CN104023025A - 基于业务规则的网站安全漏洞检测方法及装置 - Google Patents

基于业务规则的网站安全漏洞检测方法及装置 Download PDF

Info

Publication number
CN104023025A
CN104023025A CN201410266026.0A CN201410266026A CN104023025A CN 104023025 A CN104023025 A CN 104023025A CN 201410266026 A CN201410266026 A CN 201410266026A CN 104023025 A CN104023025 A CN 104023025A
Authority
CN
China
Prior art keywords
business rule
website
business
rule
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410266026.0A
Other languages
English (en)
Inventor
蒋冰
刘潇
程杰
朱祥君
魏海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Travelsky Technology Co Ltd
China Travelsky Holding Co
Original Assignee
China Travelsky Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Travelsky Technology Co Ltd filed Critical China Travelsky Technology Co Ltd
Priority to CN201410266026.0A priority Critical patent/CN104023025A/zh
Publication of CN104023025A publication Critical patent/CN104023025A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种基于业务规则的网站安全漏洞检测方法及装置,其中,本发明方法包括:步骤1:提取所述网站的业务规则;步骤2:根据所述业务规则,获取与每项业务规则相关的业务流程;步骤3:基于业务流程,生成对应于每条业务流程的测试点;步骤4:对每个测试点生成测试例;步骤5:采用安全测试方法对测试例进行测试,得到测试结果步骤6:对测试结果进行分析,判断是否存在违反业务规则的安全漏洞。本发明通过基于网站具体业务和内容来设定业务规则,从而能够更准确的检测出与网站业务相关的安全漏洞,提高安全测试的覆盖度和测试质量,弥补现有安全测试方案无法发现业务相关安全漏洞的问题。

Description

基于业务规则的网站安全漏洞检测方法及装置
 
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于业务规则的网站安全漏洞检测方法及装置。
 
背景技术
在网络日益普及的今天,信息安全显得尤其重要。如果网站或者服务器端的应用程序存在安全漏洞,将会严重影响功能的正常使用,甚至会给用户或者网站拥有者带来严重的经济损失。现有技术在进行网站安全漏洞检测时,常见的安全检测方法是基于工具扫描的自动检测。其基本原理是,首先使用网页爬虫抓取被测网站包含的所有网页链接,然后依据现有的安全漏洞信息,将网页链接中的参数替换为设计好的测试用例,发送给服务器端,并根据服务器端返回结果判断是否存在安全漏洞。通过此方法发现的常见安全漏洞有跨站点脚本编制、跨站点脚本伪造、SQL注入等。发明人发现现有技术至少存在以下问题:
通过工具扫描方法进行的安全测试,由于无法理解网站内容和业务逻辑规则,只能依据设定好的通用测试用例进行检测,查找最普遍发现的一些安全漏洞,而无法识别由于网站具体业务逻辑等规则限制而导致的安全漏洞和问题。
 
发明内容
有鉴于此,本发明提供了一种基于业务规则的网站安全漏洞检测方法及装置,通过根据网站具体业务和内容来设定业务规则,从而能够更准确的检测出与网站业务相关的安全漏洞,提高安全测试的覆盖度和测试质量,弥补现有安全测试方案无法发现业务相关安全漏洞的问题。
本发明提供的一种基于业务规则的网站安全漏洞检测方法,包括:
步骤1:提取所述网站的业务规则;
步骤2:根据所述业务规则,获取与每项业务规则相关的业务流程; 
步骤3:基于业务流程,生成对应于每条业务流程的测试点;
步骤4:对每个测试点生成测试例;
步骤5:采用安全测试方法对测试例进行测试,得到测试结果;
步骤6:对测试结果进行分析,判断是否存在违反业务规则的安全漏洞。
所述步骤1包括:
步骤1.1:确定网站的业务范围或者具体功能;
步骤1.2:基于确定的业务范围或者具体功能,提取所述网站的业务规则。
或者,所述步骤1包括:
步骤1.1:根据网站的业务范围或者具体功能对网站进行分类;
步骤1.2:基于网站类型,从基本业务规则库中查找对于所述网站类型的业务规则。
所述步骤1还包括:
步骤1.3:根据网站的业务范围或者具体功能,提取网站的特殊业务规则;
步骤1.4:将从基本业务规则库中查找到的业务规则和特征业务规则一起作为提取的所述网站的业务规则。
所述步骤2包括:
步骤2.1:基于每项业务规则,对网站的全部业务流程进行分析;
步骤2.2:分别确定与每项业务规则相关的业务流程。
所述步骤4对测试点添加输入、操作步骤以及输出后形成测试例。
所述步骤5采用截获通信、修改权限或记录连接对测试例进行测试,得到测试结果。
本发明还提供一种基于业务规则的网站安全漏洞检测装置,包括:
业务规则提取模块:用于提取所述网站的业务规则;
业务流程获取模块:用于根据业务规则提取模块提取的业务规则,获取与每项业务规则相关的业务流程; 
测试点生成模块:用于根据业务流程获取模块获取的业务流程,生成对应于每条业务流程的测试点;
测试例生成模块:用于对每个测试点生成测试例;
测试模块:用于采用安全测试方法对测试例进行测试,得到测试结果;
结果分析模块:用于对测试结果进行分析,确定是否存在违反业务规则的安全漏洞。
所述业务规则提取模块包括:
确定子模块:用于确定网站的业务范围或者具体功能;
提取子模块:用于基于确定子模块确定的业务范围或者具体功能,提取所述网站的业务规则。
或者,所述业务规则提取模块包括:
确定子模块:用于确定网站的业务范围或者具体功能;
分类子模块:用于根据确定子模块确定的业务范围或者具体功能对网站进行分类;
查找子模块:用于基于分类子模块得到的网站类型,从基本业务规则库中查找对于所述网站类型的业务规则。
所述业务规则提取模块还包括:
特殊业务规则提取子模块:用于根据确定子模块确定的业务范围或者具体功能,提取网站的特殊业务规则;
合并子模块:用于将查找子模块查找到的业务规则和特殊业务规则提取子模块提取到的特征业务规则一起作为提取的所述网站的业务规则。
所述业务流程获取模块包括:
业务流程分析子模块:基于每项业务规则,对网站的全部业务流程进行分析;
业务流程确定子模块:分别确定与每项业务规则相关的业务流程。
所述测试例生成模块对测试点添加输入、操作步骤以及输出后形成测试例。
所述测试模块采用截获通信、修改权限或记录连接对测试例进行测试,得到测试结果。
综上所述,本发明提供的基于业务规则的网站安全漏洞检测方法及装置,通过基于网站具体业务和内容来设定业务规则,从而能够更准确的检测出与网站业务相关的安全漏洞,提高安全测试的覆盖度和测试质量,弥补现有安全测试方案无法发现业务相关安全漏洞的问题。
 
附图说明
为了更清楚地说明本发明实施例或现有技术中的方案,下面将对实施例中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的基于业务规则的网站安全漏洞检测方法的流程示意图;
图2为本发明中业务规则、流程和测试点的关系构成示意图;
图3为本发明一实施例提供的基于业务规则的网站安全漏洞检测装置的结构示意图。
 
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例提供的基于业务规则的网站安全漏洞检测方法的流程示意图,如图1所示,本实施例的基于业务规则的网站安全漏洞检测方法,包括:
步骤1:提取所述网站的业务规则;
常见的业务规则设定有:用户权限规则,订单权限规则,价格修改规则等。用户权限规则是指当前登录用户对网站所拥有的操作权限,如查看、修改、删除等功能,必须按照规定使用,不能随意修改;订单权限规则是指网站生成的订单只能由订单所属的用户进行查看和修改,不允许其他用户进行操作;价格修改规则是指网站销售物品的价格只能由服务器端进行设定,不能通过其他方式进行改动。
可选地,所述步骤1可以包括:
步骤1.1:确定网站的业务范围或者具体功能;
步骤1.2:基于确定的业务范围或者具体功能,提取所述网站的业务规则。
或者,所述步骤1可以包括:
步骤1.1:根据网站的业务范围或者具体功能对网站进行分类;
步骤1.2:基于网站类型,从基本业务规则库中查找对于所述网站类型的业务规则。
由于同类网站的业务基本上是相似的,在积累了多个网站测试经验的基础上,可以总结和整理基本业务规则库。基本业务规则库是对以往的安全漏洞检测案例和结果的汇总,包含了通用的对网站进行安全漏洞检查的规则。在针对具体网站进行安全测试过程中,如果是在基本业务规则库基础上,根据网站实际经营的业务和实现的功能,添加与其自身相关的业务规则,就可以提高业务规则制定的效率。
进一步地,所述步骤1还可以包括:
步骤1.3:根据网站的业务范围或者具体功能,提取网站的特殊业务规则;
步骤1.4:将从基本业务规则库中查找到的业务规则和特征业务规则一起作为提取的所述网站的业务规则。
步骤2:根据所述业务规则,获取与每项业务规则相关的业务流程; 
可选地,所述步骤2可以包括:
步骤2.1:基于每项业务规则,对网站的全部业务流程进行分析;
步骤2.2:分别确定与每项业务规则相关的业务流程。
以密码修改规则为例,规则的具体内容是网站只允许经过认证的用户修改自己所属的登录密码。依据这条规则,对网站全部业务流程进行分析,最终可以提取到的相关业务流程有:1、用户登录以后进行密码修改;2、用户登录前通过忘记密码功能进行修改。
图2为本发明中业务规则、流程和测试点的关系构成示意图。
步骤3:基于业务流程,生成对应于每条业务流程的测试点;
步骤4:对每个测试点生成测试例;可选地,所述步骤4对测试点添加输入、操作步骤以及输出后,形成测试例。
以“用户登录前通过忘记密码功能进行修改”流程为例,用户输入用户名进入密码修改页面后,可能涉及三种方式获取新密码:1、通过Email;2、通过手机号;3、通过密码提示问题。这三种方式都是该业务流程的测试点,在这些测试点上添加输入、操作步骤和输出后,最终形成具体的测试用例。
步骤5:采用安全测试方法对测试例进行测试,得到测试结果;可选地,所述步骤5采用截获通信、修改权限或记录连接对测试例进行测试,得到测试结果。
步骤6:对测试结果进行分析,判断是否存在违反业务规则的安全漏洞。
假如对于服务器请求响应信息的判定结果是违反业务规则,如用户在未经允许的情况下自行提升了操作权限,可以对网站进行违法操作;用户通过某些方式查看、修改其他用户的所属基本信息,或者生成的订单信息;用户通过某些方式自行修改了在网站所购商品的价格,并通过提交服务器生成了新订单等,则需要将具体结果记录下来,并体现在最后的安全测试报告当中。
下面给出几个具体用例来描述本发明方法的具体实现过程。
例一:
本实例描述了一种通过截获网页与服务器之间交互信息,然后修改后提交给服务器端的方式,进行网站安全漏洞检测的方法。通过对某网站的业务规则进行分析后,设定订单价格规则作为网站安全漏洞检测业务规则之一,具体内容为网站提供给用户的商品订单价格由服务器端生成,用户不能对商品价格进行修改,并使用非法修改的价格完成商品交易过程。
通过对具体业务的分析,找到与该测试规则对应的网站业务流程为某商品交易流程,交易具体过程如下:1、用户登录后,点击购买按钮,将网站提供的商品添加到购物车中;2、用户购买物品完成最后结账时,通过点击支付按钮,将购物车中的商品和价格信息传送给服务器,完成商品购买和支付过程。从该流程中提出的测试用例分别为“添加商品到购物车”和“商品价格支付”两个页面。
在生成具体的测试用例之后,进入网站测试点相关页面,开始测试执行。以“添加商品到购物车”测试点为例,点击该页面显示的“购买”按钮,使用firefox浏览器插件tamperdata,或者其他类似的通讯信息截获工具,获取测试点页面发送给服务器端的请求信息;由测试人员对截获的网页请求信息进行分析,找出相应商品的价格参数,对参数内容进行修改;将修改后的测试请求提交给服务器,根据服务器响应结果进行判断,查看服务器返回的商品价格是否为修改后的价格;如果商品价格被修改,则证明该测试点不符合规则定义中的“商品价格不能被用户任意修改”的规则,存在价格修改的安全漏洞,并将测试结果记录下来。
例二:
本实例描述了一种通过修改页面HTML源代码信息的方式,检测网站存在用户权限安全漏洞的方法。通过对某网站进行业务规则分析后,设定权限规则作为网站业务规则之一,具体内容为用户只能进行网站授权范围内的操作,不能自行提高业务操作权限,也不能进行网站允许的用户权限范围外的操作。
通过对网站具体业务的分析,找到与该测试规则对应的网站业务流程为某订单记录编辑功能。该功能的前提为某用户为网站的普通用户,仅具备登录后的查看功能。具体操作流程如下:1、用户登录网站后,进入订单查询页面;2、点击订单信息链接,进行订单查看操作。从该业务流程中提取的测试用例为“订单查看”页面。
完成测试用例提取工作以后,用户登录并进入网站测试点相关页面,以“订单查看”用例为例,通过浏览器选择“查看HTML源代码”功能,在显示出的与网页对应的HTML源代码处,找到与“订单查看”按钮相关的具体代码信息,查看是否含有“display:none”等页面屏蔽功能的HTML源代码;在浏览器中直接修改网页的源代码,将其中包含的“none”字段删除并重新显示网页,新的页面中包含了“订单编辑”和“订单删除”两个按钮;用户在网页中进行操作,查看这两个按钮的功能是否有效,如果可以编辑或者删除订单,则违反了网站安全规则定义中“用户不能进行权限范围外操作”的规则,证明网站存在“权限规则”的相关的安全漏洞,并将测试结果记录下来。
例三:
本实例描述了另外一种检测网站是否存在用户权限安全漏洞的方法,即通过修改页面请求链接的方式来检测用户权限安全漏洞。在对某网站进行业务逻辑进行分析后,发现管理员用户登录后,可以查看侧边栏的菜单,并通过点击链接访问更多的页面进行操作,而普通用户不具备此功能。具体业务流程如下:1、管理员用户登录网站后,进入管理页面;2、点击订单统计功能链接,可以查看近期所有用户订单生成的统计信息;3、普通用户登录后,无法使用此功能。从该业务流程中提取的测试用例为“订单统计”测试,该链接只有管理员用户可以查看,普通用户不具备查看权限。
完成测试点提取工作以后,使用管理员用户进入网站订单统计页面,复制网页链接地址并保存;退出管理员用户,使用普通用户账户登录网站;将事先复制好的网页链接地址输入到浏览器地址栏中并访问;通过服务器响应结果判断普通用户是否能够访问指定页面并进行操作。如果可以,则证明网站存在违反“用户权限规则”的安全漏洞,并将测试结果记录在测试报告当中。
图3为本发明一实施例提供的基于业务规则的网站安全漏洞检测装置的结构示意图,如图3所示,本实施例的基于业务规则的网站安全漏洞检测装置,包括:
业务规则提取模块:用于提取所述网站的业务规则;
可选地,所述业务规则提取模块可以包括:
确定子模块:用于确定网站的业务范围或者具体功能;
提取子模块:用于基于确定子模块确定的业务范围或者具体功能,提取所述网站的业务规则。
或者,所述业务规则提取模块可以包括:
确定子模块:用于确定网站的业务范围或者具体功能;
分类子模块:用于根据确定子模块确定的业务范围或者具体功能对网站进行分类;
查找子模块:用于基于分类子模块得到的网站类型,从基本业务规则库中查找对于所述网站类型的业务规则。
进一步地,所述业务规则提取模块还可以包括:
特殊业务规则提取子模块:用于根据确定子模块确定的业务范围或者具体功能,提取网站的特殊业务规则;
合并子模块:用于将查找子模块查找到的业务规则和特殊业务规则提取子模块提取到的特征业务规则一起作为提取的所述网站的业务规则。
业务流程获取模块:用于根据业务规则提取模块提取的业务规则,获取与每项业务规则相关的业务流程; 
可选地,所述业务流程获取模块可以包括:
业务流程分析子模块:基于每项业务规则,对网站的全部业务流程进行分析;
业务流程确定子模块:分别确定与每项业务规则相关的业务流程。
测试点生成模块:用于根据业务流程获取模块获取的业务流程,生成对应于每条业务流程的测试点;
测试例生成模块:用于对每个测试点生成测试例;
可选地,所述测试例生成模块对测试点添加输入、操作步骤以及输出后形成测试例。
测试模块:用于采用安全测试方法对测试例进行测试,得到测试结果;
可选地,所述测试模块可以采用截获通信、修改权限或记录连接对测试例进行测试,得到测试结果。
结果分析模块:用于对测试结果进行分析,确定是否存在违反业务规则的安全漏洞。
综上所述,本发明提供的基于业务规则的网站安全漏洞检测方法及装置,通过基于网站具体业务和内容来设定业务规则,从而能够更准确的检测出与网站业务相关的安全漏洞,提高安全测试的覆盖度和测试质量,弥补现有安全测试方案无法发现业务相关安全漏洞的问题。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (14)

1.一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述方法包括:
步骤1:提取所述网站的业务规则;
步骤2:根据所述业务规则,获取与每项业务规则相关的业务流程; 
步骤3:基于业务流程,生成对应于每条业务流程的测试点;
步骤4:对每个测试点生成测试例;
步骤5:采用安全测试方法对测试例进行测试,得到测试结果;
步骤6:对测试结果进行分析,判断是否存在违反业务规则的安全漏洞。
2.根据权利要求1所述的一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述步骤1包括:
步骤1.1:确定网站的业务范围或者具体功能;
步骤1.2:基于确定的业务范围或者具体功能,提取所述网站的业务规则。
3.根据权利要求1所述的一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述步骤1包括:
步骤1.1:根据网站的业务范围或者具体功能对网站进行分类;
步骤1.2:基于网站类型,从基本业务规则库中查找对于所述网站类型的业务规则。
4.根据权利要求3所述的一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述步骤1还包括:
步骤1.3:根据网站的业务范围或者具体功能,提取网站的特殊业务规则;
步骤1.4:将从基本业务规则库中查找到的业务规则和特征业务规则一起作为提取的所述网站的业务规则。
5.根据权利要求1所述的一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述步骤2包括:
步骤2.1:基于每项业务规则,对网站的全部业务流程进行分析;
步骤2.2:分别确定与每项业务规则相关的业务流程。
6.根据权利要求1所述的一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述步骤4对测试点添加输入、操作步骤以及输出后形成测试例。
7.根据权利要求1所述的一种基于业务规则的网站安全漏洞检测方法,其特征在于,所述步骤5采用截获通信、修改权限或记录连接对测试例进行测试,得到测试结果。
8.一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述装置包括:
业务规则提取模块:用于提取所述网站的业务规则;
业务流程获取模块:用于根据业务规则提取模块提取的业务规则,获取与每项业务规则相关的业务流程; 
测试点生成模块:用于根据业务流程获取模块获取的业务流程,生成对应于每条业务流程的测试点;
测试例生成模块:用于对每个测试点生成测试例;
测试模块:用于采用安全测试方法对测试例进行测试,得到测试结果;
结果分析模块:用于对测试结果进行分析,确定是否存在违反业务规则的安全漏洞。
9.根据权利要求8所述的一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述业务规则提取模块包括:
确定子模块:用于确定网站的业务范围或者具体功能;
提取子模块:用于基于确定子模块确定的业务范围或者具体功能,提取所述网站的业务规则。
10.根据权利要求8所述的一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述业务规则提取模块包括:
确定子模块:用于确定网站的业务范围或者具体功能;
分类子模块:用于根据确定子模块确定的业务范围或者具体功能对网站进行分类;
查找子模块:用于基于分类子模块得到的网站类型,从基本业务规则库中查找对于所述网站类型的业务规则。
11.根据权利要求10所述的一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述业务规则提取模块还包括:
特殊业务规则提取子模块:用于根据确定子模块确定的业务范围或者具体功能,提取网站的特殊业务规则;
合并子模块:用于将查找子模块查找到的业务规则和特殊业务规则提取子模块提取到的特征业务规则一起作为提取的所述网站的业务规则。
12.根据权利要求8所述的一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述业务流程获取模块包括:
业务流程分析子模块:基于每项业务规则,对网站的全部业务流程进行分析;
业务流程确定子模块:分别确定与每项业务规则相关的业务流程。
13.根据权利要求8所述的一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述测试例生成模块对测试点添加输入、操作步骤以及输出后形成测试例。
14.根据权利要求8所述的一种基于业务规则的网站安全漏洞检测装置,其特征在于,所述测试模块采用截获通信、修改权限或记录连接对测试例进行测试,得到测试结果。
CN201410266026.0A 2014-06-13 2014-06-13 基于业务规则的网站安全漏洞检测方法及装置 Pending CN104023025A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410266026.0A CN104023025A (zh) 2014-06-13 2014-06-13 基于业务规则的网站安全漏洞检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410266026.0A CN104023025A (zh) 2014-06-13 2014-06-13 基于业务规则的网站安全漏洞检测方法及装置

Publications (1)

Publication Number Publication Date
CN104023025A true CN104023025A (zh) 2014-09-03

Family

ID=51439595

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410266026.0A Pending CN104023025A (zh) 2014-06-13 2014-06-13 基于业务规则的网站安全漏洞检测方法及装置

Country Status (1)

Country Link
CN (1) CN104023025A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107920062A (zh) * 2017-11-03 2018-04-17 北京知道创宇信息技术有限公司 一种业务逻辑攻击检测模型的构建方法和计算设备
CN109542764A (zh) * 2018-10-17 2019-03-29 平安健康保险股份有限公司 网页自动化测试方法、装置、计算机设备和存储介质
CN109857630A (zh) * 2017-11-30 2019-06-07 阿里巴巴集团控股有限公司 代码检测方法、系统及设备
CN110298179A (zh) * 2019-07-10 2019-10-01 中国民航信息网络股份有限公司 开源框架安全漏洞检测方法及装置
CN110390202A (zh) * 2019-07-30 2019-10-29 中国工商银行股份有限公司 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质
CN112597349A (zh) * 2020-12-25 2021-04-02 中国农业银行股份有限公司 一种规章制度处理方法、制度信息获取及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060003306A1 (en) * 2004-07-02 2006-01-05 Mcginley Michael P Unified web-based system for the delivery, scoring, and reporting of on-line and paper-based assessments
CN101470882A (zh) * 2007-12-24 2009-07-01 阿里巴巴集团控股有限公司 一种动态业务规则应用方法、系统和装置
CN102929775A (zh) * 2012-10-23 2013-02-13 中标软件有限公司 一种Web应用系统测试方法
CN103412820A (zh) * 2013-08-30 2013-11-27 曙光信息产业(北京)有限公司 Web系统中的页面的测试方法和装置
CN103488746A (zh) * 2013-09-22 2014-01-01 成都锐理开创信息技术有限公司 一种获取业务信息的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060003306A1 (en) * 2004-07-02 2006-01-05 Mcginley Michael P Unified web-based system for the delivery, scoring, and reporting of on-line and paper-based assessments
CN101470882A (zh) * 2007-12-24 2009-07-01 阿里巴巴集团控股有限公司 一种动态业务规则应用方法、系统和装置
CN102929775A (zh) * 2012-10-23 2013-02-13 中标软件有限公司 一种Web应用系统测试方法
CN103412820A (zh) * 2013-08-30 2013-11-27 曙光信息产业(北京)有限公司 Web系统中的页面的测试方法和装置
CN103488746A (zh) * 2013-09-22 2014-01-01 成都锐理开创信息技术有限公司 一种获取业务信息的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王佳佳: "《某SNS网站测试方案的设计与实施》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107920062A (zh) * 2017-11-03 2018-04-17 北京知道创宇信息技术有限公司 一种业务逻辑攻击检测模型的构建方法和计算设备
CN107920062B (zh) * 2017-11-03 2020-06-05 北京知道创宇信息技术股份有限公司 一种业务逻辑攻击检测模型的构建方法和计算设备
CN109857630A (zh) * 2017-11-30 2019-06-07 阿里巴巴集团控股有限公司 代码检测方法、系统及设备
CN109857630B (zh) * 2017-11-30 2022-08-02 阿里巴巴集团控股有限公司 代码检测方法、系统及设备
CN109542764A (zh) * 2018-10-17 2019-03-29 平安健康保险股份有限公司 网页自动化测试方法、装置、计算机设备和存储介质
CN109542764B (zh) * 2018-10-17 2023-08-18 平安健康保险股份有限公司 网页自动化测试方法、装置、计算机设备和存储介质
CN110298179A (zh) * 2019-07-10 2019-10-01 中国民航信息网络股份有限公司 开源框架安全漏洞检测方法及装置
CN110390202A (zh) * 2019-07-30 2019-10-29 中国工商银行股份有限公司 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质
CN110390202B (zh) * 2019-07-30 2021-06-18 中国工商银行股份有限公司 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质
CN112597349A (zh) * 2020-12-25 2021-04-02 中国农业银行股份有限公司 一种规章制度处理方法、制度信息获取及装置

Similar Documents

Publication Publication Date Title
Mathur et al. Dark patterns at scale: Findings from a crawl of 11K shopping websites
CN104023025A (zh) 基于业务规则的网站安全漏洞检测方法及装置
CN103778151A (zh) 一种识别特征群体的方法及装置和搜索方法及装置
JP6047463B2 (ja) セキュリティ上の脅威を評価する評価装置及びその方法
CN102831345A (zh) Sql注入漏洞检测中的注入点提取方法
CN108665297A (zh) 异常访问行为的检测方法、装置、电子设备和存储介质
CN103634317A (zh) 基于云安全对恶意网址信息进行安全鉴定的方法及系统
Urban et al. The unwanted sharing economy: An analysis of cookie syncing and user transparency under GDPR
Gray et al. An ontology of dark patterns knowledge: Foundations, definitions, and a pathway for shared knowledge-building
CN1949780B (zh) 网络留言系统及留言过滤方法
CN104572837B (zh) 在网页上提供认证信息的方法及装置
CN102664925B (zh) 一种展现搜索结果的方法及装置
CN102739653A (zh) 一种针对网址的检测方法及装置
Van Nortwick et al. Setting the bar low: are websites complying with the minimum requirements of the CCPA?
Everett Measuring National Well‐Being: A UK Perspective
Kaizer et al. Towards automatic identification of javascript-oriented machine-based tracking
Kubicek et al. Checking Websites' GDPR Consent Compliance for Marketing Emails
Gray et al. An Ontology of Dark Patterns: Foundations, Definitions, and a Structure for Transdisciplinary Action
Castell-Uroz et al. Network measurements for web tracking analysis and detection: A tutorial
CN103336693B (zh) refer链的创建方法、装置及安全检测设备
Sun et al. SoK: Comprehensive Analysis of Rug Pull Causes, Datasets, and Detection Tools in DeFi
CN114844689A (zh) 一种基于有限状态机的网站逻辑漏洞检测方法及系统
Fletcher et al. Practical web traffic analysis: standards, privacy, techniques, and results
Huang et al. Metamodeling to control and audit e-commerce web applications
Moti et al. Targeted and Troublesome: Tracking and Advertising on Children's Websites

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20140903