CN104184728A - 一种Web应用系统的安全检测方法及安全检测装置 - Google Patents
一种Web应用系统的安全检测方法及安全检测装置 Download PDFInfo
- Publication number
- CN104184728A CN104184728A CN201410398508.1A CN201410398508A CN104184728A CN 104184728 A CN104184728 A CN 104184728A CN 201410398508 A CN201410398508 A CN 201410398508A CN 104184728 A CN104184728 A CN 104184728A
- Authority
- CN
- China
- Prior art keywords
- web application
- application system
- code
- leak
- safety detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种Web应用系统的安全检测方法和安全检测装置,其目的在于提供一种通过本地检测和云端检测的双重检测且安全性能高的Web应用系统的安全检测方法和安全检测装置,属于网络安全技术领域。该检测方法包括本地安全检测、云端安全检测和渗透测试三个步骤对Web应用系统进行安全检测。本发明用于Web应用系统的安全检测。
Description
技术领域
本发明涉及一种Web应用系统的安全检测方法及检测装置,用于Web应用系统的安全检测,属于网络安全技术领域。
背景技术
在Internet大众化及Web技术飞速发展的今天,Web已经对商业、教育、政府和娱乐及我们的工作和生活产生了深远影响,相应地,基于Web的应用程序已经有了很大的市场。伴随着信息化建设的不断深入,Web应用系统已日益成熟,Web应用系统平台已经在电子政务、电子商务等领域得到广泛的应用,以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术,在很大程度上改变了人们沟通、交流和工作的方式。但由于目前程序员的安全性普遍比较差,编程入门门槛低,程序员的疏忽等问题,造成了编写的代码存在大量的安全漏洞,因而这些新技术在给商业活动的发展带来便利的同时,也带来了前所未有的巨大安全风险。伴随着在线信息和服务的可用性的提升,以及对Web应用系统的攻击和破坏频率的增长,安全风险达到了前所未有的高度。
由于Web应用系统的重要性及其所面临的安全威胁的严峻形势,为了提高Web应用系统的安全性,采用技术手段对Web应用系统进行安全检测是必须的。安全检测可以发现Web应用系统中的安全问题和潜在的安全威胁,提高Web应用系统的安全性,为国家、企业、个人等Web应用系统的使用者提供安全保障。基于Web应用系统的系统测试与传统的软件测试既有相同之处,也有不同的地方,对软件测试提出了新的挑战。基于Web应用系统的系统测试不但需要检查和验证该应用是否按照设计的要求运行,而且还要评价系统在不同用户的终端(浏览器)的显示是否合适。重要的是,还要从最终用户的角度进行安全性和可用性的测试。
目前Web应用系统常用的安全检测有白盒测试和黑盒测试。白盒检测技术经过多年的发展,众多基于该技术的检测工具被应用于Web应用系统的白盒检测工作中,如fortify、CodeSecure、OunceSecurity、Analyst等;黑盒检测技术直接对接口进行功能性测试,其测试结果具有较高的准确度,可以在很大程度上辅助研究人员对Web应用系统的安全问题进行分析和确定,从而提高Web应用系统的安全性。目前,很多基于黑盒检测技术的工具、系统被应用于Web应用系统的安全检测中,包括IBM的AppScan、HP的Weblnspect、OWASP的开源项目WebScrab等。如申请号为201310028848.0的发明专利申请就公开了一种白黑盒结合的Web应用系统安全检测方法,该申请的步骤为:对Web应用系统进行白盒测试;对Web应用系统进行黑盒测试;通过K进行文件关联;通过S进行文件查找;整体结合测试。通过一定的测试流程,并引入文件关联匹配技术K,实现Web应用系统白黑盒测试结合。该发明专利申请虽解决了对Web应用系统进行白盒测试的高误报率和黑盒测试的无法定位漏洞源代码位置的问题,但经安全检测后的Web应用系统的安全性仍较低。
发明内容
为解决上述技术问题,本发明的目的在于提供一种Web应用系统的安全检测方法和检测装置,通过本地检测和云端检测的双重检测,提高Web应用系统的安全性能。
为实现上述目的,本发明的技术方案为:
一种Web应用系统的安全检测方法,其步骤包括:
步骤1、本地安全检测,先对Web应用系统代码进行代码分析,其次利用爬虫技术对Web应用系统进行模拟使用,检测Web应用系统是否存在代码漏洞并对检测出的代码漏洞进行警告标记;
步骤2、云端安全检测,将Web应用系统代码的样本上传至云端服务器,Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比检测,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记;
步骤3、渗透测试,采用渗透测试工具对Web应用系统进行模拟攻击,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记,给出安全评估报告。
进一步地,步骤1中所述代码分析的过程包括先对Web应用系统代码进行危险函数检测,再对Web应用系统代码进行参数过滤检查和身份验证检查。
进一步地,步骤1中所述代码分析采用源代码分析技术,所述源代码分析技术主要包括如下三步骤:
步骤3-1、先对Web应用系统代码进行词法分析和语法分析;
步骤3-2、然后采用数据流分析、状态机系统、边界检测、数据类型验证和控制流分析对Web应用系统代码进行模型分析;
步骤3-3、最后在各个接收点之间建立相应的依赖关系图,并根据该依赖关系图判断Web应用系统代码是否具有代码漏洞。
进一步地,云端安全检测中Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行hash对比,检测云端服务器是否存在与Web应用系统代码的样本的基本块相同的漏洞代码。
进一步地,步骤3中渗透测试工具为sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一种或几种的组合。
进一步地,利用sqlmap工具对Web应用系统中存在的检测点进行sql注入检测并根据检测结果发现Web应用系统是否存在注入漏洞;利用xss-proxy工具或X-scan工具对Web应用系统中易出现xss漏洞的模块进行xss漏洞检测并根据检测结果发现Web应用系统是否存在xss漏洞。
一种Web应用系统的安全检测装置,其特征在于:包括
本地安全检测模块,用于对Web应用系统代码进行代码分析,利用爬虫技术对Web应用系统进行模拟使用,检测Web应用系统是否存在代码漏洞并对检测出的代码漏洞进行警告标记;
云端安全检测模块,用于将Web应用系统代码的样本上传至云端服务器,Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比检测,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记;
渗透测试模块,用于采用渗透测试工具对Web应用系统进行模拟攻击,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记,给出安全评估报告。
进一步地,渗透测试工具为sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一种或几种的组合。
进一步地,还设有更新模块,所述更新模块用于更新预存在云端服务器上的缺陷基本块、安全模块和渗透测试工具。
与现有技术相比,本发明的有益效果在于:
1、本发明的安全检测方法及安全检测装置通过本地安全检测、云端安全检测和渗透测试对Web应用系统进行多重检测,通过云端安全检测将Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比,查找出Web应用系统代码的样本中与缺陷基本块相同的漏洞代码,并进行标记,从而提高Web应用系统代码的漏洞,加强系统的安全性,减少系统被黑客成功攻击的可能性,且易于对web漏洞进行汇总和分析,并增强程序员的代码安全意识,引导程序员编写出更加安全的Web应用代码。
2、本发明的安全检测方法及安全检测装置采用源代码分析技术对Web应用系统代码进行代码分析,可有效提高对Web应用系统代码的检测效率和检测效果,降低Web应用系统代码的漏洞缺陷。
3、利用渗透测试工具模拟黑客对web应用进行攻击,在渗透测试过程中,WEB应用程序可能会泄露一些不应该被最终用户看到的信息,并测试出相关的漏洞,从而提高Web应用系统代码的漏洞,加强系统的安全性,减少系统被黑客成功攻击的可能性,且有助于提高程序员的代码安全意识。
附图说明
图1为本发明的检测流程图;
图2为本发明中渗透测试流程图。
具体实施方式
下面结合附图,对本发明做进一步说明:
实施例一
一种Web应用系统的安全检测方法,其步骤包括:
步骤1、本地安全检测
本地安全检测主要对Web应用系统代码进行代码分析,利用爬虫技术对Web应用系统进行模拟使用,对检测出的Web应用系统代码漏洞进行警告标记;
所述代码分析的过程为先对Web应用系统代码进行危险函数检测,再对Web应用系统代码进行参数过滤检查和身份验证检查。
所述代码分析中采用了源代码分析技术,所述源代码分析技术主要包括如下三步骤:
步骤3-1、先对Web应用系统代码进行词法分析和语法分析(例如,对Web应用系统代码的逻辑结构进行数学建模);
步骤3-2、然后采用数据流分析、状态机系统、边界检测、数据类型验证和控制流分析对Web应用系统代码进行模型分析,从而发现软件系统屮的安全问题和安全缺陷;
步骤3-3、最后在各个接收点之间建立相应的依赖关系图,并根据该依赖关系图判断Web应用系统代码是否具有代码漏洞。依据源码之间的联系,一段源代码能够拆分成各个不同的基本块,各个基本块是源代码有序运行的语句。数据流分析是搜集源代码里的变量,判断其在源代码中的传送和修改的运用状况,还有它在基本块中的使用过程。
检测运行Web应用系统代码时,数据是在条件语句的转移下进行转移。所以,构建控制流图才能更好的应用数据流分析。控制流图定义为:一有向图G=(N,E,into,out).其中,N是节点的集合,程序中的每段代码都匹配图中的某一节点;边集E={<p,q>|p,q属于N并在p运行之后,将会马上运行q};into与out是代码的进入点与结束点。
本发明中控制流图的生成规则为:如若在一个有序代码中,基本块J2跟随在J1后面运行,那么产生了一个由J1指向J2有向边。即如果:
1.存在跳转点,能够存在条件或是不存在条件,这个点从J1的结束点跳转至J2的开始点;
2.在有序代码里,J2跟随在J1之后,而且J1的结束点不是不存在条件的跳转语句在以上两种情况下,J1为J2的前驱,J2是J1的后继。
经源代码分析技术检测后,利用爬虫技术对Web应用系统进行模拟使用,并在模拟使用中检测出的Web应用系统代码漏洞进行警告标记,其步骤为:
1.爬取易产生sql注入的页面
爬虫携带敏感参数(1or1=1,1’or‘1’=‘1等)对本地易产生sql注入的页面(如登录页面、信息查询页面)进行页面爬取,并根据爬取结果是否含有敏感信息判断该页面是否存在sql注入漏洞。
2.爬取易产生xss漏洞页面
爬虫在url中或者post数据中携带(alert(1),’;onclick=’alert(1)等)对本地易产生xss漏洞的页面(如搜索模块、留言模块)进行页面执行,并根据页面执行结果判断该页面是否存在xss漏洞。
步骤2、云端安全检测
将Web应用系统代码的样本上传至云端服务器,Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比,对经对比产生的Web应用系统代码漏洞进行警告标记。所述缺陷基本块是指预存在云端服务器上的存在缺陷的代码模块。
Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行hash对比,检测云端服务器是否存在与Web应用系统代码的样本的基本块相同的漏洞代码,若有,则Web应用系统代码的样本中存在代码漏洞;若没有,则Web应用系统代码的样本中可能不存在代码漏洞。此外,还对Web应用系统代码的样本进行危险函数扫描、错误逻辑扫描。
步骤3、渗透测试
接收来自Web应用系统的请求,采用渗透测试工具模拟黑客对Web应用系统进行攻击,对检测出的Web应用系统代码漏洞进行警告标记,并给出安全评估报告。
所述渗透测试是对Web应用系统进行自动初级渗透测试,渗透测试时采用的渗透测试工具为sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一种或几种的组合。利用渗透测试工具模拟黑客对web应用进行攻击的过程中,Web应用系统可能会泄露一些不应该被最终用户看到的信息。测试人员根据诸如错误代码之类的信息可以推测出应用所使用的技术和产品。在不当的异常处理设计与编码的情况下,错误代码可以通过专门技能或工具就可以很容易地去调用它。显然,只注重于WEB应用不可能达到详尽的测试,它达不到通过更广泛地基础分析收集到的信息后对被测应用的理解程度。利用上述渗透测试工具实现对Web应用系统的初步探索并给出简易的安全评估报告,让编程人员对自身系统的安全级别有大概的认识。
上述诸多工具中,利用sqlmap工具对Web应用系统中存在的检测点进行sql注入检测并根据检测结果发现Web应用系统是否存在注入漏洞;利用xss-proxy工具或X-scan工具对Web应用系统中易出现xss漏洞的模块进行xss漏洞检测并根据检测结果发现Web应用系统是否存在xss漏洞;利用Nessus工具对Web应用系统进行系统漏洞扫描和软件分析;利用Nmap工具对Web应用系统的端口进行端口扫描;利用Wireshark工具撷取Web应用系统的网络数据包,并尽可能显示出最为详细的网络数据包资料。
实施例二
一种Web应用系统的安全检测装置,包括本地安全检测模块、云端安全检测模块和渗透测试模块。
所述本地安全检测模块用于采用源代码分析技术对Web应用系统代码进行代码分析,利用爬虫技术对Web应用系统进行模拟使用,对检测出的Web应用系统代码漏洞进行警告标记。该本地安全检测模块采用了上述实施例一中的本地安全检测方法。
所述云端安全检测模块用于将Web应用系统代码的样本上传至云端服务器,Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比,对经对比产生的Web应用系统代码漏洞进行警告标记。该云端安全检测模块采用了上述实施例一中的云端安全检测方法。
所述渗透测试模块用于接收来自Web应用系统的请求,采用渗透测试工具模拟黑客对Web应用系统进行攻击,对检测出的Web应用系统代码漏洞进行警告标记,并给出安全评估报告。该渗透测试模块采用了上述实施例一中的渗透测试方法。
所述渗透测试工具为sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一种或几种的组合。
实施例三
在实施例二的基础上,还设有更新模块。所述更新模块用于更新预存在云端服务器上的缺陷基本块、安全模块和渗透测试工具。
Claims (9)
1.一种Web应用系统的安全检测方法,其步骤包括:
步骤1、本地安全检测,先对Web应用系统代码进行代码分析,再利用爬虫技术对Web应用系统进行模拟使用,检测Web应用系统是否存在代码漏洞并对检测出的代码漏洞进行警告标记;
步骤2、云端安全检测,将Web应用系统代码的样本上传至云端服务器,Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比检测,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记;
步骤3、渗透测试,采用渗透测试工具对Web应用系统进行模拟攻击,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记,给出安全评估报告。
2.如权利要求1所述的一种Web应用系统的安全检测方法,其特征在于:步骤1中所述代码分析的过程包括先对Web应用系统代码进行危险函数检测,再对Web应用系统代码进行参数过滤检查和身份验证检查。
3.如权利要求1所述的一种Web应用系统的安全检测方法,其特征在于:步骤1中所述代码分析采用源代码分析技术,所述源代码分析技术包括如下三步骤:
步骤3-1、先对Web应用系统代码进行词法分析和语法分析;
步骤3-2、然后采用数据流分析、状态机系统、边界检测、数据类型验证和控制流分析对Web应用系统代码进行模型分析;
步骤3-3、最后在各个接收点之间建立相应的依赖关系图,并根据该依赖关系图判断Web应用系统代码是否具有代码漏洞。
4.如权利要求1所述的一种Web应用系统的安全检测方法,其特征在于:云端安全检测中Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行hash对比,检测云端服务器是否存在与Web应用系统代码的样本的基本块相同的漏洞代码。
5.如权利要求1所述的一种Web应用系统的安全检测方法,其特征在于:步骤3中渗透测试工具为sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一种或几种的组合。
6.如权利要求5所述的一种Web应用系统的安全检测方法,其特征在于:利用sqlmap工具对Web应用系统中存在的检测点进行sql注入检测并根据检测结果发现Web应用系统是否存在注入漏洞;利用xss-proxy工具或X-scan工具对Web应用系统中易出现xss漏洞的模块进行xss漏洞检测并根据检测结果发现Web应用系统是否存在xss漏洞。
7.一种Web应用系统的安全检测装置,其特征在于:包括
本地安全检测模块,用于对Web应用系统代码进行代码分析,利用爬虫技术对Web应用系统进行模拟使用,检测Web应用系统是否存在代码漏洞并对检测出的代码漏洞进行警告标记;
云端安全检测模块,用于将Web应用系统代码的样本上传至云端服务器,Web应用系统代码的样本的每个基本块与预存在云端服务器上的缺陷基本块进行对比检测,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记;
渗透测试模块,用于采用渗透测试工具对Web应用系统进行模拟攻击,检测Web应用系统是否存在代码漏洞并对检测出的Web应用系统代码漏洞进行警告标记,给出安全评估报告。
8.如权利要求7所述的一种Web应用系统的安全检测装置,其特征在于:渗透测试工具为sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一种或几种的组合。
9.如权利要求7所述的一种Web应用系统的安全检测装置,其特征在于:还设有更新模块,所述更新模块用于更新预存在云端服务器上的缺陷基本块、安全模块和渗透测试工具。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410398508.1A CN104184728A (zh) | 2014-08-14 | 2014-08-14 | 一种Web应用系统的安全检测方法及安全检测装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410398508.1A CN104184728A (zh) | 2014-08-14 | 2014-08-14 | 一种Web应用系统的安全检测方法及安全检测装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104184728A true CN104184728A (zh) | 2014-12-03 |
Family
ID=51965470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410398508.1A Pending CN104184728A (zh) | 2014-08-14 | 2014-08-14 | 一种Web应用系统的安全检测方法及安全检测装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184728A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106407811A (zh) * | 2016-10-10 | 2017-02-15 | 合肥红珊瑚软件服务有限公司 | 一种sql注入漏洞定位检测系统 |
| CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
| CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
| CN107231381A (zh) * | 2017-08-02 | 2017-10-03 | 中电长城网际系统应用有限公司 | 安全检测方法、服务接口模块、安全检测装置和网络系统 |
| CN108763061A (zh) * | 2018-04-29 | 2018-11-06 | 西安交通大学 | 一种计算机软件产品品质管制管理系统 |
| CN108810018A (zh) * | 2018-07-12 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 一种移动应用检测云平台 |
| CN109033815A (zh) * | 2018-06-15 | 2018-12-18 | 国网浙江省电力有限公司 | 基于矩阵分解的Webshell检测方法 |
| CN109240930A (zh) * | 2018-09-19 | 2019-01-18 | 大连海事大学 | 一种Web应用程序的协同测试方法 |
| CN110912929A (zh) * | 2019-12-12 | 2020-03-24 | 和宇健康科技股份有限公司 | 一种基于区域医疗的安全管控中台系统 |
| CN111064735A (zh) * | 2019-12-25 | 2020-04-24 | 南开大学 | 一种电力信息系统sql注入漏洞检测方法及系统 |
| CN111143852A (zh) * | 2019-12-13 | 2020-05-12 | 电子科技大学 | 一种基于协同控制的多模块渗透测试系统 |
| US11663339B2 (en) | 2019-07-31 | 2023-05-30 | International Business Machines Corporation | Security testing based on user request |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102541729A (zh) * | 2010-12-31 | 2012-07-04 | 航空工业信息中心 | 软件安全漏洞检测装置和方法 |
| CN102651060A (zh) * | 2012-03-31 | 2012-08-29 | 北京奇虎科技有限公司 | 一种漏洞检测的方法和系统 |
| US20130227636A1 (en) * | 2012-02-24 | 2013-08-29 | Appthority, Inc. | Off-device anti-malware protection for mobile devices |
| CN103491189A (zh) * | 2013-09-30 | 2014-01-01 | 北京奇虎科技有限公司 | 基于云端和无线终端的联动检测客户端软件安装状态的方法和无线终端 |
| US20140208426A1 (en) * | 2008-05-28 | 2014-07-24 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
-
2014
- 2014-08-14 CN CN201410398508.1A patent/CN104184728A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140208426A1 (en) * | 2008-05-28 | 2014-07-24 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
| CN102541729A (zh) * | 2010-12-31 | 2012-07-04 | 航空工业信息中心 | 软件安全漏洞检测装置和方法 |
| US20130227636A1 (en) * | 2012-02-24 | 2013-08-29 | Appthority, Inc. | Off-device anti-malware protection for mobile devices |
| CN102651060A (zh) * | 2012-03-31 | 2012-08-29 | 北京奇虎科技有限公司 | 一种漏洞检测的方法和系统 |
| CN103491189A (zh) * | 2013-09-30 | 2014-01-01 | 北京奇虎科技有限公司 | 基于云端和无线终端的联动检测客户端软件安装状态的方法和无线终端 |
Non-Patent Citations (2)
| Title |
|---|
| STEFAN BUCUR, ETC.: "Parallel symbolic execution for automated real-world software testing", 《PROCEEDINGS OF THE 6TH ACM SIGOPS/EUROSYS CONFERENCE ON COMPUTER SYSTEMS》 * |
| 王欣: "WEB应用系统安全检测关键技术研究", 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106407811A (zh) * | 2016-10-10 | 2017-02-15 | 合肥红珊瑚软件服务有限公司 | 一种sql注入漏洞定位检测系统 |
| CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
| CN106961419B (zh) * | 2017-02-13 | 2020-04-14 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
| CN106961419A (zh) * | 2017-02-13 | 2017-07-18 | 深信服科技股份有限公司 | WebShell检测方法、装置及系统 |
| CN107231381A (zh) * | 2017-08-02 | 2017-10-03 | 中电长城网际系统应用有限公司 | 安全检测方法、服务接口模块、安全检测装置和网络系统 |
| CN108763061A (zh) * | 2018-04-29 | 2018-11-06 | 西安交通大学 | 一种计算机软件产品品质管制管理系统 |
| CN109033815A (zh) * | 2018-06-15 | 2018-12-18 | 国网浙江省电力有限公司 | 基于矩阵分解的Webshell检测方法 |
| CN108810018A (zh) * | 2018-07-12 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 一种移动应用检测云平台 |
| CN109240930A (zh) * | 2018-09-19 | 2019-01-18 | 大连海事大学 | 一种Web应用程序的协同测试方法 |
| US11663339B2 (en) | 2019-07-31 | 2023-05-30 | International Business Machines Corporation | Security testing based on user request |
| CN110912929A (zh) * | 2019-12-12 | 2020-03-24 | 和宇健康科技股份有限公司 | 一种基于区域医疗的安全管控中台系统 |
| CN110912929B (zh) * | 2019-12-12 | 2023-02-17 | 和宇健康科技股份有限公司 | 一种基于区域医疗的安全管控中台系统 |
| CN111143852A (zh) * | 2019-12-13 | 2020-05-12 | 电子科技大学 | 一种基于协同控制的多模块渗透测试系统 |
| CN111064735A (zh) * | 2019-12-25 | 2020-04-24 | 南开大学 | 一种电力信息系统sql注入漏洞检测方法及系统 |
| CN111064735B (zh) * | 2019-12-25 | 2021-10-15 | 南开大学 | 一种电力信息系统sql注入漏洞检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104184728A (zh) | 一种Web应用系统的安全检测方法及安全检测装置 | |
| Liu et al. | Software vulnerability discovery techniques: A survey | |
| US9043924B2 (en) | Method and system of runtime analysis | |
| CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN112182588B (zh) | 基于威胁情报的操作系统漏洞分析检测方法及系统 | |
| CN105069355A (zh) | webshell变形的静态检测方法和装置 | |
| Holm et al. | Sved: Scanning, vulnerabilities, exploits and detection | |
| CN105391729A (zh) | 基于模糊测试的web漏洞自动挖掘方法 | |
| CN104573524A (zh) | 一种基于静态检测的模糊测试方法 | |
| CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
| CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
| CN113821804B (zh) | 一种面向第三方组件及其安全风险的跨架构自动化检测方法与系统 | |
| CN106611122A (zh) | 基于虚拟执行的未知恶意程序离线检测系统 | |
| CN106874763B (zh) | 模拟用户行为的安卓软件恶意行为触发系统及方法 | |
| CN103530565A (zh) | 基于web的网站程序漏洞扫描方法及扫描装置 | |
| CN110765459A (zh) | 一种恶意脚本检测方法、装置和存储介质 | |
| CN106874768A (zh) | 渗透测试的方法及装置 | |
| CN105141647A (zh) | 一种检测Web应用的方法和系统 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN114398643A (zh) | 渗透路径规划方法、装置、计算机和存储介质 | |
| CN105138916A (zh) | 基于数据挖掘的多轨迹恶意程序特征检测方法 | |
| CN103780614A (zh) | 一种基于模拟攻击扩展的sql注入漏洞挖掘方法 | |
| CN111611590B (zh) | 涉及应用程序的数据安全的方法及装置 | |
| CN107239697A (zh) | 一种基于移动流量的服务器端扫描方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141203 |