CN110688659A - 基于iast测试工具动态检测水平越权的方法及*** - Google Patents
基于iast测试工具动态检测水平越权的方法及*** Download PDFInfo
- Publication number
- CN110688659A CN110688659A CN201910855342.4A CN201910855342A CN110688659A CN 110688659 A CN110688659 A CN 110688659A CN 201910855342 A CN201910855342 A CN 201910855342A CN 110688659 A CN110688659 A CN 110688659A
- Authority
- CN
- China
- Prior art keywords
- request
- module
- user
- test tool
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3696—Methods or tools to render software testable
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于IAST测试工具动态检测水平越权的方法及***,其中,方法包括如下步骤:S1)、利用IAST测试工具和插桩技术,追踪用户程序与数据库交互的SQL语句;S2)、绑定请求与请求权限;S3)、根据步骤1获取该请求下所有执行的SQL语句并存储;S4)、对获取到的SQL语句进行解析;S5)、对步骤4中生成的数据进行加权计算并生成检测模型;S6)、实时监听用户请求流程;S7)、采用检测模型对用户发送的请求进行权限验证,以判断请求所执行的语句是否存在水平越权问题;本发明通过对SQL语句的数据库资源解析和检测模型的结合,可使得检测软件深入到应用程序的代码内部,可以更精准的定位水平越权漏洞。
Description
技术领域
本发明涉及应用程序漏洞检测技术领域,尤其涉及一种基于IAST测试工具动态检测水平越权的方法及***。
背景技术
理论上说,一个架构完善、规则安全的应用***,应当做到对接收到的每条请求,先对发送该请求的用户进行权限判定,再对其进行相应的服务。而现实生活中,由于搭建***的工程人员的疏漏,***在某些权限上,并不会对针对该权限的请求的发送用户进行权限判定,而直接对发送请求的用户进行服务,从而导致没有该权限的用户也能使用该权限,即在该权限上发生了越权。在越权中,有一种越权方式是水平越权漏洞,即攻击者可以访问其所属权限组其他用户的权限,例如:普通用户A能够访问普通用户B的管理页面,这种情况就是水平越权。而使用现有的应用程序漏洞检测手段,只能依据黑盒检测工具来检测请求级别的垂直越权问题,即:端对端的检测漏洞,只能依据返回值和响应状态判断权限问题,对于没有返回值的请求无能为力。。
发明内容
本发明的目的是为解决上述技术问题而提供一种对应用程序的水平越权漏洞可以精确定位的基于IAST测试工具动态检测水平越权的方法。
本发明的另一目的是提供一种对应用程序的水平越权漏洞可以精确定位的基于IAST测试工具动态检测水平越权的***。
为了实现上述目的,本发明公开了一种基于IAST测试工具动态检测水平越权的方法,其包括如下步骤:
S1)、利用IAST测试工具和插桩技术,在待检测应用程序中的用户代码与数据库的连接处***检测代码,从而动态获取用户程序与数据库交互的SQL语句以及返回的查询结果数据;
S2)、将每条用户请求分别与其所对应的请求权限绑定;
S3)、当用户请求被发送至服务端执行时,根据步骤1获取该请求下所有执行的SQL语句并存储;
S4)、对步骤3获取到的所述SQL语句进行解析;
S5)、对步骤4中生成的数据进行加权计算并生成检测模型;
S6)、实时监听用户请求流程;
S7)、采用所述检测模型对用户发送的请求进行权限验证,以判断所述请求所执行的语句是否存在水平越权问题。
与现有技术相比,本发明基于IAST测试工具动态检测水平越权的方法,用户启动待检测应用程序时,同时启动IAST测试工具,并且采用插桩技术标记用户代码中与数据库交互的部分,从而监听用户请求下所有执行的SQL语句,然后获取用户请求与权限的映射关系,接着,将所有请求执行的SQL语句和请求对应的权限值存储到数据库中,然后对SQL语句进行解析后通过算法创建检测模型,然后通过该检测模型实时对监听到的用户请求进行水平越权问题检测;由此可知,本发明通过对SQL语句的数据库资源解析和检测模型的结合,可使得检测软件深入到应用程序的代码内部,可以更精准的定位水平越权漏洞。
较佳地,所述步骤2中的请求权限绑定的具体步骤包括:
S20)、将待检测应用程序中所记录的用户名和该用户名所对应的权限绑定;
S21)、监听用户登录请求,获取登录用户名和与该用户名相关的身份验证令牌;
S22)、将步骤S21中获取到的所述身份验证令牌与所对应的权限绑定;
S23)、对所述应用程序中的各个请求标记权限值。
较佳地,所述身份验证令牌基于cookie或token。
较佳地,所述基于IAST测试工具动态检测水平越权的方法还包括根据用户请求和所述检测模型的验证结果优化所述检测模型的步骤。
本发明还公开一种基于IAST测试工具动态检测水平越权的***,其包括数据跟踪模块、请求权限生成模块、SQL交互语句收集模块、SQL解析模块、检测模型建立模块、请求流程获取模块以及验证模块;所述数据跟踪模块,用于利用IAST测试工具和插桩技术,在待检测应用程序中的用户代码与数据库的连接处***检测代码,从而动态获取用户程序与数据库交互的SQL语句以及返回的查询结果数据;所述请求权限生成模块,用于将每条用户请求分别与其所对应的请求权限绑定,以生成每条用户请求所对应的请求权限;所述SQL交互语句收集模块,用于当用户请求被发送至服务端执行时,通过所述数据跟踪模块获取该请求下所有执行的SQL语句并存储;所述SQL解析模块,用于对所述SQL交互语句收集模块获取到的所述SQL语句进行解析;所述检测模型建立模块,用于根据所述SQL解析模块生成的数据进行加权计算并生成检测模型;所述请求流程获取模块,用于实时监听并获取用户请求流程;所述验证模块,用于采用所述检测模型对所述请求流程获取模块获取到的用户请求进行权限验证,以判断所述请求所执行的语句是否存在水平越权问题。
较佳地,述请求权限生成模块具体包括权限绑定模块、请求监听模块、身份鉴别模块以及请求标记模块;所述权限绑定模块,用于将待检测应用程序中所记录的用户名和该用户名所对应的权限绑定;所述请求监听模块,用于监听用户登录请求,获取登录用户名和与该用户名相关的身份验证令牌;所述身份鉴别模块,用于将所述请求监听模块所获取到的所述身份验证令牌与所对应的权限绑定;所述请求标记模块,用于对所述应用程序中的各个请求标记权限值。
较佳地,所述所述身份验证令牌基于cookie或token。
较佳地,所述基于IAST测试工具动态检测水平越权的***还包括检测模型优化模块,所述检测模型优化模块用于根据用户请求和所述检测模型的验证结果优化所述检测模型。
本发明还公开一种基于IAST测试工具动态检测水平越权的***,其包括:
一个或多个处理器;
存储器;
以及一个或多个程序,其中一个或多个程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述程序包括用于执行如上所述的基于IAST测试工具动态检测水平越权的方法的指令。
本发明还公开一种计算机可读存储介质,其包括测试用计算机程序,所述计算机程序可被处理器执行以完成如上所述的基于IAST测试工具动态检测水平越权的方法。
附图说明
图1为本发明实施例基于IAST测试工具动态检测水平越权的方法的流程示意图。
图2为图1中步骤2的详细流程示意图。
图3为本发明实施例基于IAST测试工具动态检测水平越权的***之原理架架构示意图。
具体实施方式
为详细说明本发明的技术内容、结构特征、实现原理及所实现目的及效果,以下结合实施方式并配合附图详予说明。
如图1所示,本发明公开了一种基于IAST测试工具动态检测水平越权的方法,其包括如下步骤:
S1)、利用IAST测试工具和插桩技术,在待检测应用程序中的用户代码与数据库的连接处***检测代码,从而动态获取用户程序与数据库交互的SQL语句以及返回的查询结果数据;在本步骤中,根据IAST技术插桩用户程序与数据库连接处的代码,当用户程序与IAST程序一起启动时,所有和数据库交互的代码与数据都将被捕获,这样便可以得到用户应用程序与数据库交互的SQL语句;另外,此处的用户代码是相对应用程序中的框架代码而言的,也即用户自己开发的代码,由于框架代码一般都经历过技术和时间的检验,代码结构比较成熟,一般不会发生漏洞,对于用户来说,只需检测用户自己开发的用户代码即可;
S2)、将每条用户请求分别与其所对应的请求权限绑定,从而获取请求与权限的映射关系;
S3)、当用户请求被发送至服务端执行时,根据步骤1获取该请求下所有执行的SQL语句并存储到数据库中;
S4)、对步骤3获取到的SQL语句进行解析,并相应地对数据库、表、字段、字段值进行加权计算,得到加权结果;
S5)、对步骤4中生成的数据进行加权计算并生成检测模型,具体地:利用步骤4获得的数据,利用朴素贝叶斯算法(监督学习算法中的一种)创建学习模型,学习模型会将基础数据(步骤4中得来)作为输入数据进行学习,将学习结果与实际请求数据进行对比分析,可以对该学习模型进行相应的调整,继而再讲调整后的学习模型重新将步骤4的数据作为输入数据进行学习,直到该模型对请求的SQL语句进行验证的准确率达到预设的阈值后,该模型可以较为准确的判断SQL语句中是否存在越权问题,此时可以将学习模型作为检测模型对待检测的请求SQL语句进行验证;
S6)、实时监听用户请求流程;
S7)、采用检测模型对用户发送的请求进行权限验证,以判断请求所执行的语句是否存在水平越权问题。
通过上述本发明对水平越权的检测过程可知,本发明通过对SQL语句的数据库资源解析和检测模型的结合,可使得检测软件深入到应用程序的代码内部,可以更精准的定位水平越权漏洞。
较佳地,如图2,上述步骤2中的请求权限绑定的具体步骤包括:
S20)、将待检测应用程序中所记录的用户名和该用户名所对应的权限绑定,比如,张三=>userA,李四=>userB;
S21)、监听用户登录请求,获取登录用户名和与该用户名相关的身份验证令牌;该身份验证信息可以基于cookie或token,当客户的服务器是web应用时,身份验证令牌基于cookie。当客户的服务器非web应用时,身份验证令牌基于token信息,并与用户名绑定。所谓非web应用:是指客户端与服务器端通信利用的不是http协议,可能是原始的tcp协议,dubbo协议,sofa协议等等。本实施例中以web应用为例加以说明:用户发送登录请求的时候,动态绑定用户名和cookie,比如,张三=>cookieA,李四=>cookieB;
S22)、将步骤S21中获取到的身份验证令牌与所对应的权限绑定,比如,比如cookieA=>userA,cookieB=>userB;
S23)、对应用程序中的各个请求标记权限值,将请求与权限绑定起来,比如,Q(cookieA)=>userA,请求P(cookieB)=>userB。
检测水平越权的时候,同一个请求让同一权限下的不同用户重复请求,然后根据操作结果来判断是否越权(比如步骤203中的请求Q在被userA和userB都访问后来进行判断。
进一步地,在上述检测模型建立的过程中,还包括优化检测模型的步骤,即检测模型建立后,根据请求将验证结果的正确与否反馈给检测模型,从而对检测模型进行优化,以提高检测越权问题的准确性和有效性。下面以一具体实例详细说明检测模型建立的过程:对SQL语句进行解析后,对解析出的数据(包括库、表、字段、字段值)进行加权计算,比如数据库相似度最高,加权最低,数据表相似度其次,加权较低,数据字段名和数据字段值相似度较低,加权较高,然后根据加权计算结果提取特征值,然后根据提取出来的特征值,利用朴素贝叶斯算法建立学***越权问题时,用户可对该请求所对应的程序代码进行处理,否则,继续执行下一条请求的检测。
另外,本发明还公开一种基于IAST测试工具动态检测水平越权的***,如图3,其包括数据追踪模块10、请求权限生成模块11、SQL交互语句收集模块12、SQL解析模块13、检测模型建立模块14、请求流程获取模块15以及验证模块16;数据追踪模块10用于根据IAST测试工具和插桩技术,在待检测应用程序中的用户代码与数据库的连接处***检测代码,从而动态获取用户程序与数据库交互的SQL语句以及返回的查询结果数据;请求权限生成模块11用于将每条用户请求分别与其所对应的请求权限绑定,以生成每条用户请求所对应的请求权限;SQL交互语句收集模块12用于当用户请求被发送至服务端执行时,通过数据追踪模块10获取该请求下所有执行的SQL语句并存储;SQL解析模块13用于对SQL交互语句收集模块12获取到的SQL语句进行解析;检测模型建立模块14用于根据SQL解析模块13生成的数据进行加权计算并生成检测模型;请求流程获取模块15用于实时监听并获取用户请求流程;验证模块16用于采用检测模型对请求流程获取模块15获取到的用户请求进行权限验证,以判断请求所执行的语句是否存在水平越权问题。较佳地,请求权限生成模块11具体包括权限绑定模块110、请求监听模块111、身份鉴别模块112以及请求标记模块113;权限绑定模块110用于将待检测应用程序中所记录的用户名和该用户名所对应的权限绑定;请求监听模块111用于监听用户登录请求,获取登录用户名和与该用户名相关的身份验证令牌;身份鉴别模块112用于将请求监听模块111所获取到的身份验证令牌与所对应的权限绑定;请求标记模块113用于对应用程序中的各个请求标记权限值。身份验证令牌基于cookie或token。较佳地,还可设置检测模型优化模块17,检测模型优化模块17用于根据用户请求和检测模型的验证结果优化检测模型。
本发明还公开一种基于IAST测试工具动态检测水平越权的***,其包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序被存储在存储器中,并且被配置成由一个或多个处理器执行,程序包括用于执行如上所述的基于IAST测试工具动态检测水平越权的方法的指令。
本发明还公开一种计算机可读存储介质,其包括测试用计算机程序,计算机程序可被处理器执行以完成如上所述的基于IAST测试工具动态检测水平越权的方法。
以上所揭露的仅为本发明的较佳实例而已,当然不能以此来限定本发明之权利范围,因此依本发明申请专利范围所作的等同变化,仍属于本发明所涵盖的范围。
Claims (10)
1.一种基于IAST测试工具动态检测水平越权的方法,其特征在于,包括如下步骤:
S1)、利用IAST测试工具和插桩技术,在待检测应用程序中的用户代码与数据库的连接处***检测代码,从而动态获取用户程序与数据库交互的SQL语句以及返回的查询结果数据;
S2)、将每条用户请求分别与其所对应的请求权限绑定;
S3)、当用户请求被发送至服务端执行时,根据步骤1获取该请求下所有执行的SQL语句并存储;
S4)、对步骤3获取到的所述SQL语句进行解析;
S5)、对步骤4中生成的数据进行加权计算并生成检测模型;
S6)、实时监听用户请求流程;
S7)、采用所述检测模型对用户发送的请求进行权限验证,以判断所述请求所执行的语句是否存在水平越权问题。
2.根据权利要求1所述的基于IAST测试工具动态检测水平越权的方法,其特征在于,所述步骤2中的请求权限绑定的具体步骤包括:
S20)、将待检测应用程序中所记录的用户名和该用户名所对应的权限绑定;
S21)、监听用户登录请求,获取登录用户名和与该用户名相关的身份验证令牌;
S22)、将步骤S21中获取到的所述身份验证令牌与所对应的权限绑定;
S23)、对所述应用程序中的各个请求标记权限值。
3.根据权利要求2所述的基于IAST测试工具动态检测水平越权的方法,其特征在于,所述身份验证令牌基于cookie或token。
4.根据权利要求1所述的基于IAST测试工具动态检测水平越权的方法,其特征在于,还包括根据用户请求和所述检测模型的验证结果优化所述检测模型的步骤。
5.一种基于IAST测试工具动态检测水平越权的***,其特征在于,包括数据跟踪模块、请求权限生成模块、SQL交互语句收集模块、SQL解析模块、检测模型建立模块、请求流程获取模块以及验证模块;
所述数据跟踪模块,用于利用IAST测试工具和插桩技术,在待检测应用程序中的用户代码与数据库的连接处***检测代码,从而动态获取用户程序与数据库交互的SQL语句以及返回的查询结果数据;
所述请求权限生成模块,用于将每条用户请求分别与其所对应的请求权限绑定,以生成每条用户请求所对应的请求权限;
所述SQL交互语句收集模块,用于当用户请求被发送至服务端执行时,通过所述数据跟踪模块获取该请求下所有执行的SQL语句并存储;
所述SQL解析模块,用于对所述SQL交互语句收集模块获取到的所述SQL语句进行解析;
所述检测模型建立模块,用于根据所述SQL解析模块生成的数据进行加权计算并生成检测模型;
所述请求流程获取模块,用于实时监听并获取用户请求流程;
所述验证模块,用于采用所述检测模型对所述请求流程获取模块获取到的用户请求进行权限验证,以判断所述请求所执行的语句是否存在水平越权问题。
6.根据权利要求5所述的基于IAST测试工具动态检测水平越权的***,其特征在于,述请求权限生成模块具体包括权限绑定模块、请求监听模块、身份鉴别模块以及请求标记模块;
所述权限绑定模块,用于将待检测应用程序中所记录的用户名和该用户名所对应的权限绑定;
所述请求监听模块,用于监听用户登录请求,获取登录用户名和与该用户名相关的身份验证令牌;
所述身份鉴别模块,用于将所述请求监听模块所获取到的所述身份验证令牌与所对应的权限绑定;
所述请求标记模块,用于对所述应用程序中的各个请求标记权限值。
7.根据权利要求6所述的基于IAST测试工具动态检测水平越权的***,其特征在于,所述所述身份验证令牌基于cookie或token。
8.根据权利要求5所述的基于IAST测试工具动态检测水平越权的***,其特征在于,还包括检测模型优化模块,所述检测模型优化模块用于根据用户请求和所述检测模型的验证结果优化所述检测模型。
9.一种基于IAST测试工具动态检测水平越权的***,其特征在于,包括:
一个或多个处理器;
存储器;
以及一个或多个程序,其中一个或多个程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述程序包括用于执行如权利要求1至4任一项所述的基于IAST测试工具动态检测水平越权的方法的指令。
10.一种计算机可读存储介质,其特征在于,包括测试用计算机程序,所述计算机程序可被处理器执行以完成如权利要求1至4任一项所述的基于IAST测试工具动态检测水平越权的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910855342.4A CN110688659B (zh) | 2019-09-10 | 2019-09-10 | 基于iast测试工具动态检测水平越权的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910855342.4A CN110688659B (zh) | 2019-09-10 | 2019-09-10 | 基于iast测试工具动态检测水平越权的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110688659A true CN110688659A (zh) | 2020-01-14 |
| CN110688659B CN110688659B (zh) | 2020-10-16 |
Family
ID=69107978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910855342.4A Active CN110688659B (zh) | 2019-09-10 | 2019-09-10 | 基于iast测试工具动态检测水平越权的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110688659B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及***、设备及存储介质 |
| CN111597203A (zh) * | 2020-04-28 | 2020-08-28 | ***股份有限公司 | 语句查询方法、装置、设备、介质 |
| CN111967043A (zh) * | 2020-07-29 | 2020-11-20 | 深圳开源互联网安全技术有限公司 | 确定数据相似度的方法、装置、电子设备及存储介质 |
| CN112257054A (zh) * | 2020-10-22 | 2021-01-22 | 北京邮电大学 | 一种软件应用越权风险检测方法、电子设备及存储介质 |
| CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
| CN112653670A (zh) * | 2020-12-08 | 2021-04-13 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
| CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
| CN112883379A (zh) * | 2021-01-13 | 2021-06-01 | 深圳开源互联网安全技术有限公司 | 基于IAST的Node.js数据流跟踪方法及*** |
| CN113032787A (zh) * | 2021-03-12 | 2021-06-25 | 北京安全共识科技有限公司 | 一种***漏洞检测方法及装置 |
| CN113158197A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、*** |
| CN114499960A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 一种csrf漏洞识别方法、装置及计算机可读存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| CN103607378A (zh) * | 2013-11-01 | 2014-02-26 | 国家电网公司 | 一种访问控制方法 |
| CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
| CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其*** |
| CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
| US20170351870A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
| CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
| CN108833365A (zh) * | 2018-05-24 | 2018-11-16 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其*** |
| EP3433782A1 (en) * | 2016-03-21 | 2019-01-30 | Checkmarx Ltd. | Integrated interactive application security testing |
| CN110084044A (zh) * | 2019-03-14 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 针对水平越权漏洞自动进行测试的方法及相关设备 |
-
2019
- 2019-09-10 CN CN201910855342.4A patent/CN110688659B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| CN103607378A (zh) * | 2013-11-01 | 2014-02-26 | 国家电网公司 | 一种访问控制方法 |
| CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
| EP3433782A1 (en) * | 2016-03-21 | 2019-01-30 | Checkmarx Ltd. | Integrated interactive application security testing |
| US20170351870A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
| CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其*** |
| CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
| CN108833365A (zh) * | 2018-05-24 | 2018-11-16 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其*** |
| CN108804912A (zh) * | 2018-06-15 | 2018-11-13 | 北京大学 | 一种基于权限集差异的应用程序越权检测方法 |
| CN110084044A (zh) * | 2019-03-14 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 针对水平越权漏洞自动进行测试的方法及相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 公衍磊: "跨站脚本漏洞与攻击的客户端检测方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及***、设备及存储介质 |
| CN111209213B (zh) * | 2020-02-14 | 2023-08-11 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及***、设备及存储介质 |
| CN111597203A (zh) * | 2020-04-28 | 2020-08-28 | ***股份有限公司 | 语句查询方法、装置、设备、介质 |
| CN111967043A (zh) * | 2020-07-29 | 2020-11-20 | 深圳开源互联网安全技术有限公司 | 确定数据相似度的方法、装置、电子设备及存储介质 |
| CN111967043B (zh) * | 2020-07-29 | 2023-08-11 | 深圳开源互联网安全技术有限公司 | 确定数据相似度的方法、装置、电子设备及存储介质 |
| CN112257054A (zh) * | 2020-10-22 | 2021-01-22 | 北京邮电大学 | 一种软件应用越权风险检测方法、电子设备及存储介质 |
| CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
| CN112653670A (zh) * | 2020-12-08 | 2021-04-13 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
| CN112653670B (zh) * | 2020-12-08 | 2023-11-10 | 北京大米科技有限公司 | 业务逻辑漏洞检测方法、装置、存储介质以及终端 |
| CN112883379B (zh) * | 2021-01-13 | 2023-04-25 | 深圳开源互联网安全技术有限公司 | 基于IAST的Node.js数据流跟踪方法及*** |
| CN112883379A (zh) * | 2021-01-13 | 2021-06-01 | 深圳开源互联网安全技术有限公司 | 基于IAST的Node.js数据流跟踪方法及*** |
| CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
| CN113032787A (zh) * | 2021-03-12 | 2021-06-25 | 北京安全共识科技有限公司 | 一种***漏洞检测方法及装置 |
| CN113032787B (zh) * | 2021-03-12 | 2024-05-07 | 北京基调网络股份有限公司 | 一种***漏洞检测方法及装置 |
| CN113158197B (zh) * | 2021-05-26 | 2022-05-17 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、*** |
| CN113158197A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、*** |
| CN114499960A (zh) * | 2021-12-24 | 2022-05-13 | 深圳开源互联网安全技术有限公司 | 一种csrf漏洞识别方法、装置及计算机可读存储介质 |
| CN114499960B (zh) * | 2021-12-24 | 2024-03-22 | 深圳开源互联网安全技术有限公司 | 一种csrf漏洞识别方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110688659B (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110688659B (zh) | 基于iast测试工具动态检测水平越权的方法及*** | |
| CN110598418B (zh) | 基于iast测试工具动态检测垂直越权的方法及*** | |
| CN105283849B (zh) | 针对性能和细节的并行跟踪 | |
| Sommestad et al. | The cyber security modeling language: A tool for assessing the vulnerability of enterprise system architectures | |
| EP2095236B1 (en) | Method, system and computer program for testing software applications based on multiple data sources | |
| US9864855B2 (en) | Verification data processing method and device and storage medium | |
| CN106778260A (zh) | 攻击检测方法和装置 | |
| CN105103147A (zh) | 用工作负载分发器来跟踪 | |
| CN105122230A (zh) | 跟踪作为服务 | |
| CN105283852A (zh) | 模糊跟踪数据 | |
| CN111259399B (zh) | 用于web应用的动态检测漏洞攻击的方法及*** | |
| Song et al. | SPFuzz: a hierarchical scheduling framework for stateful network protocol fuzzing | |
| CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| CN105210075A (zh) | 被测应用程序的未使用参数 | |
| Pendleton et al. | A dataset generator for next generation system call host intrusion detection systems | |
| CN111124937B (zh) | 基于插桩函数辅助提高生成测试用例效率的方法及*** | |
| CN104375935A (zh) | Sql注入攻击的测试方法和装置 | |
| KR20220071788A (ko) | 스마트 네트워크 퍼징의 자동화를 위한 퍼징 전처리 장치 및 방법 | |
| CN112436969A (zh) | 一种物联网设备管理方法、***、设备及介质 | |
| CN111314326A (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN116094808A (zh) | 基于RBAC模式Web应用安全的访问控制漏洞检测方法及*** | |
| Alssir et al. | Web security testing approaches: comparison framework | |
| CN114416555A (zh) | 一种页面性能的测试方法、装置、介质及设备 | |
| CN113949578A (zh) | 基于流量的越权漏洞自动检测方法、装置及计算机设备 | |
| Parkinson et al. | Security auditing in the fog |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system of dynamic detection level exceeding authority based on Iast testing tool Effective date of registration: 20210401 Granted publication date: 20201016 Pledgee: Industrial and Commercial Bank of China Limited Shenzhen Huaqiang sub branch Pledgor: SHENZHEN KAIYUAN INTERNET SECURITY TECHNOLOGY Co.,Ltd. Registration number: Y2021980002337 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20220322 Granted publication date: 20201016 Pledgee: Industrial and Commercial Bank of China Limited Shenzhen Huaqiang sub branch Pledgor: SECZONE TECHNOLOGY Co.,Ltd. Registration number: Y2021980002337 |