MASC: স্ট্যাটিক ক্রিপ্টো-এপিআই অপব্যবহার ডিটেক্টরের মিউটেশন-ভিত্তিক মূল্যায়নের জন্য একটি টুল

লিঙ্কের টেবিল

বিমূর্ত এবং 1 ভূমিকা

2 MASC এর ওভারভিউ

3 ডিজাইন লক্ষ্য

4 MASC বাস্তবায়ন

4.1 মিউটেশন অপারেটর

4.2 মিউটেশন স্কোপ

5 MASC ব্যবহার করে

6 ভবিষ্যত কাজ এবং উপসংহার, স্বীকৃতি, এবং রেফারেন্স

বিমূর্ত

যদিও সফ্টওয়্যার ইঞ্জিনিয়াররা আশাবাদীভাবে তাদের সফ্টওয়্যার বিকাশ চক্রে ক্রিপ্টো-এপিআই অপব্যবহার ডিটেক্টর (বা ক্রিপ্টো-ডিটেক্টর) গ্রহণ করছে, এই গতির সাথে অবশ্যই ক্রিপ্টো-ডিটেক্টরের কার্যকারিতা অনুশীলনে ক্রিপ্টোএপিআই অপব্যবহার খুঁজে বের করতে হবে। এই ডেমো পেপারটি আমাদের টুলের প্রযুক্তিগত বিবরণ এবং ব্যবহারের পরিস্থিতি উপস্থাপন করে, যথা স্ট্যাটিক ক্রিপ্টো-এপিআই অপব্যবহার ডিটেক্টর (MASC) মূল্যায়নের জন্য মিউটেশন বিশ্লেষণ। আমরা 12টি সাধারণীকরণযোগ্য, ব্যবহার ভিত্তিক মিউটেশন অপারেটর এবং তিনটি মিউটেশন স্কোপ তৈরি করেছি, যথা মেইন স্কোপ, সিম্যালিরিটি স্কোপ এবং এক্সজাস্টিভ স্কোপ, যা ক্রিপ্টো-এপিআই অপব্যবহারের ক্ষেত্রে সংকলনযোগ্য রূপগুলিকে স্পষ্টভাবে তাত্ক্ষণিকভাবে তাত্ক্ষণিক করতে ব্যবহার করা যেতে পারে। MASC ব্যবহার করে, আমরা নয়টি প্রধান ক্রিপ্টো-ডিটেক্টর মূল্যায়ন করেছি, এবং 19টি অনন্য, অনথিভুক্ত ত্রুটি খুঁজে পেয়েছি। আমরা কনফিগারযোগ্য এবং ব্যবহারকারী-বান্ধব হতে MASC ডিজাইন করেছি; একজন ব্যবহারকারী উৎপন্ন মিউটেশনের প্রকৃতি পরিবর্তন করতে পরামিতি কনফিগার করতে পারেন। উপরন্তু, MASC কমান্ড লাইন ইন্টারফেস এবং ওয়েব-ভিত্তিক ফ্রন্ট-এন্ড উভয়ের সাথেই আসে, এটি বিভিন্ন স্তরের দক্ষতার ব্যবহারকারীদের জন্য ব্যবহারিক করে তোলে।

1। পরিচিতি

সফ্টওয়্যার ইঞ্জিনিয়াররা কয়েক দশক ধরে ক্রিপ্টো-ডিটেক্টরের উপর নির্ভর করে চলেছেন সফ্টওয়্যার এবং পরিষেবাগুলিতে ক্রিপ্টোগ্রাফিক এপিআইগুলির সঠিক ব্যবহার নিশ্চিত করার জন্য যা তারা তৈরি, বিকাশ এবং বজায় রাখে [6]। এই ধরনের ক্রিপ্টোডেটেক্টরগুলি সফ্টওয়্যার ইঞ্জিনিয়ারিংয়ে সর্বব্যাপী, কারণ এগুলি IDE-তে একীভূত হয় (যেমন, Eclipse IDE [8] এর জন্য CogniCrypt প্লাগইন), ওরাকল কর্পোরেশন [9, 17] এর মতো সংস্থাগুলির পরীক্ষামূলক স্যুট এবং ক্রমাগত ইন্টিগ্রেশন/কন্টিনিউয়াস ডিপ্লোয়মেন্ট (CI) /CD) পাইপলাইন [12, 18]। উপরন্তু, GitHub এর মতো হোস্টিং প্রদানকারীরা আনুষ্ঠানিকভাবে এই ধরনের ক্রিপ্টো-ডিটেক্টরের ব্যবস্থা করছে যেমন, GitHub কোড স্ক্যান ইনিশিয়েটিভ [10]। অন্য কথায়, সফ্টওয়্যার এবং পরিষেবাগুলির নিরাপত্তা ক্রমশ ক্রিপ্টো-ডিটেক্টরের উপর নির্ভরশীল হয়ে উঠছে। যাইহোক, আমরা ক্রিপ্টো-ডিটেক্টরগুলির কার্যকারিতা মূল্যায়নের জন্য ম্যানুয়ালি-কিউরেটেড বেঞ্চমার্কের উপর নির্ভর করছি, এই ধরনের বেঞ্চমার্কগুলি অসম্পূর্ণ, ভুল এবং বজায় রাখার জন্য অবাস্তব বলে পরিচিত [16]। অতএব, নিরাপত্তা-কেন্দ্রিক দৃষ্টিকোণ থেকে ক্রিপ্টোডেটেক্টরের কার্যকারিতা নির্ধারণের জন্য একটি নির্ভরযোগ্য এবং বিকশিত মূল্যায়ন কৌশল প্রয়োজন যা ক্রিপ্টো-এপিআই-এর ভলিউম এবং বৈচিত্র্য এবং অপব্যবহারের বিভিন্ন প্যাটার্নের সাথে স্কেল করতে পারে।

আমরা স্ট্যাটিক ক্রিপ্টো-এপিআই অপব্যবহার ডিটেক্টর (MASC) কাঠামোর মূল্যায়নের জন্য মিউটেশন বিশ্লেষণ তৈরি করতে মিউটেশন পরীক্ষার কৌশলগুলিকে প্রাসঙ্গিকভাবে তৈরি করেছি। আমাদের মূল, MASC [3] এর প্রোটোটাইপ বাস্তবায়নে, এটি জাভার জন্য ক্রিপ্টো-এপিআই অপব্যবহারের ক্ষেত্রে মিউটেশনগুলিকে তাত্ক্ষণিক করার জন্য 12টি সাধারণীকরণযোগ্য, ব্যবহার-ভিত্তিক মিউটেশন অপারেটরকে লিভারেজ করেছে। মিউটেশন অপারেটরদের ডিজাইন করা হয়েছে জাভা ক্রিপ্টোগ্রাফিক আর্কিটেকচার (জেসিএ) [১১] এর ডিজাইন নীতির উপর ভিত্তি করে এবং একটি হুমকি মডেল যা বিভিন্ন দক্ষতা এবং উদ্দেশ্যের ব্যবহারকারীদের নিয়ে গঠিত (বিভাগ 4.1)। MASC তিনটি মিউটেশন স্কোপে (ইনজেকশন সাইট) জাভা বা অ্যান্ড্রয়েড-ভিত্তিক অ্যাপে এই মিউটেটেড অপব্যবহারের ক্ষেত্রে ইনজেক্ট করে, যেমন সিমিলারিটি স্কোপ (MDroid+ [13, 14] থেকে প্রসারিত), এক্সচেস্টিভ স্কোপ (𝜇SE [4, 5, 7] থেকে প্রসারিত) , এবং এর স্বাধীনভাবে বিকশিত প্রধান সুযোগ, এইভাবে ক্রিপ্টো-এপিআই অপব্যবহার ধারণ করে এমন মিউটেটেড অ্যাপ্লিকেশন তৈরি করে। আমরা শিল্প এবং একাডেমিয়া থেকে নয়টি ক্রিপ্টোডেটেক্টর মূল্যায়ন করে MASC-এর প্রোটোটাইপ বাস্তবায়নের বাস্তবতা প্রদর্শন করেছি, এবং 19টি পূর্বে নথিভুক্ত, অজানা ত্রুটিগুলি আবিষ্কার করেছি যা ক্রিপ্টো-ডিটেক্টরগুলির অভ্যন্তরীণ-সুস্থতার সাথে আপস করে। MASC-এর পদ্ধতির সম্পূর্ণ বিশদ বিবরণ, নকশা বিবেচনা, ক্রিপ্টো-ডিটেক্টরগুলির মূল্যায়ন যা অভিনব ত্রুটিগুলি খুঁজে বের করে, ওপেন সোর্স অ্যাপ্লিকেশনগুলিতে পাওয়া ত্রুটিগুলির ব্যবহারিক প্রভাব (অতএব, মিউটেশন অপারেটরদের প্রযোজ্যতা), এবং ফলাফলগুলির আলোচনা পাওয়া যায় মূল গবেষণাপত্র [৩]।

এই কাগজে, আমরা নিরাপত্তা গবেষক, বিকাশকারী এবং ব্যবহারকারীদের মতো ক্রিপ্টো-ডিটেক্টরের স্টেকহোল্ডারদের এক্সটেনসিবিলিটি, ব্যবহারের সহজতা এবং রক্ষণাবেক্ষণযোগ্যতার উপর ফোকাস সহ MASC কাঠামোর একটি পরিপক্ক বাস্তবায়ন উপস্থাপন করি। বিস্তৃতভাবে বলতে গেলে, নতুন উন্নত প্লাগ-ইন আর্কিটেকচারের কারণে, MASC ব্যবহারকারীরা এখন তাদের নিজস্ব মিউটেশন অপারেটর তৈরি করতে পারে যা বিদ্যমান কোড বেস (11𝐾+ কোডের উত্স লাইন) এর গভীরে না গিয়ে সহজেই MASC-তে প্লাগ করা যেতে পারে। অধিকন্তু, যেখানে MASC-এর মূল প্রোটোটাইপ বাস্তবায়নে ক্রিপ্টো-ডিটেক্টরগুলির আধা-স্বয়ংক্রিয় মূল্যায়ন জড়িত ছিল, আমরা ক্রিপ্টো-ডিটেক্টরগুলির ডি-ফ্যাক্টো SARIF [15] ফর্ম্যাট আউটপুট ব্যবহার করে MASC-এর কার্যপ্রবাহকে স্বয়ংক্রিয় করে তুলেছি। উপরন্তু, প্রবেশের বাধা কমাতে ব্যবহারকারীদের জন্য আমরা MASC এর বাস্তবায়নের একটি ওয়েব-ভিত্তিক ফ্রন্ট-এন্ড তৈরি করেছি। অবশেষে, আমরা MASC-এর রক্ষণাবেক্ষণযোগ্যতা এবং সম্প্রসারণযোগ্যতা বাড়াতে MASC-এর ওপেন-সোর্স কোডবেসকে পুনর্গঠন ও রিফ্যাক্টর করেছি, যা MASC-এর বিকাশকারী এবং ওপেন-সোর্স উত্সাহীদের উভয়ের জন্য ভবিষ্যতের অবদান এবং বর্ধিতকরণকে সহজ করে তুলবে। এই সংযোজন এবং বর্ধিতকরণগুলির সাথে, আমরা আশা করি যে MASC-এর বর্তমান, ওপেন-সোর্স বাস্তবায়নটি বিদ্যমান ক্রিপ্টো-ডিটেক্টরগুলির ত্রুটিগুলি খুঁজে বের করতে এবং এইভাবে উন্নতি করতে সাহায্য করবে।

অবদান : আমরা MASC উপস্থাপন করছি, একটি ব্যবহারকারী-বান্ধব ফ্রেমওয়ার্ক যা ক্রিপ্টো-ডিটেক্টর মূল্যায়নের জন্য মিউটেশন-পরীক্ষার কৌশল ব্যবহার করে, অন্তর্নিহিত কৌশল, নকশা বিবেচনা এবং উন্নতির বিবরণ সহ। MASC-এর নতুন, মূল বৈশিষ্ট্যগুলি নিম্নরূপ: ক্রিপ্টো-ডিটেক্টরের স্বয়ংক্রিয় মূল্যায়ন: MASC প্রধান স্কোপের মধ্যে শেষ-থেকে-এন্ড স্বয়ংক্রিয় কর্মপ্রবাহে ক্রিপ্টো-ডিটেক্টরের মূল্যায়ন করতে ব্যবহার করা যেতে পারে।

ক্রিপ্টো-ডিটেক্টরের কাস্টমাইজযোগ্য মূল্যায়ন: একজন ব্যবহারকারী ক্রিপ্টো-এপিআই অপব্যবহারের উদাহরণ তৈরি করার জন্য মিউটেশন অপারেটরগুলি নির্দিষ্ট করে ক্রিপ্টো-ডিটেক্টরের মূল্যায়ন কাস্টমাইজ করতে পারেন।

কাস্টম অপারেটরদের জন্য প্লাগ-ইন আর্কিটেকচার : MASC নিরাপত্তা গবেষক, ডেভেলপার এবং ব্যবহারকারীদের তাদের নিজস্ব, কাস্টম মিউটেশন অপারেটর তৈরি করে ক্রিপ্টো-ডিটেক্টরের মূল্যায়ন করতে সাহায্য করে যা সরাসরি মূল স্কোপে প্লাগ-ইন করা যায়, তাদের শেখার এবং বোঝার প্রয়োজন ছাড়াই MASC এর অভ্যন্তরীণ বিবরণ সম্পর্কে।

শেষ-ব্যবহারকারীদের জন্য ব্যবহারকারী-বান্ধব ফ্রন্ট-এন্ড : মূল প্রোটোটাইপ বাস্তবায়নের কমান্ড লাইন ইন্টারফেস উন্নত করার পাশাপাশি, আমরা শেষ-ব্যবহারকারীদের জন্য একটি ওপেন-সোর্সড, ওয়েব-ভিত্তিক ফ্রন্ট-এন্ড তৈরি এবং প্রবর্তন করি যা স্থানীয়ভাবে চালানো যেতে পারে। ফ্রন্ট-এন্ডে একটি অতিরিক্ত প্লে-টেস্ট-লার্ন ইন্টারফেস রয়েছে, MASC ল্যাব, যেখানে স্টেকহোল্ডাররা মিউটেশন অপারেটরদের সাথে যোগাযোগ করতে পারে এবং ক্রিপ্টো-এপিআই অপব্যবহারের মিউটেশন সম্পর্কে জানতে পারে।

টুল এবং ডেটা উপলব্ধতা: MASC ফ্রেমওয়ার্কের প্রোটোটাইপ বাস্তবায়ন, ক্রিপ্টো-ডিটেক্টর মূল্যায়নের স্ক্রিপ্ট এবং ফলাফল,

মূল কাগজে বর্ণিত হিসাবে [3], MASC আর্টিফ্যাক্ট [1] এ উপলব্ধ। তদ্ব্যতীত, MASC-এর সক্রিয়ভাবে রক্ষণাবেক্ষণের, পরিপক্ক বাস্তবায়নের কোডবেস বিস্তৃত ডকুমেন্টেশন এবং উদাহরণ সহ আলাদাভাবে উপলব্ধ [2]।