Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Автоматизация построения правил для Approof

Positive Development User Group
September 25, 2017
Programming
0
35

Автоматизация построения правил для Approof

Доклад Дениса Ефремова (ИСП РАН), посвященный написанию правил для утилиты Approof, на PHDays VII.

Positive Development User Group

September 25, 2017
Tweet

More Decks by Positive Development User Group

See All by Positive Development User Group
JavaScript: анализируем динамику статикой
pdugslides
0
25
SAST, CWE, SEI CERT и другие умные слова из мира информационной безопасности
pdugslides
0
120
Уязвимости в процессе десериализации в .NET: прошлое, настоящее и будущее
pdugslides
0
30
Даром преподаватели время со мною тратили…
pdugslides
0
50
Как создать GDPR-compliant-продукт
pdugslides
0
42
Актуальные вопросы безопасности Android-приложений
pdugslides
1
76
Конвейер непрерывной проверки приложений на безопасность
pdugslides
0
31
Построение процесса безопасного программирования
pdugslides
1
54
Моделирование угроз: делаем вовремя вместе с командой разработки
pdugslides
0
51

Other Decks in Programming

See All in Programming
VSCodeでのDatabricks開発もお勧めしたい/I would also recommend Databricks development with VSCode.
kazumain
0
240
Changed Rules: Architectures with Lightweight Stores
manfredsteyer
PRO
0
230
Doctrine ORMでValue Objectを扱う方法4選 #phpstudy / 4 ways to handle Value Objects with Doctrine ORM
77web
4
110
元気予報
suu_mire0726
0
860
SwiftUIで使いやすいToastの作り方 / How to build a Toast system which is easy to use in SwiftUI
lovee
3
100
チーム力を高めるスクラム実践法:カンバン公開と課題攻略について - ニフティのスクラムトーク Vol. 2 - NIFTY Tech Talk #18
niftycorp
PRO
1
110
今、知っておきたい! 生成AIエージェントの世界
elith
3
340
本格ローグライク制作にEbitengineを選んでみた
nagainaganawa
0
290
データアナリストが行うDatabricksを活用したETLの自動化事例
shinoa
0
260
Code Reviews
bkuhlmann
4
880
コードレビューで学ぶ!Kotlinオブジェクト指向デザインパターン
akkie76
2
180
Elm 0.19.0 Changes
bkuhlmann
0
490

Featured

See All Featured
Large-scale JavaScript Application Architecture
addyosmani
503
110k
Building an army of robots
kneath
300
41k
Why You Should Never Use an ORM
jnunemaker
PRO
50
8.6k
How STYLIGHT went responsive
nonsquared
92
4.8k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
6
990
Thoughts on Productivity
jonyablonski
57
3.8k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k

Transcript

  1. Заголовок ptsecurity.com Автоматизация построения правил для Approof м.н.с. Ефремов Д.В.

    ИСП РАН [email protected]

  2. Заголовок • Статический анализатор • Младший брат Application Inspector •

    Свободно доступен для использования «Без регистрации и смс» • https://approof.ptsecurity.ru/ • Движок FingerPrint – поиск известных версий библиотек с уязвимостями

  3. Заголовок • Метаинформация • Имя, версия, описание угрозы, уровень угрозы

    … • Паттерны • Строки, регулярные выражения • Условия сопоставления паттернов • Логическое условие на основе существующих паттернов и правил • http://yara.readthedocs.io/en/v3.6.0/ • Правила добавляются через меню "Add Yara rules” • Либо "%LOCALAPPDATA%\Approof\YaraRules\" Правила Yara для Approof (1)

  4. Заголовок Правила Yara для Approof (2)

  5. Заголовок Правила Yara для Approof (2)

  6. Заголовок Правила Yara для Approof (2)

  7. Заголовок Правила Yara для Approof (2)

  8. Заголовок Правила Yara для Approof (3)

  9. Заголовок Правила Yara для Approof (4)

  10. Заголовок Правила Yara для Approof (5)

  11. Заголовок Правила Yara для Approof (5)

  12. Заголовок Правила Yara для Approof (5)

  13. Заголовок •Описание уязвимости •http://cve.mitre.org/, http://vuldb.com, https://vulners.com/, … •Исходный код разных

    версий пакетов •https://api.metacpan.org/source •https://registry.npmjs.org/ •https://pypi.python.org/pypi/ •… Автоматизация (1) (Метаинформация)

  14. Заголовок •Имя пакета •package HTML::Scrubber; •"name": "dns-sync" •__title__ = ”requests"

    •Версия пакета •our $VERSION = '0.10'; •"version": "0.1.0" •__version__ = "1.0.0" Автоматизация (2) (Паттерны в исходных кодах)

  15. Заголовок Автоматизация (3) (Синтез) Определение версий пакетов Загрузка и обрабока

    Поиск идентификаторов Преобразование в шаблон

  16. Заголовок • Perl • Нет проблем, всё шикарно • Python

    • setup.py не устанавливается • __init.py__ может ничего не содержать • __version__, __title__, __build__, __author__ ещё надо найти • Модуль может не содержать идентификаторов версий • Модуль может не содержать имя модуля в явном виде в файлах • Pyc, Pyo файлы • JavaScript • Когда есть package.json всё шикарно • … Проблемы при автоматизации

  17. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (1)

  18. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (2)

  19. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (3)

  20. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (3)

  21. Заголовок yargen --module HTML::Scrubber --cve CVE-2015-5667 (3)

  22. Заголовок •Сопоставление по пути файла • Python (__init__.py и остальные

    файлы) • setup.py не устанавливается • Файлы пакета могут не содержать идентификатора имени пакета • JavaScript (package.json) •Сопоставления по нескольким файлам • Идентификаторы пакета и версий находятся в разных файлах Каких возможностей недостаёт?

  23. Заголовок •Публичный репозиторий правил •https://github.com/PositiveTechnologies/FP- community-rules •Репозиторий программы генерации правил

    •https://github.com/evdenis/yargen Дополнительная информация

  24. Заголовок ptsecurity.com Спасибо! Спасибо!