Cerberus:基于查询的OAuth服务提供者实现中的可扩展漏洞检测
摘要:自动检查 widely 使用的服务提供商库的安全性是目前关注不足的问题。本文正式化了 OAuth 规范和安全最佳实践,并设计了 Cerberus,一种自动静态分析工具,用于查找 OAuth 服务提供商库实现中的逻辑缺陷和漏洞。为了在大规模代码库中高效检测安全违规行为,Cerberus采用了一种基于查询的算法来回答有关 OAuth 规范的查询。我们通过对下载量达到百万级的热门 OAuth 库的数据集进行评估, 展示了 Cerberus 的有效性。在这些知名库中,Cerberus 已经识别出 10 类逻辑缺陷中的 47 个漏洞,其中 24 个是之前未知的。我们得到了 8 个库的开发者认可,并有三个 CVE 被接受。
作者:Tamjid Al Rahat, Yu Feng, Yuan Tian
论文ID:2110.01005
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-08-30