TD 11 - Analise estática de programa para a segurança

Plano

1. formar grupos de três pessoas;
2. ler e resumir (num documento para entregar) o artigo de divulgação "Static Analysis for Security" de Brian Chess, Gary MCGraw;
3. escolher um dos 5 artigos seguintes:
• A Type-Based Approach to Program Security Dennis Volpano and Geoffrey Smith
• Detection and prevention of stack buffer overflow attacks By Benjamin A. Kuperman, Carla E. Brodley, Hilmi Ozdoganoglu, T.N. Vijaykumar, and Ankit Jalote (link alternativo)
• Language-Based Information-Flow Security Andrei Sabelfeld and Andrew C. Myers
• Principles of Secure Information Flow Analysis Geoffrey Smith
• Finding Security Vulnerabilities in Java Applications with Static Analysis V. Benjamin Livshits and Monica S. Lam
resuma e prepare uma apresentação do artigo escolhido. Deverá ficar claro a sua compreensão dos tópicos introduzidos no artigo, por exemplo fazendo o relato da sua experimentação com os métodos apresentados;
4. escolher um dos 4 artigos sob ferramentas de analise estática seguintes:
• SPLINT: Improving Security Using Extensible Lightweight Static Analysis David Evans and David Larochelle, University of Virginia
• TAJS: Type Analysis for JavaScript Simon Holm Jensen, Anders Møller and Peter Thiemann
• Pixy: A Static Analysis Tool for Detecting Web Application Vulnerabilities Nenad Jovanovic, Christopher Kruegel, Engin Kirda (link alternativo)
• JFlow: Practical Mostly-Static Information Flow Control Andrew C. Myers
resuma e prepare uma apresentação do artigo escolhido. Deverá ficar claro a sua compreensão dos tópicos introduzidos no artigo, por exemplo fazendo o relato da sua experimentação com as ferramentas apresentadas;
5. Faça uma demonstração esclarecida (com uma curta apresentação da abordagem seguida) de uma das ferramentas aqui listada. Poderá também propor uma outra ferramenta (ver nesta lista de ferramentas de analise estática de código ou nesta outra lista de ferramentas de analise estática de código, por exemplo)
   • JIF - Java Informafion Flow (implementação actual do JFLow)
   • JSFlow - JavaScript Information Flow
   • Flow - a static type checker for JavaScript
   • Infer - A tool to detect bugs in Android and iOS apps before they ship
   • TAJS - Type Analyzer for JavaScript
   • FlowDroid – Taint Analysis for Android Applications
   espera-se que apresente um conjunto de programas representativos (positivos e negativos) relativamente à analise em causa, com a finalidade da demonstração da analise produzida.

Apresentações