 ¡) ¡ chunk3.leg ¡ free() ¡ -­‑ Consolidate ¡with ¡free ¡neighbors ¡ chunk3.right ¡ 0 ¡ data2 ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  14. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 1 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡) ¡ ¡ data1 ¡ ¡ b2 ¡= ¡malloc( ¡BUF_SIZE2 ¡) ¡ chunk3.leg ¡ free() ¡ -­‑ Consolidate ¡with ¡free ¡neighbors ¡ chunk3.right ¡ 0 ¡ free( ¡b1 ¡) ¡ ¡ data2 ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  15. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 1 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡) ¡ ¡ data1 ¡ ¡ b2 ¡= ¡malloc( ¡BUF_SIZE2 ¡) ¡ chunk3.leg ¡ free() ¡ -­‑ Consolidate ¡with ¡free ¡neighbors ¡ chunk3.right ¡ 0 ¡ free( ¡b1 ¡) ¡ ¡ free( ¡b2 ¡) ¡ ¡ ¡ data2 ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  16. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 0 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡) ¡ ¡ data1 ¡ ¡ b2 ¡= ¡malloc( ¡BUF_SIZE2 ¡) ¡ chunk3.leg ¡ free() ¡ -­‑ Consolidate ¡with ¡free ¡neighbors ¡ chunk3.right ¡ 0 ¡ free( ¡b1 ¡) ¡ ¡ free( ¡b2 ¡) ¡ ¡ b3 ¡= ¡malloc( ¡BUF_SIZE1 ¡+ ¡BUF_SIZE2 ¡) ¡ ¡ data2 ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  17. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 0 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡) ¡ ¡ data1 ¡ ¡ b2 ¡= ¡malloc( ¡BUF_SIZE2 ¡) ¡ chunk3.leg ¡ free() ¡ -­‑ Consolidate ¡with ¡free ¡neighbors ¡ chunk3.right ¡ 0 ¡ free( ¡b1 ¡) ¡ ¡ free( ¡b2 ¡) ¡ ¡ b3 ¡= ¡malloc( ¡BUF_SIZE1 ¡+ ¡BUF_SIZE2 ¡) ¡ ¡ strncpy( ¡b3, ¡argv[1], ¡BUF_SIZE1+BUF_SIZE2-­‑1 ¡) ¡ data2 ¡ chunk2.leg ¡ NULL ¡ 1 ¡

  18. malloc() ¡ NULL ¡ -­‑ search ¡leg-­‑to-­‑right ¡for ¡free ¡chunk ¡ -­‑ modify ¡pointers ¡ chunk1.right ¡ 0 ¡ b1 ¡= ¡malloc( ¡BUF_SIZE1 ¡) ¡ ¡ data1 ¡ ¡ b2 ¡= ¡malloc( ¡BUF_SIZE2 ¡) ¡ chunk3.leg ¡ free() ¡ -­‑ Consolidate ¡with ¡free ¡neighbors ¡ chunk3.right ¡ 0 ¡ free( ¡b1 ¡) ¡ ¡ b2 ¡ free( ¡b2 ¡) ¡ ¡ b3 ¡= ¡malloc( ¡BUF_SIZE1 ¡+ ¡BUF_SIZE2 ¡) ¡ ¡ strncpy( ¡b3, ¡argv[1], ¡BUF_SIZE1+BUF_SIZE2-­‑1 ¡) ¡ data2 ¡ free( ¡b2 ¡) ¡ With ¡a ¡clever ¡argv[1]: ¡ Interprets ¡b2-­‑8 ¡as ¡a ¡chunk3.leg ¡ write ¡a ¡4-­‑byte ¡word ¡to ¡an ¡ Interprets ¡b2-­‑4 ¡as ¡a ¡chunk3.right ¡ arbitrary ¡loca9on ¡in ¡memory ¡ (b2 ¡-­‑ ¡8)-­‑>leg-­‑>right ¡= ¡(b2-­‑8)-­‑>right ¡ ¡ ¡ chunk2.leg ¡ (b2 ¡-­‑ ¡8)-­‑>right-­‑>leg ¡= ¡(b2-­‑8)-­‑>leg ¡ ¡ ¡ NULL ¡ 1 ¡

  19. What ¡type ¡of ¡vulnerability ¡might ¡this ¡be? ¡ This ¡is ¡ridiculously ¡simple ¡example. ¡ Manual ¡analysis ¡is ¡very ¡Fme ¡ consuming. ¡

  20. Program ¡Analyzers ¡ analyze ¡large ¡ ¡ code ¡bases ¡ Code ¡ Report ¡ ¡ Type ¡ Line ¡ 1 ¡ mem ¡leak ¡ 324 ¡ 2 ¡ buffer ¡oflow ¡ 4,353,245 ¡ false ¡alarm ¡ Program ¡ 3 ¡ sql ¡injecFon ¡ 23,212 ¡ Analyzer ¡ 4 ¡ stack ¡oflow ¡ 86,923 ¡ false ¡alarm ¡ 5 ¡ dang ¡ptr ¡ 8,491 ¡ Spec ¡ … ¡ … ¡ … ¡ 10,502 ¡ info ¡leak ¡ 10,921 ¡ poten9ally ¡ ¡ may ¡emit ¡ ¡ reports ¡many ¡ false ¡alarms ¡ warnings ¡ Slide ¡credit: ¡Prof ¡Mitchell ¡Stanford’s ¡CS ¡155 ¡

  21. Program ¡analyzers ¡ • StaFc ¡analysis ¡ – Do ¡not ¡execute ¡program ¡ ¡ • Dynamic ¡analysis ¡ – Execute ¡program ¡on ¡test ¡cases ¡

  22. Soundness, ¡Completeness ¡ Property ¡ Defini9on ¡ Soundness ¡ If ¡the ¡program ¡contains ¡an ¡error, ¡ the ¡analysis ¡will ¡report ¡a ¡warning. ¡ “Sound ¡for ¡reporFng ¡correctness” ¡ Completeness ¡ If ¡the ¡analysis ¡reports ¡an ¡error, ¡the ¡ program ¡will ¡contain ¡an ¡error. ¡ “Complete ¡for ¡reporFng ¡correctness” ¡ Slide ¡credit: ¡Prof ¡Mitchell ¡Stanford’s ¡CS ¡155 ¡

  23. Complete ¡ Incomplete ¡ Reports ¡all ¡errors ¡ Sound ¡ Reports ¡all ¡errors ¡ May ¡report ¡false ¡alarms ¡ Reports ¡no ¡false ¡alarms ¡ Undecidable ¡ Decidable ¡ Unsound ¡ May ¡not ¡report ¡all ¡errors ¡ May ¡not ¡report ¡all ¡errors ¡ May ¡report ¡false ¡alarms ¡ Reports ¡no ¡false ¡alarms ¡ Decidable ¡ Decidable ¡ Slide ¡credit: ¡Prof ¡Mitchell ¡Stanford’s ¡CS ¡155 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Finding vulnerabiliFes CS642: Computer Security Professor

Finding vulnerabiliFes CS642: Computer Security Professor

Finding vulnerabiliFes CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

851 views • 51 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Combining AIRS and TES CO Measurements Juying Warner, Z. Sun, C. Barnet, A. Tangborn, M. Luo, G.

Combining AIRS and TES CO Measurements Juying Warner, Z. Sun, C. Barnet, A. Tangborn, M. Luo, G.

Combining AIRS and TES CO Measurements Juying Warner, Z. Sun, C. Barnet, A. Tangborn, M. Luo, G. Sachse Background Intercomparison of AIRS CO with MOPITT (Warner et al ., 2007, JGR ) and with TES (Warner et al., in review, GRL ) has been

279 views • 9 slides
Strong local optimality of singular trajectories Gianna Stefani Dipartimento di Matematica e

Strong local optimality of singular trajectories Gianna Stefani Dipartimento di Matematica e

Strong local optimality of singular trajectories Gianna Stefani Dipartimento di Matematica e Informatica, Universit` a di Firenze Nonholonomic mechanics and optimal control Institut Henri Poincar e, November 25-28, 2014 G.Stefani (DiMaI)

735 views • 54 slides
Cryptanalysis of GGH and NTRU Signatures Oded Regev (Tel Aviv University and CNRS, ENS-Paris)

Cryptanalysis of GGH and NTRU Signatures Oded Regev (Tel Aviv University and CNRS, ENS-Paris)

Winter School on Lattice-Based Cryptography and Applications Bar-Ilan University, Israel 20/2/2012 Learning a Parallelepiped: Bar-Ilan University Dept. of Computer Science Cryptanalysis of GGH and NTRU Signatures Oded Regev (Tel Aviv

422 views • 29 slides
Sensors Simplified ObjecBves Cameras Sensors (and Film) where Rays of Photographic

Sensors Simplified ObjecBves Cameras Sensors (and Film) where Rays of Photographic

Sensors Simplified ObjecBves Cameras Sensors (and Film) where Rays of Photographic Processes for Digital Capture Light become Pixels The Five Simplified layers of a CCD Two benefits of using the Camera Raw Reading:

384 views • 3 slides
Two-phase free boundary problems for harmonic measure with H older data (and blowups in

Two-phase free boundary problems for harmonic measure with H older data (and blowups in

Two-phase free boundary problems for harmonic measure with H older data (and blowups in multi-phase problems) Matthew Badger University of Connecticut April 21, 2018 Research partially supported by NSF DMS 1500382 and NSF DMS 1650546.

807 views • 39 slides
Hudson Valley DSRIP Project Advisory Committee Webinar November 19, 2014 10:00 10:45 am

Hudson Valley DSRIP Project Advisory Committee Webinar November 19, 2014 10:00 10:45 am

Hudson Valley DSRIP Project Advisory Committee Webinar November 19, 2014 10:00 10:45 am Dial-in: 1-855-749-4750 Access code: 573 568 484 Confidential Not for Distribution Housekeeping Please mute your phone line Submit

391 views • 21 slides
Opinion Spam Analysis and Detection Leaked Confidential Information as Ground Truth Yu-Ren Chen,

Opinion Spam Analysis and Detection Leaked Confidential Information as Ground Truth Yu-Ren Chen,

Opinion Spam Analysis and Detection Leaked Confidential Information as Ground Truth Yu-Ren Chen, Hsin Hsi Chen National Taiwan University What Is Opinion Spam? spreading commercially advantageous opinions as regular users on the Internet

1.18k views • 70 slides
Objective Metatheory of (Cubical) Type Theory Jonathan Sterling August 31, 2020 The

Objective Metatheory of (Cubical) Type Theory Jonathan Sterling August 31, 2020 The

Objective Metatheory of (Cubical) Type Theory Jonathan Sterling August 31, 2020 The implementation and semantics of dependent type theories can be studied in a syntax-independent way. Using the semantic techniques of the objective metatheory ,

1.29k views • 116 slides

More recommend