Vuddy(VUDDY: A Scalable Approach for Vulnerable Code Clone Discovery)简单使用

Vuddy工程实现Hmark
最新推荐文章于 2025-04-27 11:08:15 发布
原创 最新推荐文章于 2025-04-27 11:08:15 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Vuddy工程实现Hmark,通过预处理工具启动图形化界面,以openssl为例进行测试,最终将hidx文件拖入iotcube进行自动分析,发现并标记53处克隆漏洞。

从这里下载vuddy的工程实现hmark
https://github.com/squizz617/vuddy
这其实只是预处理工具而已,如下所示启动
在这里插入图片描述
会打开图形化界面
在这里插入图片描述
以openssl为例测试
在这里插入图片描述
全部结束后如下
在这里插入图片描述
结果保存在这里
在这里插入图片描述
将hidx文件拖到iotcube即可自动分析
在这里插入图片描述
从结果中可以看到找到了53处克隆漏洞

VulDeePecker: A Deep Learning-Based System for Vulnerability Detection
Northawk1939的博客
05-11 934
VulDeePecker: A Deep Learning-Based System for Vulnerability Detection阅读笔记,主要是自己的理解,拒绝机翻
《HyVulDect: A hybrid semantic vulnerability mining system based ongraph neural network》阅读笔记
weixin_41571993的博客
11-02 1032
论文阅读笔记
网络空间安全论文笔记4
TARO_ZERO的博客
09-19 1560
漏洞检测,二进制代码相似性检测
A Scalable Approach to Control Diverse Behaviors-动作生成算法
qq_36412570的博客
09-01 641
A Scalable Approach to Control Diverse Behaviors for Physically Simulated Characters 来源: SigGraph2021 研究方向: 动作生成 链接: https://research.fb.com/publications/a-scalable-approach-to-control-diverse-behaviors-for-physically-simulated-characters/ 文章动机 这篇文章提出了一种可以
论文学习_MOVERY: A Precise Approach for Modified Vulnerable Code Clone Discovery from Modified Open-Sour
kitsch0x97的博客
07-09 1067
MOVERY 通过两个阶段来解决这一问题。第一阶段生成漏洞和修复签名,考虑了最早的易受攻击函数并仅提取核心的易受攻击和修复代码行,以应对 OSS 的内部和外部修改。第二阶段使用这些签名在目标软件中发现 VCC,并采用选择性抽象技术来精确发现外部修改的 VCC。
【论文阅读】MOVERY:一种针对修改后开源软件组件的漏洞代码克隆精确发现方法
最新发布
编程小栈
04-27 916
第三方开源软件(OSS)组件继承的漏洞可能威胁整个软件系统的安全性。然而,由于开源软件在演化过程中会经历各类修改(具体表现为内部修改如OSS版本更新,以及外部修改如OSS复用过程中的代码变更),导致漏洞代码会以不同语法形式扩散传播,这使得追踪传播性漏洞代码极具挑战性。本文提出MOVERY方法,该技术能够从修改后的OSS组件中精确发现漏洞代码克隆(VCC)。通过定位最原始的漏洞函数,并从安全补丁中提取核心漏洞代码行和补丁代码行,MOVERY构建的漏洞特征和补丁特征能有效应对OSS的各类修改。
如何对C++或Java源代码进行细粒度normalization
qysh123的专栏
04-01 480
可能标题这样讲还是有些让人糊涂,具体而言,我希望实现下面这篇论文做的事情: Kim, Seulbae, Seunghoon Woo, Heejo Lee, and Hakjoo Oh. "Vuddy: A scalable approach for vulnerable code clone discovery." In2017 IEEE Symposium on Security and Privacy (SP), pp. 595-614. IEEE, 2017. 这篇论文是怎么做normaliza.
VulDeeLocator: 基于深度学习的细粒度漏洞检测器
阿航的博客
11-04 2352
这篇文章提出了一种可以同时实现高检测能力和高定位精度的漏洞检测器VulDeeLocator
【论文翻译】Software Vulnerability_Detection Using Deep Neural Networks_ A Survey
m0_68811216的博客
04-03 932
Software Vulnerability Detection Using Deep Neural Networks: A Survey
HyVulDect: 基于图神经网络的混合语义漏洞挖掘系统
阿航的博客
09-07 1840
软件程序趋于庞大和复杂,软件漏洞成为计算机安全的主要威胁之一。开源软件的发展使得源代码漏洞检测变得越来越关键。传统的漏洞检测方法由于假阳率和假阴率较高,无法满足复杂软件的分析需求。提出了一个基于混合语义的图神经网络漏洞挖掘系统HyVulDect。该系统构建了一个复合语义的代码属性图来表示代码,使用门控图神经网络提取深层语义信息。利用污点分析提取污点传播链,并使用BiLSTM模型获取上下文的token级别的特征,最后使用分类器对融合特征进行分类。同时,加入双重注意力机制,使得模型能够关注与漏洞相关的代码。
vuln-db:包含漏洞数据库的自我更新存储库
02-09
vuln数据库 包含漏洞数据库的自我更新存储库 该存储库中的GitHub工作流按计划运行,以确保dabatase漏洞始终处于最新状态。 学分 此存储库中构建的漏洞数据库来自NIST的NVD,为 。
VulnDBGen官方文档(中文翻译版)
11-23
Vuddy中提供了一种可以供用户从github中搜集漏洞资源的方法。具体的做法为通过从github上克隆相关的存储库,之后通过匹配CVE提交通过补丁(diff)文件获取对应的提交前和提交后的响应的代码。(本资源为翻译文档,仅供交流与学习,具体项目详情见https://github.com/squizz617/vulnDBGen.git,请勿商用)
《RRPN:Arbitrary-Oriented Scene Text Detection via Rotation Proposals》论文笔记
m_buddy的博客
04-20 2980
1. 概述 在诸如ICDAR之类的文本检测比赛中,需要在给定的图片中检测出任意形式的文本区域,这些文本区域有水平的也有倾斜的。对于水平文本情况,是一种较为理想的文本展现形式,使用现有的SSD、YOLO、Faster R-CNN之类的检测方法都能有效检测出水平框;对倾斜文本的情况,传统的(x,y,h,w)(x,y,h,w)(x,y,h,w)回归的检测模型便不能够很好完成这个任务了。这就是这篇论文需要...
深入了解区块链的漏洞之1:介绍篇
DongAoTony的博客
03-20 3804
大家都知道,区块链作为最近涌现出来的技术,其具有去中心化的特质,以及拥有加密货币属性和智能合约功能,让许多人都看好它,把它当作人类下一代IT革命的引擎技术。但是,区块链本质上是一款去中心化的超级账本软件,因此它不可避免地会存在软件上的漏洞。目前关于区块链的研究,大都聚焦在基于该技术智能合约和具体的应用上面,包括关于区块链安全方面也主要在合约和应用,而关于其底层系统级的安全漏洞则少有涉猎。这里,我们将针对具有代表性的区块链(比特币、以太坊等),探究区块链可能存在的系统漏洞。
智能化漏洞挖掘技术总结
Yale的博客
01-16 8430
全文基于《从自动化到智能化:软件漏洞挖掘技术进展》进行提炼、总结、修改。1.静态漏洞挖掘技术 1.1面向源代码 面向源代码的漏洞挖掘主要采用基于中间表示的分析和基于逻辑推理的分析技术。 基于中间表示的分析技术主要包括数据流分析、控制流分析、污点分析、符号执行等。Pixy采用了取值分析、污点分析、指针别名分析等静态分析技术实现对PHP源码中的SQL注入和跨站脚本等漏洞的检测。Prefix采用了静态符号执行技术模拟执行C/C++源码程序,并采用约束求解对程序中的部分路径进行检测。Melange采用数据流分析的框
使用公有云快速搭建jupyter实验环境
Yale的博客
01-07 3763
搜索spawn.py并在get_args处新增如下一行。nano打开之后,在文件开头加入如下内容。然后在本地9999端口即可正常使用。安装npm和nodejs。安装jupyterlab。配置Jupyterhub。
《Characterizing Code Clones in the Ethereum Smart Contract Ecosystem》导读
Yale的博客
07-09 2548
Characterizing Code Clones in the Ethereum Smart Contract Ecosystem Abstract 摘要 在本文中,我们提出了第一个大规模的系统研究,以表征以太坊智能合约生态系统中的代码重用实践。 我们首先对我们已收获的1000万份合同的数据集进行了详细的相似性比较研究,然后我们进一步进行了定性分析,以表征生态系统的多样性,了解代码重用与漏洞之间的相关性,并检测出抄袭者DApp。 我们的分析表明,超过96%的合约具有重复项,而其中很多是相似的,这表明生态
基于区块链的隐蔽通信系统BLOCCE改进研究-阅读报告
Yale的博客
07-12 1710
基于区块链的隐蔽通信系统BLOCCE改进研究-阅读报告 1.题目: 基于区块链的隐蔽通信系统BLOCCE改进研究 2.摘要: 随着网络安全问题受到越来越多关注,如何能够在网络通信中保护通信双方的隐私得到了更多的研究。密码技术虽然能够隐藏通信的真实内容,但攻击者仍然能够获取诸如通信关系这样的重要信息。隐蔽通信技术作为信息隐藏的重要分支,提供了一种能够抗审查的通信方式,成为了密码技术的有效补充。作为隐蔽通信的发展趋势之一 ,如何基于新的互联网应用建立隐蔽通信方法是一个重要的研究问题。 本文研究的基于区块链的隐蔽
《Checking Smart Contracts with Structural Code Embedding》笔记
Yale的博客
07-04 835
摘要: 在本文中提出了一种自动化的方法来学习用Solidity语言编写的智能合约的特性,这对于检测代码克隆、检测漏洞、合约有效性等有帮助。我们的新方法是基于词嵌入(word embedding)和向量空间比较(vector space comparison)。我们将智能合约解析成带有代码结构化信息的词流(word stream),将代码元素(如声明、函数)转换成可以用于编码代码语法和语义的数字向量,然后比较编码了代码的向量和已知bug代码之间的相似度,来识别潜在的问题。我们实现了这个方法的原型,称为Smar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值