خلاصة:
امروزه آسیبپذیریهای موجود در سیستمعاملها و برنامههای پراستفاده، شالوده حملات نفوذگران به زیرساختهای فناوری اطلاعات را تشکیل میدهد و مهاجمان از این طریق، کنترل سیستمهای رایانهای را بهدست میگیرند. پژوهشگران عرصه نرمافزار، تلاش زیادی در ساخت و راهاندازی مکانیزمهای امنیتی در چرخه حیات نرمافزارها برای مقابله با رشد روزافزون این آسیبپذیریها کردهاند. این مقاله، با بررسی و تحلیل آماری گزارشهای موجود در پایگاه داده جهانی آسیبپذیریها، اقدام به ارزیابی میزان عملکرد و اثربخشی این مکانیزمهای امنیتی نموده است. در بررسیهای انجام گرفته، مشخص شد که با وجود توسعه مکانیزمهای امنیتی، برخی از این آسیبپذیریها رشد صعودی داشتهاند و برخی نیز، در آستانه حذف از لیست آسیبپذیریهای مطرح قرار دارند. نکته حائز اهمیت در این تحقیق، دخالت دادن میزان استفاده از نرمافزارها است. با اعمال این پارامتر بر میزان آسیبپذیریها، میزان اثر خسارتی نرمافزارها تخمین زده شده و باهم مقایسه گردیده است.
ملخص الجهاز:
در این گزارش، حمله سرریزبافر که ناشی از عدم کنترل بافر دریافتکننده داده است، بهعنوان سومین آسیبپذیری خطرناک در حوزه نرمافزار بیان شده است.
راهکارهای متعددی در کنترل این آسیبپذیری در مراحل مختلف تولید و استفاده از نرمافزار ارائه شده است که میتوان آنها را در دستهبندیهای مختلفی تقسیم نمود.
چندین راهحل زمان اجرا برای جلوگیری از این آسیبپذیری ارائه شده است که اولین نمونه از آن، محافظ پشته4 نام دارد.
مرجع [8]، روشی را در سطح کاربر ارائه داده است که از تصادفی کردن اجزاء مختلف برنامه، مانند: پشته برنامه، حافظه هیپ برنامه و کتابخانههای مرتبط به برنامه بهمنظور جلوگیری از سوءاستفاده از آسیبپذیری استفاده میکند.
یک روش، سطح هسته را برای افزایش میزان بهمریختگی کد برنامه ارائه داده است ولی برای انجام این کار، نیاز به اطلاعات تولید شده توسط کامپایلر در زمان کامپایل برنامه دارد.
Zhang, " Automatic Detection and Prevention of Buffer-Overflow Attacks," 7th USENIX Security Symposium, 1998.
Zhang,, "StackGuard: Automatic Adaptive Detection and Prevention of Buffer-Overflow Attacks," 1998.
Beattie, and Jo. Walpole, "Buffer Overflows: Attacks and Defenses for the Vulnerability of the Decade*," 1999.
Wagle, "Point GuardTM: Protecting Pointers From Buffer Overflow Vulnerabilities," ed Washington, D.
E. Haugh "Testing C programs for buffer overflow vulnerabilities," 2003.
Bing "A New Data Randomization Method to Defend Buffer Overflow Attacks," Elsevie, 2011.
Del Grosso C, Di Penta M, "An evolutionary testing approach to detect buffer overflow," 2004.
Galinier, "Detecting buffer overflow via automatic test input data generation," www.