Vuddy(VUDDY: A Scalable Approach for Vulnerable Code Clone Discovery)简单使用

最新推荐文章于 2023-01-07 20:04:19 发布
最新推荐文章于 2023-01-07 20:04:19 发布
阅读量863 收藏 1
点赞数
分类专栏: research
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/107091160
版权

从这里下载vuddy的工程实现hmark
https://github.com/squizz617/vuddy
这其实只是预处理工具而已,如下所示启动
在这里插入图片描述
会打开图形化界面
在这里插入图片描述
以openssl为例测试
在这里插入图片描述
全部结束后如下
在这里插入图片描述
结果保存在这里
在这里插入图片描述
将hidx文件拖到iotcube即可自动分析
在这里插入图片描述
从结果中可以看到找到了53处克隆漏洞

Elwood Ying
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VulDeePecker: A Deep Learning-Based System for Vulnerability Detection
Northawk1939的博客
05-11 385
VulDeePecker: A Deep Learning-Based System for Vulnerability Detection阅读笔记,主要是自己的理解,拒绝机翻
深入了解区块链的漏洞之1:介绍篇
DongAoTony的博客
03-20 3217
大家都知道,区块链作为最近涌现出来的技术,其具有去中心化的特质,以及拥有加密货币属性和智能合约功能,让许多人都看好它,把它当作人类下一代IT革命的引擎技术。但是,区块链本质上是一款去中心化的超级账本软件,因此它不可避免地会存在软件上的漏洞。目前关于区块链的研究,大都聚焦在基于该技术智能合约和具体的应用上面,包括关于区块链安全方面也主要在合约和应用,而关于其底层系统级的安全漏洞则少有涉猎。这里,我们将针对具有代表性的区块链(比特币、以太坊等),探究区块链可能存在的系统漏洞。
如何对C++或Java源代码进行细粒度normalization
qysh123的专栏
04-01 385
可能标题这样讲还是有些让人糊涂,具体而言,我希望实现下面这篇论文做的事情: Kim, Seulbae, Seunghoon Woo, Heejo Lee, and Hakjoo Oh. "Vuddy: A scalable approach for vulnerable code clone discovery." In2017 IEEE Symposium on Security and Privacy (SP), pp. 595-614. IEEE, 2017. 这篇论文是怎么做normaliza.
VulnDBGen官方文档(中文翻译版)
11-23
Vuddy中提供了一种可以供用户从github中搜集漏洞资源的方法。具体的做法为通过从github上克隆相关的存储库,之后通过匹配CVE提交通过补丁(diff)文件获取对应的提交前和提交后的响应的代码。(本资源为翻译文档,仅供交流与学习,具体项目详情见https://github.com/squizz617/vulnDBGen.git,请勿商用)
vuln-db:包含漏洞数据库的自我更新存储库
02-09
vuln数据库 包含漏洞数据库的自我更新存储库 该存储库中的GitHub工作流按计划运行,以确保dabatase漏洞始终处于最新状态。 学分 此存储库中构建的漏洞数据库来自NIST的NVD,为 。
《RRPN:Arbitrary-Oriented Scene Text Detection via Rotation Proposals》论文笔记
m_buddy的博客
04-20 2798
1. 概述 在诸如ICDAR之类的文本检测比赛中,需要在给定的图片中检测出任意形式的文本区域,这些文本区域有水平的也有倾斜的。对于水平文本情况,是一种较为理想的文本展现形式,使用现有的SSD、YOLO、Faster R-CNN之类的检测方法都能有效检测出水平框;对倾斜文本的情况,传统的(x,y,h,w)(x,y,h,w)(x,y,h,w)回归的检测模型便不能够很好完成这个任务了。这就是这篇论文需要...
代码克隆(Code Clone
桃子小迷妹
06-09 1741
代码克隆类型 Four Clone Types. Type I Identical fragments except for variations in comments and layout. Type II Identical fragments except for variations in identifier names and literal values in addition to Type I differences. Type III Syntactically similar fra
A Scalable Approach to Control Diverse Behaviors-动作生成算法
qq_36412570的博客
09-01 459
A Scalable Approach to Control Diverse Behaviors for Physically Simulated Characters 来源: SigGraph2021 研究方向: 动作生成 链接: https://research.fb.com/publications/a-scalable-approach-to-control-diverse-behaviors-for-physically-simulated-characters/ 文章动机 这篇文章提出了一种可以
《Context Prior for Scene Segmentation》论文笔记
m_buddy的博客
06-06 679
代码地址(暂未开源):ContextPrior 1. 概述 导读:现有分割算法中会去充分获取并利用输入数据的上下文信息,但是这些方法并没有有效区分这些上下文信息来自的类别(缺少监督),文章指出这样会给网络理解需要分割的图像造成困扰(带来错误分类的情况),因而在这篇文章中直接去监督特征融合,使得可以区分类内和类间的上下文。要实现上面的目标文章提出了带有相关性损失(Affinity Loss)的Context Prior Layer去获取一个理想的相关性特征图(这是通过GT监督获取的),从而去监督上下文信息的
智能化漏洞挖掘技术总结
Yale的博客
01-16 7563
全文基于《从自动化到智能化:软件漏洞挖掘技术进展》进行提炼、总结、修改。1.静态漏洞挖掘技术 1.1面向源代码 面向源代码的漏洞挖掘主要采用基于中间表示的分析和基于逻辑推理的分析技术。 基于中间表示的分析技术主要包括数据流分析、控制流分析、污点分析、符号执行等。Pixy采用了取值分析、污点分析、指针别名分析等静态分析技术实现对PHP源码中的SQL注入和跨站脚本等漏洞的检测。Prefix采用了静态符号执行技术模拟执行C/C++源码程序,并采用约束求解对程序中的部分路径进行检测。Melange采用数据流分析的框
使用公有云快速搭建jupyter实验环境
Yale的博客
01-07 3620
搜索spawn.py并在get_args处新增如下一行。nano打开之后,在文件开头加入如下内容。然后在本地9999端口即可正常使用。安装npm和nodejs。安装jupyterlab。配置Jupyterhub。
《Characterizing Code Clones in the Ethereum Smart Contract Ecosystem》导读
Yale的博客
07-09 2418
Characterizing Code Clones in the Ethereum Smart Contract Ecosystem Abstract 摘要 在本文中,我们提出了第一个大规模的系统研究,以表征以太坊智能合约生态系统中的代码重用实践。 我们首先对我们已收获的1000万份合同的数据集进行了详细的相似性比较研究,然后我们进一步进行了定性分析,以表征生态系统的多样性,了解代码重用与漏洞之间的相关性,并检测出抄袭者DApp。 我们的分析表明,超过96%的合约具有重复项,而其中很多是相似的,这表明生态
基于区块链的隐蔽通信系统BLOCCE改进研究-阅读报告
Yale的博客
07-12 1462
基于区块链的隐蔽通信系统BLOCCE改进研究-阅读报告 1.题目: 基于区块链的隐蔽通信系统BLOCCE改进研究 2.摘要: 随着网络安全问题受到越来越多关注,如何能够在网络通信中保护通信双方的隐私得到了更多的研究。密码技术虽然能够隐藏通信的真实内容,但攻击者仍然能够获取诸如通信关系这样的重要信息。隐蔽通信技术作为信息隐藏的重要分支,提供了一种能够抗审查的通信方式,成为了密码技术的有效补充。作为隐蔽通信的发展趋势之一 ,如何基于新的互联网应用建立隐蔽通信方法是一个重要的研究问题。 本文研究的基于区块链的隐蔽
《Checking Smart Contracts with Structural Code Embedding》笔记
Yale的博客
07-04 726
摘要: 在本文中提出了一种自动化的方法来学习用Solidity语言编写的智能合约的特性,这对于检测代码克隆、检测漏洞、合约有效性等有帮助。我们的新方法是基于词嵌入(word embedding)和向量空间比较(vector space comparison)。我们将智能合约解析成带有代码结构化信息的词流(word stream),将代码元素(如声明、函数)转换成可以用于编码代码语法和语义的数字向量,然后比较编码了代码的向量和已知bug代码之间的相似度,来识别潜在的问题。我们实现了这个方法的原型,称为Smar
ReDeBug简单使用
Yale的博客
07-09 669
这是下载地址 https://github.com/dbrumley/redebug redebug主要是匹配diff文件和源文件。 安装要求安装即可 简单运行下 按照给出的用法说明进行测试即可,输出为output.html 使用火狐打开如下所示 提示没打补丁的克隆有452处 以第一处为例,上方的diff文件可以看到是修改了出现漏洞的那一行,下方是源文件中可以看到没有针对漏洞处打补丁。 注:数据集来自sysver工作开源 ...
《ReDeBug: Finding Unpatched Code Clones in Entire OS Distributions》精读
Yale的博客
06-30 626
Abstract摘要 程序员不应该为同一个漏洞打两次补丁,但是很不幸,这经常发生,因为在给漏洞打补丁的时候,却没有给其对应的克隆代码打补丁,没有打补丁的克隆代码意味着潜在的漏洞、安全风险,急需被很快探测到。 在本文中我们介绍了ReDeBug,这个工具可以在大规模场景下快速找到没打补丁的克隆代码。尽管在之前已经有一些相关工作,但是ReDeBug的特点在于使用了快速的、基于语法的方法来提高扩展性。与之前的方法相比,ReDeBug可能会找到更少的克隆代码,但是提高了速度、可扩展性,减少了误报率,以及与语言无关。
《The industrial age of hacking》略读
Yale的博客
07-23 501
注:这篇文章被USENIX 2020接收,主要介绍了漏洞挖掘的协作模式,作者认为传统的方式属于深度优先,而作者提出了广度优先,在作者看来,广度优先可以各尽其职、使不同水平的黑客可以承担不同的任务,而且不会在不知道软件难度的情况下一直钻牛角尖。之后设计了实验、进行了两种策略的讨论。 Abstract 黑客社区存在一种认知偏见,即选择一种软件并投入大量的人力资源来查找该软件中的错误,而没有事先表明成功的迹象。 我们将此策略标记为深度优先搜索,并提出另一种选择:广度优先搜索。 在广度优先搜索中,人类只需花费很少
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值