CN109462583A - 一种基于静态和动态相结合的反射型漏洞检测方法 - Google Patents
一种基于静态和动态相结合的反射型漏洞检测方法 Download PDFInfo
- Publication number
- CN109462583A CN109462583A CN201811282127.1A CN201811282127A CN109462583A CN 109462583 A CN109462583 A CN 109462583A CN 201811282127 A CN201811282127 A CN 201811282127A CN 109462583 A CN109462583 A CN 109462583A
- Authority
- CN
- China
- Prior art keywords
- static
- reflection
- loophole
- code
- xss
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于静态和动态相结合的反射型漏洞检测方法,该方法是结合静态污点传播和动态Fuzzing测试的反射型XSS漏洞检测方法。现有漏洞检测都是基于单一的污点分析或遗传算法等检测方法,污点分析往往是与HTTP请求数据包截获分析处理相结合的方法,跟踪用户的敏感信息和隐私数据,防止恶意程序代码发送到第三方,以致用户数据的泄露。而传统的遗传算法仅包含选择、交叉、变异的基本遗传操作,实际应用中由于遗传算法的自身缺陷,它只能找到接近全局最优解,而不能保证收敛到全局最优解。本发明借助于静态分析源代码以及污点传播方法,缩小反射型XSS漏洞查找范围的同时,使用随机化算法与模糊测试方法相结合自动化检测漏洞,检测效率高,方法可行性高。
Description
技术领域
本发明针对web应用程序可能存在的安全问题提出了一种基于静态和动态相结合的反射型XSS(Cross Site Scripting,跨站脚本攻击)漏洞检测方法,主要用来解决在web2.0技术迅速发展的互联网时代所面临的反射型XSS漏洞安全问题,属于计算机web网络安全技术领域。
背景技术
随着web2.0技术的高速发展和互联网的大众化,web应用程序得到了广泛应用,以网上购物、社交网站等为代表的web技术在很大程度上正在改变人们工作和交流的方式。不过,这些新技术的发展,一方面使商业活动更加方便快捷的发展,但是与此同时也带来了机密信息泄漏、财产损失、账户被盗等严重安全隐患。web应用程序的漏洞也随之成为互联网上最严重的安全隐患之一,根据国家信息安全漏洞库统计数据,截止2016年7月,漏洞库共收集XSS漏洞9401个,对我国近5年来各类主要漏洞数量进行了统计,XSS漏洞仅次于缓冲区溢出漏洞排名第二,其中缓冲区溢出3797个,跨站脚本漏洞3561个,SQL注入漏洞1185个。在近几年的开放式web应用程序安全项目(OWASP)组织公布的漏洞危害排名中XSS漏洞常位居前三。
污点传播,是近几年出现的一种数据流分析方法,其跟踪程序对数据的处理过程,可以记录数据流的流向,从而找到目的数据和源数据的依赖关系。将可疑的不可信源数据标记为被污点数据,然后根据某些规则进行传播,达到检测软件漏洞的目的。污点分析过程一般包括三步:第一步是标记污点数据;第二步传播污点属性;第三步进行污点检测。针对现阶段常见的漏洞利用技术,我们可以很容易的发现对污染数据传播的分析主要的着手点都包含了二个方面,一方面是未污染的数据如何被执行污染操作,另一方面是构造的恶意数据是怎样在污染数据中进行传播。同时该方法在路径覆盖和准确率上都有较好的表现,静态污点传播方法也成为检测其软件产品质量的重要手段。
而Fuzzing测试是用随机fuzz数据攻击一个程序,是一种基于缺陷注入的自动软件测试技术。Fuzzing测试主要是使用payload不断测试和调整再测试的过程。对于不同情况的注入点,需要使用的payload是不同的,注入的位置在标签属性中还是标签事件中,所使用的payload也是不同的。所以payload的好坏决定了攻击是否可以成功。
发明内容
技术问题:本发明的目的是提出一种结合静态污点传播和动态Fuzzing测试的反射型XSS漏洞检测方法,来解决web应用解析页面时可能存在的跨站脚本攻击问题。通过使用本发明提出的方法,可以提高反射型XSS漏洞的检测效率,从而尽可能避免攻击者利用此漏洞获取用户的各种私密信息,维护用户的权益。
为实现上述目的,本发明采用如下技术方案:
技术方案:本发明提出的静态污点传播和Fuzzing测试方法,是通过对污点数据源和传播路径的静态方法分析污点数据,从静态分析的角度,找到JavaScript代码中可能存在反射型XSS漏洞特征点的范围,对HTML代码进行采集,分析抽象语法树,对关键根节点进行静态特征提取和分拣。然后进行污染传播分析的漏洞利用检测,通过这种静态代码审计的分析JavaScript代码,可以使污染数据源所在的区域范围缩小,污染传播的分析过程更加高效。在这基础上,利用随机化算法尽可能找到正确的漏洞存在点,并与Fuzzing测试相结合的方法实现自动化检测反射型XSS漏洞。其中:
抽象语法树:在静态分析中对JavaScript代码进行语法解析。
关键点:把JavaScript源代码中的语句映射到抽象语法树中的每一个节点上,解析后的语法结果。
代码审计:通过查看JavaScript源代码的方式,找出可疑的被污染数据,进而方便静态污点传播。
关键点集合:分成三个部分,分别是集合U、集合A和集合I。其中把U集合中的元素称为基本特征词,即JavaScript代码中运算符和变量定义等。集合A中元素称为基本特征语句,即JavaScript代码中的赋值语句,条件语句等。集合I中元素称为基本特殊点,即包括文件的后缀名或者特殊字符@、$等。
特征点:一些可能存在漏洞的位置,攻击者通过特殊手法(如e-mail),诱使用户访问包含恶意代码的URL,使恶意代码执行,从而危及受害者。
随机化算法:使用随机过程来解决很多实际生活中可能遇到的问题,随着抽样试验的增加,所得到的结果也越精确。
本发明提供的一种基于静态和动态相结合的反射型漏洞检测方法,包括如下步骤:
步骤1:对web应用程序进行静态分析,获得其静态特征点;
步骤2:对所述静态特征点进行污点传播分析;
步骤3:对经步骤2处理后的静态特征点进行动态Fuzzing测试,检测出web应用程序的反射型XSS漏洞。
优选的,步骤1包括:
步骤1.1:将浏览器网页中的HTML代码与JavaScript代码分离;
步骤1.2:通过分析抽象语法树,在静态分析中对JavaScript代码进行语法解析,把源代码中的语句映射到树中的每一个节点上,解析后得到对应的语法结果,即关键点;
步骤1.3:利用分拣函数从关键点中获得可能存在漏洞的位置,即静态特征点。
优选的,步骤2包括:
步骤2.1:对静态特征点做污点标记;
步骤2.2:传播污染数据;
步骤2.3:检测污点数据净化情况,静态特征点的反射型XSS代码被变换和重置,以避免web服务器对反射型XSS代码的过滤。
优选的,步骤3包括:
步骤3.1:向经步骤2处理后的静态特征点输入一个用于测试的URL;
步骤3.2:判断输入的URL是否存在http://或https://形式的超文本传输协议,如果不存在则将对应的http://或https://补上,如果存在则转步骤3.3;
步骤3.3:判断http://或https://上的域名是否可以被检测到,如果判断结果是false,则说明域名不存在或已经下线;若结果为true,则说明域名上线,可以被检测得到,转步骤3.4;
步骤3.4:对获取/传送数据的方式进行判断,如果判断为post方式则输入对应的参数和值;若判断为get方式则输入检测漏洞存在可能的payload,继而转步骤3.5;
步骤3.5:加载payload,然后转步骤3.6;
步骤3.6:判断反射型XSS漏洞是否被找到,如果判断结果为false,说明这个XSS漏洞没有被找到,参数不存在漏洞,直接结束;若判断为true,说明XSS漏洞已经被找到,并将对应的参数以及存在的漏洞payload显示出来,转步骤3.7;
步骤3.7:将扫描得到的漏洞检测结果形成一个结果表,结束检测过程。
优选的,步骤3.5中,在加载payload的同时,利用随机化算法对URL中对应的参数进行扫描,随机生成更多的payload,并对漏洞的注入点进行注入。
有益效果:本发明提出了一种结合静态污点传播和动态Fuzzing测试的反射型XSS漏洞检测方法,主要用于解决web应用中反射型XSS攻击的网络安全问题。该方法与现有技术相比具有如下优点:
(1)该方法中通过静态分析JavaScript代码使污染数据源的范围进一步缩小。同时结合污点传播方法使反射型XSS漏洞存在区域也更加明确。提高跨站脚本漏洞划分的准确性且简单易于实现。
(2)该方法借助于随机化算法思想与Fuzzing测试对反射型XSS漏洞进行有效的自动化检测,提高了检测漏洞的效率,降低了查找漏洞的盲目性。
附图说明
图1方法总流程概要图。
图2反射型XSS漏洞原理图。
图3静态分析JavaScript流程图。
图4基于随机化算法的Fuzzing测试流程图。
图5污点传播流程图。
具体实施方式
本发明一种结合静态污点传播和动态Fuzzing测试的反射型XSS漏洞检测方法,借助静态分析源代码以及污点传播方法,进行漏洞查找,使用随机化算法与模糊测试方法自动化检测漏洞。
在如图2所示的原理图中,攻击者通过诱使用户点击电子邮件方式,使页面中包含恶意代码的URL被执行,从而窃取用户密码,登录名等私密信息。
该方法主要包括(一)静态分析源码;(二)污点传播;(三)动态Fuzzing测试3个步骤,如图1所示。下面就这3个部分进行详细的阐述:
(一)静态分析
Web应用的静态分析可以看成是一种对来自外部输入变量的持续跟踪检查,按照需求我们可以适当的把来自用户的输入或者数据库的内容定义为危险函数。这些输入变量依据需求将其定义为危险变量,即被污染的变量。但是往往希望程序所调用的函数包括其参数、变量、函数名等是未受污染的,所以需要通过静态分析JavaScript代码,查找污染数据的路径,在静态分析JavaScript代码的过程主要步骤如下。
(1)将浏览器网页中的HTML代码与JavaScript代码分离。如果分离成功,转步骤(2)。
(2)在浏览器中获取JavaScript源码,开始执行对源代码的静态分析,此时进一步转步骤(3)。
(3)通过分析抽象语法树,在静态分析中对JavaScript代码进行语法解析,把源代码中的语句映射到树中的每一个节点上,解析后会得到对应的语法结果,这些结果能最大程度的体现数据本质属性。得到语法结果转步骤(4)。
(4)获取关键点,主要将关键点集合分成三个部分,分别是集合U、集合A和集合I,从而对抽象语法树分析的关键点进行分布,转步骤(5)。
(5)根据分拣函数,通过预先设定某个控制阈值来辅助判断待测试数据的关键点是异常行为数据还是正常行为数据。
(二)污点传播
在污染传播的分析过程中,我们认识到所谓污染数据,它可以包含存在可能被污染的某些数据,同样也可以是污染源本身的数据。不仅如此,那些同已被污染的数据之间有转换关联的内容也会有被污染的可能性,比如通过数据与数据间的复制粘贴、等价替换以及加减乘除计算法则等方式。污染传播分析的漏洞利用检测,主要根据三个方面问题进行展开,具体步骤如下:
(1)标记污染数据源
我们首先关注的是对污染数据源的标识。对于我们生活中常见的某个网站而言,可以通过网络爬虫技术获取网站中几乎所有网页链接信息,同时利用不同爬虫遍历方式,在语法和词法分析的层面上挖掘JavaScript标签,比如script标签,iframe标签,link标签,style标签,select标签等,遍历得到的标签信息中寻找XSS漏洞注入点,并对其做污点标记,成功即跳转到(2)。
(2)污染数据传播
在污染链表中,所有污染数据内容的创建以及程序集合代码的执行过程都完全同时进行。从程序代码执行的角度看,污染链表是记录下传播污染数据全过程的工具,特别是针对不同的场景下,污染数据是如何作用于敏感位置的,由此可见,污染链表对数据传播的意义。污染数据本身存在不同的属性值、定义的数据类型、数据源操控方式等,将这些应用到未受污染的数据源,并在此基础上实现对污染数据的传播和发展。
将不同污染源数据的传播路径和执行方式记录在污染链表的数据存储区,在污染链表中,便可获取污染数据的传播,即从污染源将污染传输到敏感位置的整个传播路径。通过分析污染源和危险函数路径,使得查找污染源码的地址格外方便,成功即跳转到(3)。
(3)检测污染数据净化
为了充分检测污染数据的净化情况,我们应该尽可能多的对反射型XSS的代码进行变换和重置。污染数据净化是在不改变程序功能的基础上,通过对污染数据的净化,消除漏洞被利用的可能。
(三)动态Fuzzing测试
通过向目标程序提供某种Fuzzing形式的输入并观察其响应来发现问题,这种输入可以是完全随机的或是精心构造的,并在此基础上加入随机化算法思想对目标进行测试,具体步骤如下。
(1)输入一个用于测试的URL。转步骤(2)。
(2)判断输入的URL是否存在http://或https://形式的超文本传输协议,如果不存在则将对应的http://或https://补上,如果存在则转步骤(3)。
(3)判断http://或https://上的域名是否可以被检测到,如果判断结果是false,则说明域名不存在或已经下线。若判断为true,则说明域名上线,可以被检测得到,转步骤(4)。
(4)对获取/传送数据的方式进行判断,如果判断为post方式则输入对应的参数和值。若判断为get方式则输入检测漏洞存在可能的payload,继而转步骤(5)。
(5)利用随机化算法,在payload加载的同时,对URL中对应的参数进行扫描,并对漏洞的注入点进行注入,即在payload加载的同时,基于已有的一些payload,利用随机化算法将payload随机生成更多的payload,生成的payload是用于在扫描URL参数时,查看网页中是否存在反射性xss漏洞的。生成的payload越多,查找漏洞的过程就更加细致,避免遗漏漏洞的个数。将这些求得的payload注入漏洞可能存在的注入点,这样就可以实现对URL解析的同时获取更多的xss漏洞。然后转步骤(6)。
(6)判断反射型XSS漏洞是否被找到,如果判断结果为false,说明这个XSS漏洞没有被找到,参数不存在漏洞,直接结束。若判断为true,说明XSS漏洞已经被找到,并将对应的参数以及存在的漏洞payload显示出来,转步骤(7)。
(7)将扫描得到的漏洞检测结果形成一个结果表,结束检测过程。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种基于静态和动态相结合的反射型漏洞检测方法,其特征在于,包括如下步骤:
步骤1:对web应用程序进行静态分析,获得其静态特征点;
步骤2:对所述静态特征点进行污点传播分析;
步骤3:对经步骤2处理后的静态特征点进行动态Fuzzing测试,检测出web应用程序的反射型XSS漏洞。
2.根据权利要求1所述的一种基于静态和动态相结合的反射型漏洞检测方法,其特征在于,步骤1包括:
步骤1.1:将浏览器网页中的HTML代码与JavaScript代码分离;
步骤1.2:通过分析抽象语法树,在静态分析中对JavaScript代码进行语法解析,把源代码中的语句映射到树中的每一个节点上,解析后得到对应的语法结果,即关键点;
步骤1.3:利用分拣函数从关键点中获得可能存在漏洞的位置,即静态特征点。
3.根据权利要求1所述的一种基于静态和动态相结合的反射型漏洞检测方法,其特征在于,步骤2包括:
步骤2.1:对静态特征点做污点标记;
步骤2.2:传播污染数据;
步骤2.3:检测污点数据净化情况,静态特征点的反射型XSS代码被变换和重置,以避免web服务器对反射型XSS代码的过滤。
4.根据权利要求1所述的一种基于静态和动态相结合的反射型漏洞检测方法,其特征在于,步骤3包括:
步骤3.1:向经步骤2处理后的静态特征点输入一个用于测试的URL;
步骤3.2:判断输入的URL是否存在http://或https://形式的超文本传输协议,如果不存在则将对应的http://或https://补上,如果存在则转步骤3.3;
步骤3.3:判断http://或https://上的域名是否可以被检测到,如果判断结果是false,则说明域名不存在或已经下线;若结果为true,则说明域名上线,可以被检测得到,转步骤3.4;
步骤3.4:对获取/传送数据的方式进行判断,如果判断为post方式则输入对应的参数和值;若判断为get方式则输入检测漏洞存在可能的payload,继而转步骤3.5;
步骤3.5:加载payload,然后转步骤3.6;
步骤3.6:判断反射型XSS漏洞是否被找到,如果判断结果为false,说明这个XSS漏洞没有被找到,参数不存在漏洞,直接结束;若判断为true,说明XSS漏洞已经被找到,并将对应的参数以及存在的漏洞payload显示出来,转步骤3.7;
步骤3.7:将扫描得到的漏洞检测结果形成一个结果表,结束检测过程。
5.根据权利要求4所述的一种基于静态和动态相结合的反射型漏洞检测方法,其特征在于,步骤3.5中,在加载payload的同时,利用随机化算法对URL中对应的参数进行扫描,随机生成更多的payload,并对漏洞的注入点进行注入。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811282127.1A CN109462583B (zh) | 2018-10-31 | 2018-10-31 | 一种基于静态和动态相结合的反射型漏洞检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811282127.1A CN109462583B (zh) | 2018-10-31 | 2018-10-31 | 一种基于静态和动态相结合的反射型漏洞检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109462583A true CN109462583A (zh) | 2019-03-12 |
CN109462583B CN109462583B (zh) | 2021-04-20 |
Family
ID=65608982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811282127.1A Active CN109462583B (zh) | 2018-10-31 | 2018-10-31 | 一种基于静态和动态相结合的反射型漏洞检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109462583B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111125714A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种安全检测方法、装置及电子设备 |
CN111191244A (zh) * | 2019-12-11 | 2020-05-22 | 杭州孝道科技有限公司 | 一种漏洞修复方法 |
CN111506900A (zh) * | 2020-04-15 | 2020-08-07 | 北京字节跳动网络技术有限公司 | 漏洞检测方法、装置、电子设备及计算机存储介质 |
CN111737150A (zh) * | 2020-07-24 | 2020-10-02 | 江西师范大学 | 面向Java EE程序SQLIA漏洞的污点分析和验证方法及装置 |
CN112632423A (zh) * | 2021-03-10 | 2021-04-09 | 北京邮电大学 | Url提取方法及装置 |
CN114257389A (zh) * | 2020-09-22 | 2022-03-29 | 北京安全共识科技有限公司 | 一种基于语法分析的反射型xss检测方法及装置 |
CN114626062A (zh) * | 2022-02-22 | 2022-06-14 | 中国人民解放军国防科技大学 | 一种基于动静结合的网站应用用户交互点发现方法和*** |
CN116842531A (zh) * | 2023-08-28 | 2023-10-03 | 北京安普诺信息技术有限公司 | 基于代码疫苗的漏洞实时验证方法、装置、设备及介质 |
CN116933323A (zh) * | 2023-09-11 | 2023-10-24 | 北京格尔国信科技有限公司 | 一种基于隐私保护的代码审计方法、***及计算机设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104268474A (zh) * | 2014-09-30 | 2015-01-07 | 电子科技大学 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
US20150222657A1 (en) * | 2013-09-27 | 2015-08-06 | The University Of North Carolina At Charlotte | Moving target defense against cross-site scripting |
CN106033516A (zh) * | 2015-03-18 | 2016-10-19 | ***通信集团陕西有限公司 | 一种检测终端源代码安全的方法、装置及*** |
CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控***及方法 |
-
2018
- 2018-10-31 CN CN201811282127.1A patent/CN109462583B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150222657A1 (en) * | 2013-09-27 | 2015-08-06 | The University Of North Carolina At Charlotte | Moving target defense against cross-site scripting |
CN104268474A (zh) * | 2014-09-30 | 2015-01-07 | 电子科技大学 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
CN106033516A (zh) * | 2015-03-18 | 2016-10-19 | ***通信集团陕西有限公司 | 一种检测终端源代码安全的方法、装置及*** |
CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控***及方法 |
Non-Patent Citations (1)
Title |
---|
赵健: "基于污点分析的智能家居漏洞挖掘技术研究", 《技术研究》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111191244A (zh) * | 2019-12-11 | 2020-05-22 | 杭州孝道科技有限公司 | 一种漏洞修复方法 |
CN111125714A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种安全检测方法、装置及电子设备 |
CN111506900B (zh) * | 2020-04-15 | 2023-07-18 | 抖音视界有限公司 | 漏洞检测方法、装置、电子设备及计算机存储介质 |
CN111506900A (zh) * | 2020-04-15 | 2020-08-07 | 北京字节跳动网络技术有限公司 | 漏洞检测方法、装置、电子设备及计算机存储介质 |
CN111737150B (zh) * | 2020-07-24 | 2023-09-15 | 江西师范大学 | 面向Java EE程序SQLIA漏洞的污点分析和验证方法及装置 |
CN111737150A (zh) * | 2020-07-24 | 2020-10-02 | 江西师范大学 | 面向Java EE程序SQLIA漏洞的污点分析和验证方法及装置 |
CN114257389A (zh) * | 2020-09-22 | 2022-03-29 | 北京安全共识科技有限公司 | 一种基于语法分析的反射型xss检测方法及装置 |
CN112632423B (zh) * | 2021-03-10 | 2021-06-29 | 北京邮电大学 | Url提取方法及装置 |
CN112632423A (zh) * | 2021-03-10 | 2021-04-09 | 北京邮电大学 | Url提取方法及装置 |
CN114626062A (zh) * | 2022-02-22 | 2022-06-14 | 中国人民解放军国防科技大学 | 一种基于动静结合的网站应用用户交互点发现方法和*** |
CN116842531A (zh) * | 2023-08-28 | 2023-10-03 | 北京安普诺信息技术有限公司 | 基于代码疫苗的漏洞实时验证方法、装置、设备及介质 |
CN116842531B (zh) * | 2023-08-28 | 2023-11-03 | 北京安普诺信息技术有限公司 | 基于代码疫苗的漏洞实时验证方法、装置、设备及介质 |
CN116933323A (zh) * | 2023-09-11 | 2023-10-24 | 北京格尔国信科技有限公司 | 一种基于隐私保护的代码审计方法、***及计算机设备 |
CN116933323B (zh) * | 2023-09-11 | 2023-12-08 | 北京格尔国信科技有限公司 | 一种基于隐私保护的代码审计方法、***及计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109462583B (zh) | 2021-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109462583A (zh) | 一种基于静态和动态相结合的反射型漏洞检测方法 | |
Melicher et al. | Riding out domsday: Towards detecting and preventing dom cross-site scripting | |
Iqbal et al. | Adgraph: A graph-based approach to ad and tracker blocking | |
Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
US9509714B2 (en) | Web page and web browser protection against malicious injections | |
Yue et al. | Characterizing insecure JavaScript practices on the web | |
Shar et al. | Defeating SQL injection | |
US20160088015A1 (en) | Web page and web browser protection against malicious injections | |
Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
CN105184159B (zh) | 网页篡改的识别方法和装置 | |
Shahriar et al. | Mutec: Mutation-based testing of cross site scripting | |
CN101490685A (zh) | 提高浏览网页的用户机的安全等级的方法 | |
Deepa et al. | DetLogic: A black-box approach for detecting logic vulnerabilities in web applications | |
CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及*** | |
Zhao et al. | A new framework of security vulnerabilities detection in PHP web application | |
Sjösten et al. | Essentialfp: Exposing the essence of browser fingerprinting | |
Yan et al. | Detection method of the second-order SQL injection in Web applications | |
Xie et al. | JTaint: finding privacy-leakage in chrome extensions | |
Huynh et al. | An empirical investigation into open source web applications’ implementation vulnerabilities | |
CN117176405A (zh) | 针对跨站攻击检测方法及*** | |
Yin et al. | A web application runtime application self-protection scheme against script injection attacks | |
Rao | Defending against web vulnerabilities and cross-site scripting | |
Zhao et al. | Large-scale detection of privacy leaks for BAT browsers extensions in China | |
Zhang et al. | Research on SQL injection vulnerabilities and its detection methods | |
Su et al. | Automatic discovery of emerging browser fingerprinting techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20190312 Assignee: NUPT INSTITUTE OF BIG DATA RESEARCH AT YANCHENG Assignor: NANJING University OF POSTS AND TELECOMMUNICATIONS Contract record no.: X2021980013920 Denomination of invention: A reflective vulnerability detection method based on the combination of static and dynamic Granted publication date: 20210420 License type: Common License Record date: 20211202 |
|
EE01 | Entry into force of recordation of patent licensing contract |