技術書典6でSecure旅団に寄稿しました
今更の宣伝ですが、Secure旅団の同人誌第4弾『セキュリティ畑でつかまえて』に「K Framework を用いた脆弱性検出支援」という題で寄稿しました。 先の技術書典6で頒布されました。 現在電子版がBoothで販売されています。
セキュリティ畑でつかまえて - Secure旅団 - BOOTH
参考までに私の内容を冒頭だけ掲載します。
はじめに
はい、ども、友利奈緒(@K_atc)です。 私が所属しているサークルTomoriNaoが技術書典6で落選太郎したのでお邪魔してみました>< 私はソフトウェアの脆弱性検出を趣味で研究しています。レイヤー低めな人です。
今回は、K Frameworkというプログラミング言語の意味論を実行可能とするフレームワークを用いて、 C言語プログラムの脆弱性検出を支援してみました。 最初に、簡単なプログラミング言語を定義しながら、K Frameworkが何たるかを説明します。 次に、RV-Matchという、K Framework上でC言語を定義したフレームワークを紹介し、動作確認として範囲外参照を検出してみます。 最後に、RV-MatchもといK Frameworkは脆弱性検出の場面で有用かもしれないことを示したいので、 ファジング(脆弱性検出の方法の一つ)で検出されたクラッシュの原因調査を効率化するデモをしてみます。
