CN110688659A - 基于iast测试工具动态检测水平越权的方法及*** - Google Patents
基于iast测试工具动态检测水平越权的方法及*** Download PDFInfo
- Publication number
- CN110688659A CN110688659A CN201910855342.4A CN201910855342A CN110688659A CN 110688659 A CN110688659 A CN 110688659A CN 201910855342 A CN201910855342 A CN 201910855342A CN 110688659 A CN110688659 A CN 110688659A
- Authority
- CN
- China
- Prior art keywords
- request
- module
- user
- test tool
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3696—Methods or tools to render software testable
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910855342.4A CN110688659B (zh) | 2019-09-10 | 2019-09-10 | 基于iast测试工具动态检测水平越权的方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910855342.4A CN110688659B (zh) | 2019-09-10 | 2019-09-10 | 基于iast测试工具动态检测水平越权的方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110688659A true CN110688659A (zh) | 2020-01-14 |
CN110688659B CN110688659B (zh) | 2020-10-16 |
Family
ID=69107978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910855342.4A Active CN110688659B (zh) | 2019-09-10 | 2019-09-10 | 基于iast测试工具动态检测水平越权的方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110688659B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及***、设备及存储介质 |
CN111597203A (zh) * | 2020-04-28 | 2020-08-28 | ***股份有限公司 | 语句查询方法、装置、设备、介质 |
CN111967043A (zh) * | 2020-07-29 | 2020-11-20 | 深圳开源互联网安全技术有限公司 | 确定数据相似度的方法、装置、电子设备及存储介质 |
CN112257054A (zh) * | 2020-10-22 | 2021-01-22 | 北京邮电大学 | 一种软件应用越权风险检测方法、电子设备及存储介质 |
CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
CN112653670A (zh) * | 2020-12-08 | 2021-04-13 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
CN112883379A (zh) * | 2021-01-13 | 2021-06-01 | 深圳开源互联网安全技术有限公司 | 基于IAST的Node.js数据流跟踪方法及*** |
CN113032787A (zh) * | 2021-03-12 | 2021-06-25 | 北京安全共识科技有限公司 | 一种***漏洞检测方法及装置 |
CN113158197A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、*** |
CN114499960A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 一种csrf漏洞识别方法、装置及计算机可读存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
CN103607378A (zh) * | 2013-11-01 | 2014-02-26 | 国家电网公司 | 一种访问控制方法 |
CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其*** |
CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
US20170351870A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
CN108833365A (zh) * | 2018-05-24 | 2018-11-16 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其*** |
EP3433782A1 (en) * | 2016-03-21 | 2019-01-30 | Checkmarx Ltd. | Integrated interactive application security testing |
CN110084044A (zh) * | 2019-03-14 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 针对水平越权漏洞自动进行测试的方法及相关设备 |
-
2019
- 2019-09-10 CN CN201910855342.4A patent/CN110688659B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
CN103607378A (zh) * | 2013-11-01 | 2014-02-26 | 国家电网公司 | 一种访问控制方法 |
CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
EP3433782A1 (en) * | 2016-03-21 | 2019-01-30 | Checkmarx Ltd. | Integrated interactive application security testing |
US20170351870A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其*** |
CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
CN108833365A (zh) * | 2018-05-24 | 2018-11-16 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其*** |
CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
CN110084044A (zh) * | 2019-03-14 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 针对水平越权漏洞自动进行测试的方法及相关设备 |
Non-Patent Citations (1)
Title |
---|
公衍磊: "跨站脚本漏洞与攻击的客户端检测方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及***、设备及存储介质 |
CN111209213B (zh) * | 2020-02-14 | 2023-08-11 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及***、设备及存储介质 |
CN111597203A (zh) * | 2020-04-28 | 2020-08-28 | ***股份有限公司 | 语句查询方法、装置、设备、介质 |
CN111967043A (zh) * | 2020-07-29 | 2020-11-20 | 深圳开源互联网安全技术有限公司 | 确定数据相似度的方法、装置、电子设备及存储介质 |
CN111967043B (zh) * | 2020-07-29 | 2023-08-11 | 深圳开源互联网安全技术有限公司 | 确定数据相似度的方法、装置、电子设备及存储介质 |
CN112257054A (zh) * | 2020-10-22 | 2021-01-22 | 北京邮电大学 | 一种软件应用越权风险检测方法、电子设备及存储介质 |
CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
CN112653670A (zh) * | 2020-12-08 | 2021-04-13 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
CN112653670B (zh) * | 2020-12-08 | 2023-11-10 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
CN112883379B (zh) * | 2021-01-13 | 2023-04-25 | 深圳开源互联网安全技术有限公司 | 基于IAST的Node.js数据流跟踪方法及*** |
CN112883379A (zh) * | 2021-01-13 | 2021-06-01 | 深圳开源互联网安全技术有限公司 | 基于IAST的Node.js数据流跟踪方法及*** |
CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
CN113032787A (zh) * | 2021-03-12 | 2021-06-25 | 北京安全共识科技有限公司 | 一种***漏洞检测方法及装置 |
CN113032787B (zh) * | 2021-03-12 | 2024-05-07 | 北京基调网络股份有限公司 | 一种***漏洞检测方法及装置 |
CN113158197B (zh) * | 2021-05-26 | 2022-05-17 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、*** |
CN113158197A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、*** |
CN114499960A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 一种csrf漏洞识别方法、装置及计算机可读存储介质 |
CN114499960B (zh) * | 2021-12-24 | 2024-03-22 | 深圳开源互联网安全技术有限公司 | 一种csrf漏洞识别方法、装置及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110688659B (zh) | 2020-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110688659B (zh) | 基于iast测试工具动态检测水平越权的方法及*** | |
CN110598418B (zh) | 基于iast测试工具动态检测垂直越权的方法及*** | |
CN105283849B (zh) | 针对性能和细节的并行跟踪 | |
Sommestad et al. | The cyber security modeling language: A tool for assessing the vulnerability of enterprise system architectures | |
EP2095236B1 (en) | Method, system and computer program for testing software applications based on multiple data sources | |
US9864855B2 (en) | Verification data processing method and device and storage medium | |
CN106778260A (zh) | 攻击检测方法和装置 | |
CN105103147A (zh) | 用工作负载分发器来跟踪 | |
CN105122230A (zh) | 跟踪作为服务 | |
CN105283852A (zh) | 模糊跟踪数据 | |
CN111259399B (zh) | 用于web应用的动态检测漏洞攻击的方法及*** | |
Song et al. | SPFuzz: a hierarchical scheduling framework for stateful network protocol fuzzing | |
CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
CN105210075A (zh) | 被测应用程序的未使用参数 | |
Pendleton et al. | A dataset generator for next generation system call host intrusion detection systems | |
CN111124937B (zh) | 基于插桩函数辅助提高生成测试用例效率的方法及*** | |
CN104375935A (zh) | Sql注入攻击的测试方法和装置 | |
KR20220071788A (ko) | 스마트 네트워크 퍼징의 자동화를 위한 퍼징 전처리 장치 및 방법 | |
CN112436969A (zh) | 一种物联网设备管理方法、***、设备及介质 | |
CN111314326A (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
CN116094808A (zh) | 基于RBAC模式Web应用安全的访问控制漏洞检测方法及*** | |
Alssir et al. | Web security testing approaches: comparison framework | |
CN114416555A (zh) | 一种页面性能的测试方法、装置、介质及设备 | |
CN113949578A (zh) | 基于流量的越权漏洞自动检测方法、装置及计算机设备 | |
Parkinson et al. | Security auditing in the fog |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system of dynamic detection level exceeding authority based on Iast testing tool Effective date of registration: 20210401 Granted publication date: 20201016 Pledgee: Industrial and Commercial Bank of China Limited Shenzhen Huaqiang sub branch Pledgor: SHENZHEN KAIYUAN INTERNET SECURITY TECHNOLOGY Co.,Ltd. Registration number: Y2021980002337 |
|
PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20220322 Granted publication date: 20201016 Pledgee: Industrial and Commercial Bank of China Limited Shenzhen Huaqiang sub branch Pledgor: SECZONE TECHNOLOGY Co.,Ltd. Registration number: Y2021980002337 |