SlideShare una empresa de Scribd logo

Rabovoluk

K
kuchinskaya
1 de 15
Descargar para leer sin conexión
Статический  анализ  кода   Часть  процесса  whitebox-­‐ тестирования,  позволяющая   идентифицировать  типичные   уязвимости  на  ранних  стадиях.  
Анализ  кода  как  часть  цикла  разработки   разработка   выкладка   тест  
Анализ  кода  как  часть  цикла  разработки   разработка   IDE   manual   autoscan   выкладка   тест  
Автоматика   -­‐  Встраиваемость   -­‐  Масштабируемость   -­‐  Policy-­‐check  
Автоматика   -­‐  Ложные  срабатывания   -­‐  Сложность  поиска  логических  ошибок   -­‐  Не  учитывается  конфигурация  
Коммерческие  продукты  
Opensource   Splint   FlawFinder   RIPS   rats    
RIPS  
variable   Методика  анализа:  top-­‐down   Entry  points   F1()   F2()   Applicaion       F3()   F4()     …     Fn(a,b,c){…}     …  
Методика  анализа:  botom-­‐up   Applicaion         fn(x,y,z){…}           dangerous_fn(a,b,c){…}    
Методика  анализа   TOP-­‐DOWN   BOTTOM-­‐UP   VS   атака   уязвимость   Взвешенный  подход:   расширяем  список  опасных   функций  снизу-­‐вверх,  проводим   оценку  по  наиболее  вероятным   векторам  сверху-­‐вниз.    
Опыт  Mail.Ru   -­‐  Большой  объем  кода   -­‐  Разнообразие  языков  и  платформ   -­‐  Постоянный  цикл  разработки   -­‐  Взаимосвязанная  архитектура  
Рабоволюк Ярослав Аналитик ИБ, Mail.Ru yaroslav@corp.mail.ru

Recomendados

Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...
Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...
Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...Спецсеминар "Искусственный Интеллект" кафедры АЯ ВМК МГУ
 
Balashov
BalashovBalashov
Balashovkuchinskaya
 
Romanenko
RomanenkoRomanenko
Romanenkokuchinskaya
 
A.pleshkov
A.pleshkovA.pleshkov
A.pleshkovkuchinskaya
 
Smirnov dependency-injection-techforum(1)
Smirnov dependency-injection-techforum(1)Smirnov dependency-injection-techforum(1)
Smirnov dependency-injection-techforum(1)kuchinskaya
 
Bubnov
BubnovBubnov
Bubnovkuchinskaya
 
Haritonov
HaritonovHaritonov
Haritonovkuchinskaya
 
Zamyakin
ZamyakinZamyakin
Zamyakinkuchinskaya
 

Recomendados

Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...
Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...
Багдатов Методы автоматического выявления плагиата в текстах компьютерных про...Спецсеминар "Искусственный Интеллект" кафедры АЯ ВМК МГУ
 
Balashov
BalashovBalashov
Balashovkuchinskaya
 
Romanenko
RomanenkoRomanenko
Romanenkokuchinskaya
 
A.pleshkov
A.pleshkovA.pleshkov
A.pleshkovkuchinskaya
 
Smirnov dependency-injection-techforum(1)
Smirnov dependency-injection-techforum(1)Smirnov dependency-injection-techforum(1)
Smirnov dependency-injection-techforum(1)kuchinskaya
 
Bubnov
BubnovBubnov
Bubnovkuchinskaya
 
Haritonov
HaritonovHaritonov
Haritonovkuchinskaya
 
Zamyakin
ZamyakinZamyakin
Zamyakinkuchinskaya
 
Zenovich
ZenovichZenovich
Zenovichkuchinskaya
 
Platov
PlatovPlatov
Platovkuchinskaya
 
Kalugin balashov
Kalugin balashovKalugin balashov
Kalugin balashovkuchinskaya
 
Panfilov
PanfilovPanfilov
Panfilovkuchinskaya
 
Perepelitsa
PerepelitsaPerepelitsa
Perepelitsakuchinskaya
 
Smirnov reverse-engineering-techforum
Smirnov reverse-engineering-techforumSmirnov reverse-engineering-techforum
Smirnov reverse-engineering-techforumkuchinskaya
 
Zacepin
ZacepinZacepin
Zacepinkuchinskaya
 
Zagursky
ZagurskyZagursky
Zagurskykuchinskaya
 
Chudov
ChudovChudov
Chudovkuchinskaya
 
Osipov
OsipovOsipov
Osipovkuchinskaya
 
Kubasov
KubasovKubasov
Kubasovkuchinskaya
 
Kharkov
KharkovKharkov
Kharkovkuchinskaya
 
владимир габриелян
владимир габриелянвладимир габриелян
владимир габриелянkuchinskaya
 
чашкин иван
чашкин иванчашкин иван
чашкин иванkuchinskaya
 
сумин андрей
сумин андрейсумин андрей
сумин андрейkuchinskaya
 
митасов роман
митасов романмитасов роман
митасов романkuchinskaya
 
кренин владимир
кренин владимиркренин владимир
кренин владимирkuchinskaya
 
константин лебедев
константин лебедевконстантин лебедев
константин лебедевkuchinskaya
 
дыдыкин егор
дыдыкин егордыдыкин егор
дыдыкин егорkuchinskaya
 
ярослав рабоволюк
ярослав рабоволюкярослав рабоволюк
ярослав рабоволюкkuchinskaya
 
сергей спиридонов
сергей спиридоновсергей спиридонов
сергей спиридоновkuchinskaya
 
игорь ермаков
игорь ермаковигорь ермаков
игорь ермаковkuchinskaya
 

Más contenido relacionado

Destacado

Kalugin balashov
Kalugin balashovKalugin balashov
Kalugin balashovkuchinskaya
 
Smirnov reverse-engineering-techforum
Smirnov reverse-engineering-techforumSmirnov reverse-engineering-techforum
Smirnov reverse-engineering-techforumkuchinskaya
 

Destacado (11)

Zenovich
ZenovichZenovich
Zenovich
 
Platov
PlatovPlatov
Platov
 
Kalugin balashov
Kalugin balashovKalugin balashov
Kalugin balashov
 
Panfilov
PanfilovPanfilov
Panfilov
 
Perepelitsa
PerepelitsaPerepelitsa
Perepelitsa
 
Smirnov reverse-engineering-techforum
Smirnov reverse-engineering-techforumSmirnov reverse-engineering-techforum
Smirnov reverse-engineering-techforum
 
Zacepin
ZacepinZacepin
Zacepin
 
Zagursky
ZagurskyZagursky
Zagursky
 
Chudov
ChudovChudov
Chudov
 
Osipov
OsipovOsipov
Osipov
 
Kubasov
KubasovKubasov
Kubasov
 

Más de kuchinskaya

владимир габриелян
владимир габриелянвладимир габриелян
владимир габриелянkuchinskaya
 
чашкин иван
чашкин иванчашкин иван
чашкин иванkuchinskaya
 
сумин андрей
сумин андрейсумин андрей
сумин андрейkuchinskaya
 
митасов роман
митасов романмитасов роман
митасов романkuchinskaya
 
кренин владимир
кренин владимиркренин владимир
кренин владимирkuchinskaya
 
константин лебедев
константин лебедевконстантин лебедев
константин лебедевkuchinskaya
 
дыдыкин егор
дыдыкин егордыдыкин егор
дыдыкин егорkuchinskaya
 
ярослав рабоволюк
ярослав рабоволюкярослав рабоволюк
ярослав рабоволюкkuchinskaya
 
сергей спиридонов
сергей спиридоновсергей спиридонов
сергей спиридоновkuchinskaya
 
игорь ермаков
игорь ермаковигорь ермаков
игорь ермаковkuchinskaya
 
дмитрий юдин3
дмитрий юдин3дмитрий юдин3
дмитрий юдин3kuchinskaya
 

Más de kuchinskaya (12)

Kharkov
KharkovKharkov
Kharkov
 
владимир габриелян
владимир габриелянвладимир габриелян
владимир габриелян
 
чашкин иван
чашкин иванчашкин иван
чашкин иван
 
сумин андрей
сумин андрейсумин андрей
сумин андрей
 
митасов роман
митасов романмитасов роман
митасов роман
 
кренин владимир
кренин владимиркренин владимир
кренин владимир
 
константин лебедев
константин лебедевконстантин лебедев
константин лебедев
 
дыдыкин егор
дыдыкин егордыдыкин егор
дыдыкин егор
 
ярослав рабоволюк
ярослав рабоволюкярослав рабоволюк
ярослав рабоволюк
 
сергей спиридонов
сергей спиридоновсергей спиридонов
сергей спиридонов
 
игорь ермаков
игорь ермаковигорь ермаков
игорь ермаков
 
дмитрий юдин3
дмитрий юдин3дмитрий юдин3
дмитрий юдин3
 

Rabovoluk

  • 1.
  • 2. Статический  анализ  кода   Часть  процесса  whitebox-­‐ тестирования,  позволяющая   идентифицировать  типичные   уязвимости  на  ранних  стадиях.  
  • 3. Анализ  кода  как  часть  цикла  разработки   разработка   выкладка   тест  
  • 4. Анализ  кода  как  часть  цикла  разработки   разработка   IDE   manual   autoscan   выкладка   тест  
  • 5. Автоматика   -­‐  Встраиваемость   -­‐  Масштабируемость   -­‐  Policy-­‐check  
  • 6. Автоматика   -­‐  Ложные  срабатывания   -­‐  Сложность  поиска  логических  ошибок   -­‐  Не  учитывается  конфигурация  
  • 8.
  • 9. Opensource   Splint   FlawFinder   RIPS   rats    
  • 11. variable   Методика  анализа:  top-­‐down   Entry  points   F1()   F2()   Applicaion       F3()   F4()     …     Fn(a,b,c){…}     …  
  • 12. Методика  анализа:  botom-­‐up   Applicaion         fn(x,y,z){…}           dangerous_fn(a,b,c){…}    
  • 13. Методика  анализа   TOP-­‐DOWN   BOTTOM-­‐UP   VS   атака   уязвимость   Взвешенный  подход:   расширяем  список  опасных   функций  снизу-­‐вверх,  проводим   оценку  по  наиболее  вероятным   векторам  сверху-­‐вниз.    
  • 14. Опыт  Mail.Ru   -­‐  Большой  объем  кода   -­‐  Разнообразие  языков  и  платформ   -­‐  Постоянный  цикл  разработки   -­‐  Взаимосвязанная  архитектура  
  • 15. Рабоволюк Ярослав Аналитик ИБ, Mail.Ru yaroslav@corp.mail.ru