பேஸ்புக் வெளியிட்டது சில நாட்களுக்கு முன்பு அது வெளியிடப்பட்டது திறந்த மூல நிலையான பகுப்பாய்வி, மரியானா அகழி, ஆண்ட்ராய்டு அப்ளிகேஷன்கள் மற்றும் ஜாவா புரோகிராம்களில் உள்ள பாதிப்புகளை அடையாளம் காணும் நோக்கம் கொண்டது.
இல் மூலக் குறியீடுகள் இல்லாமல் திட்டங்களை பகுப்பாய்வு செய்யும் திறன் வழங்கப்படுகிறதுடால்விக் மெய்நிகர் இயந்திரத்திற்கான பைட்கோட் மட்டுமே கிடைக்கிறது. மற்றொரு அனுகூலமானது மிக அதிக வேகத்தில் செயல்படுத்தப்படுகிறது (பல மில்லியன் கோடுகளின் பகுப்பாய்வு சுமார் 10 வினாடிகள் ஆகும்), இது அறிமுகப்படுத்தப்பட்ட அனைத்து முன்மொழியப்பட்ட மாற்றங்களையும் சரிபார்க்க மரியானா அகழியைப் பயன்படுத்த அனுமதிக்கிறது.
பகுப்பாய்வி குறியீடு மறுஆய்வு செயல்முறையை தானியக்கமாக்கும் திட்டத்தின் ஒரு பகுதியாக உருவாக்கப்பட்டது மொபைல் பயன்பாடுகளின் ஆதாரம் பேஸ்புக், இன்ஸ்டாகிராம் மற்றும் வாட்ஸ்அப்.
ஆண்ட்ராய்டு மற்றும் ஜாவா அப்ளிகேஷன்களில் பாதுகாப்பு மற்றும் தனியுரிமைப் பிழைகளைக் கண்டறிந்து தடுக்க நாங்கள் பயன்படுத்தும் ஒரு கருவியான மரியானா ட்ரெஞ்ச் (எம்டி) பற்றிய விவரங்களைப் பகிர்ந்து கொள்கிறோம். எங்களின் முயற்சியின் ஒரு பகுதியாக, கட்டிடத்தை தானியக்கமாக்குவதன் மூலம் பாதுகாப்பை அளவிடுவதற்கு உதவுவதற்காக, சமீபத்தில் பேஸ்புக் மற்றும் தொழில் முழுவதும் பாதுகாப்பு பொறியாளர்களை ஆதரிப்பதற்காக எம்டியைத் திறந்தோம்.
இந்த இடுகை நாம் நம்பும் நிலையான மற்றும் மாறும் பகுப்பாய்வு கருவிகளில் ஆழமான டைவ்ஸ் தொடரில் மூன்றாவது. எம்டி சமீபத்திய அமைப்பு, சோன்கோலன் மற்றும் பைசாவைத் தொடர்ந்து, முறையே ஹேக் மற்றும் பைதான் குறியீட்டிற்காக உருவாக்கப்பட்டது.
2021 ஆம் ஆண்டின் முதல் பாதியில், பேஸ்புக் மொபைல் பயன்பாடுகளில் பாதிப்புகளில் பாதி தானியங்கி பகுப்பாய்வு கருவிகளைப் பயன்படுத்தி அடையாளம் காணப்பட்டன. மரியானா ட்ரெஞ்சின் குறியீடு மற்ற பேஸ்புக் திட்டங்களுடன் நெருக்கமாக பின்னிப் பிணைந்துள்ளது, எடுத்துக்காட்டாக, ரெடெக்ஸ் பைட்கோட் ஆப்டிமைசர் செயல்பாடு பைட்கோடை பகுப்பாய்வு செய்யப் பயன்படுகிறது மற்றும் ஸ்பார்ட்டா நூலகம் காட்சி விளக்கம் மற்றும் முடிவுகளின் ஆய்வுக்காக பயன்படுத்தப்படுகிறது.
தரவு ஓட்டங்களை பகுப்பாய்வு செய்வதன் மூலம் சாத்தியமான பாதிப்புகள் மற்றும் பாதுகாப்பு சிக்கல்கள் அடையாளம் காணப்படுகின்றன விண்ணப்பத்தை நிறைவேற்றும் போது, இது சூழ்நிலைகளை அடையாளம் காண அனுமதிக்கிறது SQL வினவல்கள், கோப்பு செயல்பாடுகள் மற்றும் வெளிப்புற நிரல்களைத் தொடங்க வழிவகுக்கும் அழைப்புகள் போன்ற ஆபத்தான கட்டமைப்புகளில் மூல வெளிப்புறத் தரவு செயலாக்கப்படுகிறது.
எம்டி பெரிய மொபைல் குறியீடு தளங்களை ஸ்கேன் செய்து, உற்பத்திக்குச் செல்வதற்கு முன் இழுக்கும் கோரிக்கைகளில் சாத்தியமான சிக்கல்களைக் குறிக்க வடிவமைக்கப்பட்டுள்ளது. ஃபேஸ்புக்கின் பாதுகாப்பு மற்றும் மென்பொருள் பொறியாளர்களுக்கிடையேயான நெருக்கமான ஒத்துழைப்பின் விளைவாக இது உருவாக்கப்பட்டது, எம்டிக்கு குறியீட்டைப் பார்க்கவும் அதன் மூலம் தரவு எவ்வாறு பாய்கிறது என்பதை பகுப்பாய்வு செய்யவும் பயிற்சி அளிக்கிறது. தரவுப் பாய்வுகளைப் பகுப்பாய்வு செய்வது பயனுள்ளதாக இருக்கும், ஏனெனில் பல பாதுகாப்பு மற்றும் தனியுரிமைச் சிக்கல்கள் தரவு பாயும் இடத்தில் மாதிரியாக இருக்கக் கூடாது.
பகுப்பாய்வியின் வேலை தரவு ஆதாரங்கள் மற்றும் ஆபத்தான அழைப்புகளைத் தீர்மானிப்பதில் குறைக்கப்படுகிறது, அசல் தரவைப் பயன்படுத்தக் கூடாது: பர்சர் செயல்பாட்டு அழைப்புகளின் சங்கிலி மூலம் தரவுப் பத்தியை கண்காணிக்கிறது மற்றும் குறியீட்டில் ஆபத்தான இடங்களுடன் ஆரம்ப தரவை இணைக்கிறது.
எம்டியில் இருந்து, ஒரு தரவு ஓட்டத்தை விவரிக்கலாம்:
- ஆதாரம்: ஒரு புள்ளி. இது பயனர் கட்டுப்பாட்டு சரமாக இருக்கலாம், இது `Intent.getData` மூலம் பயன்பாட்டில் நுழைகிறது.
- மூழ்கி: ஒரு இலக்கு. Android இல், இது `log.w` அல்லது` Runtime.exec` க்கான அழைப்பாக இருக்கலாம். உதாரணமாக, Intent.getData க்கு அழைப்பிலிருந்து வரும் தரவு கண்காணிக்க ஒரு ஆதாரமாகக் கருதப்படுகிறது, மேலும் Log.w மற்றும் Runtime.exec க்கான அழைப்புகள் ஆபத்தான பயன்பாடுகளாகக் கருதப்படுகின்றன.
ஒரு பெரிய குறியீடு அடித்தளத்தில் பல்வேறு வகையான ஆதாரங்கள் மற்றும் அதனுடன் தொடர்புடைய ரிசீவர்கள் இருக்கலாம். விதிகளை வரையறுப்பதன் மூலம் குறிப்பிட்ட ஓட்டங்களைக் காட்ட எம்டிக்கு நாம் சொல்லலாம்.
எடுத்துக்காட்டாக, "பயனர் கட்டுப்பாட்டில் உள்ள" மூலங்களிலிருந்து "நோக்கங்களின் திசைதிருப்பல்கள்" வரை அனைத்து தடயங்களையும் நமக்குக் காண்பிக்கும் ஒரு விதியை வரையறுப்பதன் மூலம், உள்நோக்க வழிமாற்றுகளை (தாக்குதல் நடத்துபவர்களை முக்கியமான தரவுகளை இடைமறிக்க அனுமதிக்கும் சிக்கல்கள்) கண்டுபிடிக்க விரும்புகிறோம் என்று ஒரு விதி குறிப்பிடலாம்.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் சரிபார்க்கலாம் பின்வரும் இணைப்பில் விவரங்கள்.