Development of a Website for Creation of Vulnerability Datasets
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2023 |
| Tipo de documento: | Dissertação |
| Idioma: | eng |
| Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| Texto Completo: | http://hdl.handle.net/10451/62676 |
Resumo: | Tese de Mestrado, Engenharia Informática, 2023, Universidade de Lisboa, Faculdade de Ciências |
| id |
RCAP_248b6fb220b97d068f46dbaa879f148e |
|---|---|
| oai_identifier_str |
oai:repositorio.ul.pt:10451/62676 |
| network_acronym_str |
RCAP |
| network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository_id_str |
7160 |
| spelling |
Development of a Website for Creation of Vulnerability DatasetsVulnerabilidades em aplicações webDeteção de vulnerabilidadesAnálise estáticaAprendizagem automáticaContribuição coletivaTeses de mestrado - 2023Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e InformáticaTese de Mestrado, Engenharia Informática, 2023, Universidade de Lisboa, Faculdade de CiênciasWith the evolution of the digital era, guaranteeing the robustness and security of software has become a major concern. In order to address this subject, it is important to effectively not only detect, but also mitigate software vulnerabilities. Static Analysis Tools (SATs) present a cost-effective solution to this, being able to achieve a cheap and fast analysis, but often incur in a high percentage of false positives and negatives. Recent studies suggest that machine learning (ML) techniques could enhance the effectiveness of these tools, but this requires trustworthy and reliable datasets to train the ML models. This dissertation aims to provide a way of create the aforesaid datasets that can help with the development of ML models capable of identifying vulnerabilities in computer programs. To achieve this, we propose a novel approach to construct these datasets, which consists in collecting inputs from the crowd as a way of mitigating the false positives and negatives generated by the SATs, but at the same time leverage from their deterministic classifications. This approach is applied within the context of web vulnerabilities that appear in applications built with the PHP programming language. To facilitate crowdsourcing, we developed a user-friendly website called BugSpotting where users can classify PHP code snippets, indicating whether these are vulnerable (or not vulnerable) to a set of vulnerability classes. With the results obtained both from the crowd and the SATs, we are able to obtain a reliable and trustworthy dataset comprised of accurately classified PHP code snippets. We evaluated BugSpotting in terms of UI and UX and the results obtained were very satisfactory. Moreover, although we were not able to reach a consensus about the code snippet’s final label, we still manage to analyse the data we have collected until the moment, showing promising results.Neves, Nuno Fuentecilla Maia FerreiraMedeiros, Ibéria Vitória de SousaRepositório da Universidade de LisboaFerreira, Miguel Pinto da Silva2024-02-16T17:23:14Z202320232023-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/62676enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2024-02-19T01:19:19Zoai:repositorio.ul.pt:10451/62676Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-20T02:38:59.677821Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
| dc.title.none.fl_str_mv |
Development of a Website for Creation of Vulnerability Datasets |
| title |
Development of a Website for Creation of Vulnerability Datasets |
| spellingShingle |
Development of a Website for Creation of Vulnerability Datasets Ferreira, Miguel Pinto da Silva Vulnerabilidades em aplicações web Deteção de vulnerabilidades Análise estática Aprendizagem automática Contribuição coletiva Teses de mestrado - 2023 Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| title_short |
Development of a Website for Creation of Vulnerability Datasets |
| title_full |
Development of a Website for Creation of Vulnerability Datasets |
| title_fullStr |
Development of a Website for Creation of Vulnerability Datasets |
| title_full_unstemmed |
Development of a Website for Creation of Vulnerability Datasets |
| title_sort |
Development of a Website for Creation of Vulnerability Datasets |
| author |
Ferreira, Miguel Pinto da Silva |
| author_facet |
Ferreira, Miguel Pinto da Silva |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Neves, Nuno Fuentecilla Maia Ferreira Medeiros, Ibéria Vitória de Sousa Repositório da Universidade de Lisboa |
| dc.contributor.author.fl_str_mv |
Ferreira, Miguel Pinto da Silva |
| dc.subject.por.fl_str_mv |
Vulnerabilidades em aplicações web Deteção de vulnerabilidades Análise estática Aprendizagem automática Contribuição coletiva Teses de mestrado - 2023 Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| topic |
Vulnerabilidades em aplicações web Deteção de vulnerabilidades Análise estática Aprendizagem automática Contribuição coletiva Teses de mestrado - 2023 Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| description |
Tese de Mestrado, Engenharia Informática, 2023, Universidade de Lisboa, Faculdade de Ciências |
| publishDate |
2023 |
| dc.date.none.fl_str_mv |
2023 2023 2023-01-01T00:00:00Z 2024-02-16T17:23:14Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10451/62676 |
| url |
http://hdl.handle.net/10451/62676 |
| dc.language.iso.fl_str_mv |
eng |
| language |
eng |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
| instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| instacron_str |
RCAAP |
| institution |
RCAAP |
| reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| repository.mail.fl_str_mv |
|
| _version_ |
1799137439951880192 |