|
|
Transducers in Automata Library Mata
Chocholatý, David ; Lengál, Ondřej (oponent) ; Holík, Lukáš (vedoucí práce)
We implement finite transducers in a new fast and simple automata library Mata. Finite transducers are finite state machines modelling rational relations. Our primary use case for finite transducers is encoding replace operations (replacing a word or a regular pattern with a string literal). A recent automata-based SMT string solver Z3-Noodler uses Mata as a backbone of its decision procedure. Z3-Noodler needs finite transducers to analyse string manipulating programs with replace operations. The analysis of said programs used in web applications prevents software attacks such as cross-site scripting (XSS) or code injection. The distinctive features of Mata include simplicity (simple to use, modify and extend) and efficiency (fast to run). We design the representation and algorithms for finite transducers to fit the simplicity and efficiency requirements. We inherit and extend the existing data structures and algorithms for finite automata in Mata to represent the finite transducers and their operations. The representation for finite transducers serves as a common data structure and interface for the finite transducers and future representation of automata using multi-terminal binary decision diagrams to handle large alphabets. We further extend the design with algorithms to construct finite transducers modelling replace operations defined in SMT-LIB. Finally, we run an experimental evaluation of performance of finite transducers in Mata on a new benchmark with replace operations from runs of Z3-Noodler and from solving problems in pattern matching.
|
|
|
Technika SQL injection - její metody a způsoby ochrany
Bahureková, Beáta ; Sedlák, Petr (oponent) ; Kříž, Jiří (vedoucí práce)
SQL injection je technika namierená proti webovým aplikáciám využívajúcim SQL databázu, ktorá môže predstavovať obrovské bezpečnostné riziko. Ide v nej o vloženie kódu do SQL databáze, pričom tento útok využíva zraniteľnosti v databázovej alebo aplikačnej vrstve. Hlavným cieľom mojej diplomovej práce je oboznámenie sa s podstatou SQL injection, pochopenie jednotlivých metód tejto útočnej techniky a ukázanie si spôsobov ako sa proti nej možno brániť. Prácu možno rozdeliť na tieto hlavné časti, ktoré rozoberiem nasledovne. V úvodnej časti práce zmieňujem teoretické východiska týkajúce sa SQL injection problematiky. Nasledujúca kapitola je zameraná na jednotlivé metódy tejto techniky. Analytická časť je venovaná zmapovaniu súčasného stavu testovacích subjektov, skenovacích nástrojov, ktoré tvoria základ pre optimálne skúmanie a testovanie jednotlivých SQLi metód, ktoré sú v tejto časti rozobraté z praktického hľadiska spolu s analýzou príkazov. V poslednej časti budem implementovať SQLi metódy na vybrané subjekty a na základe výstupov vytvorím univerzálne návrhové riešenie ako sa proti takýmto útokom brániť.
|
|
|
Technika SQL injection - její metody a způsoby ochrany
Bahureková, Beáta ; Sedlák, Petr (oponent) ; Kříž, Jiří (vedoucí práce)
SQL injection je technika namierená proti webovým aplikáciám využívajúcim SQL databázu, ktorá môže predstavovať obrovské bezpečnostné riziko. Ide v nej o vloženie kódu do SQL databáze, pričom tento útok využíva zraniteľnosti v databázovej alebo aplikačnej vrstve. Hlavným cieľom mojej diplomovej práce je oboznámenie sa s podstatou SQL injection, pochopenie jednotlivých metód tejto útočnej techniky a ukázanie si spôsobov ako sa proti nej možno brániť. Prácu možno rozdeliť na tieto hlavné časti, ktoré rozoberiem nasledovne. V úvodnej časti práce zmieňujem teoretické východiska týkajúce sa SQL injection problematiky. Nasledujúca kapitola je zameraná na jednotlivé metódy tejto techniky. Analytická časť je venovaná zmapovaniu súčasného stavu testovacích subjektov, skenovacích nástrojov, ktoré tvoria základ pre optimálne skúmanie a testovanie jednotlivých SQLi metód, ktoré sú v tejto časti rozobraté z praktického hľadiska spolu s analýzou príkazov. V poslednej časti budem implementovať SQLi metódy na vybrané subjekty a na základe výstupov vytvorím univerzálne návrhové riešenie ako sa proti takýmto útokom brániť.
|
host ::
RSS.