Umeå universitets logga

umu.sePublikationer
EnglishSvenskaNorsk
Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
Gleipner: A benchmark for gadget chain detection in Java Deserialization Vulnerabilities
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.
Umeå universitet, Teknisk-naturvetenskapliga fakulteten, Institutionen för datavetenskap.ORCID-id: 0000-0003-1383-0372
2025 (Engelska)Ingår i: Proceedings of the ACM on Software Engineering, E-ISSN 2994-970, Vol. 2, nr FSE001, s. 1-21Artikel i tidskrift (Refereegranskat) Published
Abstract [en]

While multiple recent publications on detecting Java Deserialization Vulnerabilities highlight an increasing relevance of the topic, until now no proper benchmark has been established to evaluate the individual approaches. Hence, it has become increasingly difficult to show improvements over previous tools and trade-offs that were made. In this work, we synthesize the main challenges in gadget chain detection. More specifically, this unveils the constraints program analysis faces in the context of gadget chain detection. From there, we develop Gleipner: the first synthetic, large-scale and systematic benchmark to validate the effectiveness of algorithms for detecting gadget chains in the Java programming language. We then benchmark seven previous publications in the field using Gleipner. As a result, it shows, that (1) our benchmark provides a transparent, qualitative, and sound measurement for the maturity of gadget chain detecting tools, (2) Gleipner alleviates severe benchmarking flaws which were previously common in the field and (3) state-of-the-art tools still struggle with most challenges in gadget chain detection.
Ort, förlag, år, upplaga, sidor
New York: Association for Computing Machinery (ACM), 2025. Vol. 2, nr FSE001, s. 1-21
Nyckelord [en]
Java, benchmark, deserialization, gadget chain, program analysis, vulnerabilitiy
Nationell ämneskategori
Säkerhet, integritet och kryptologi
Forskningsämne
datalogi
Identifikatorer
URN: urn:nbn:se:umu:diva-249205DOI: 10.1145/3715711OAI: oai:DiVA.org:umu-249205DiVA, id: diva2:2033796
Konferens
ACM International Conference on the Foundations of Software Engineering (FSE), Trondheim, Norway, June 23-27, 2025
Forskningsfinansiär
Wallenberg AI, Autonomous Systems and Software Program (WASP)Tillgänglig från: 2026-01-30 Skapad: 2026-01-30 Senast uppdaterad: 2026-02-02Bibliografiskt granskad

Open Access i DiVA

fulltext(2361 kB)21 nedladdningar
Filinformation
Filnamn FULLTEXT01.pdfFilstorlek 2361 kBChecksumma SHA-512
cc551ada3a8ad321220df89147a771c882f17d94a85856b51c0d5a8b07a21d0cdca08d5ec393f5f5b2853c428fd64ef2bb7f48a02b6c61e6d48f5cfce72dedc7
Typ fulltextMimetyp application/pdf

Övriga länkar

Förlagets fulltext

Person

Kreyssig, BrunoBartel, Alexandre

Sök vidare i DiVA

Av författaren/redaktören
Kreyssig, BrunoBartel, Alexandre
Av organisationen
Institutionen för datavetenskap
Säkerhet, integritet och kryptologi

Sök vidare utanför DiVA

GoogleGoogle Scholar
Antalet nedladdningar är summan av nedladdningar för alla fulltexter. Det kan inkludera t.ex tidigare versioner som nu inte längre är tillgängliga.

doi
urn-nbn

Altmetricpoäng

doi
urn-nbn
Totalt: 3128 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • ieee
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
v. 2.47.0
|
WCAG
|
Logga in
|
Manualer
|
Kontakta biblioteket