CN104620225A - 防止安全漏洞的认证服务器端的Web应用 - Google Patents
防止安全漏洞的认证服务器端的Web应用 Download PDFInfo
- Publication number
- CN104620225A CN104620225A CN201380047234.5A CN201380047234A CN104620225A CN 104620225 A CN104620225 A CN 104620225A CN 201380047234 A CN201380047234 A CN 201380047234A CN 104620225 A CN104620225 A CN 104620225A
- Authority
- CN
- China
- Prior art keywords
- report
- leak
- server
- security
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
公开了服务器安全验证的方法,包括对每一个漏洞,获取与接收的包括关于漏洞存在指示的报告相关联的公钥,所述报告在服务器中产生(204);使用公钥解密所述接收的报告(210);使用处理器基于解密的报告确定服务气端安全的级别(212);以及响应于所述服务器端级别的确定,在客户机重配浏览器(316)。
Description
技术领域
本公开涉及网络(Web)安全认证,更具体地,涉及服务器端应用的认证。
背景技术
Web应用(Web applications),尤其是商业应用,是安全攻击的目标。如果Web应用程序是脆弱的,那么,根据漏洞的本质,攻击者能够,例如注入滥用Web应用的其他用户和/或窃取他们的数据(例如,使用跨站点脚本或跨应用请求伪造有效载荷)或开发Web应用程序的服务器端(例如,使用伪造日志或执行命令的有效载荷)的脚本。Web应用程序的消费者或Web服务有时能够手动或使用自动扫描工具检查它的客户端应用,但消费者通常不会访问Web应用程序的服务器端。
这使得Web应用或服务的用户没有任何方法来保护自己远离服务器端漏洞。即使用户在客户端使用的扫描工具没有找到漏洞,服务器端还可以以一种不安全的方式处理输入数据,例如,在某些或所有情况下没有正确应用适当的扫描/验证。尤其是当服务器端在执行其安全措施方面基本正确的情况下,尽管如此,仍有一些微妙的或很难找到漏洞。
已开发的解决方案提高了网站中用户的信心。第三方扫描器在网站的客户端嵌入“信任标记”,指出服务器应用已经被扫描并被发现是安全的。固有的问题仍然存在,但是,外部扫描器暴露服务器端的漏洞的能力是有限的。这种漏洞的一个典型的例子是持久的跨站点脚本,其中有效载荷没有被立即反映但潜藏在后台数据库,以便未来的用户请求检索它。
发明内容
示出了一种服务器安全验证的方法,包括:对一个或者多个漏洞的每一个,获取与接收的包括关于漏洞存在指示的报告相关联的公钥,所述报告在服务器中产生;使用所述公钥解密接收的所述报告;使用处理器基于所述解密的报告确定服务器端安全的级别;以及响应于服务器端安全的级别的确定,在客户机重配浏览器。
进一步示出了一种服务器安全验证的方法,包括对一个或者多个漏洞的每一个,在客户机获取与接收的包括关于漏洞存在指示的报告相关联的公钥,所述报告在服务器中产生;使用所述公钥解密接收的所述报告;使用处理器基于解密的所述报告确定服务器端安全的级别;使用位于所述客户机的扫描模块扫描服务器寻找漏洞,所述扫描模块被配置为为基于所述确定的服务器端安全性的级别,增强或者减弱对特定漏洞的扫描,以及响应于服务器端安全性的级别的确定,在客户机重配浏览器。
进一步示出了一种服务器安全验证的方法,包括:使用位于所述服务器的扫描模块扫描服务器,寻找一个或者多个漏洞;基于所述扫描结果产生加密的服务器端安全性的报告,该报告中包含关于所述一个或者多个漏洞的每一个漏洞存在的指示,所述加密是使用私钥执行的;在请求的客户机使用公钥解密所述加密报告的副本;使用处理器基于所述解密的报告确定服务器端安全的级别;以及使用位于所述客户机的扫描模块扫描服务器寻找漏洞。
进一步示出了一种服务器安全验证的方法,包括:使用位于服务器的扫描模块扫描服务器,寻找一个或者多个漏洞;基于所述扫描结果产生服务器端安全性的加密的报告,该报告中包含关于所述一个或者多个漏洞的每一个漏洞存在的指示,所述加密是使用私钥执行的;将所述加密的报告传输给请求客户机;在请求的客户机使用公钥解密该加密的报告;使用处理器基于所述解密的报告确定服务器端安全的级别;基于所述确定的服务器端安全的级别配置位于客户机的扫描模块,增强或者减弱对特定漏洞的扫描,以及使用位于客户机的扫描模块扫描服务器寻找漏洞。
示出了一种客户机安全模块,包括:报告验证模块,被配置为获取与接收到的报告相关联的公钥,所述接收到的报告在服务器端产生,使用该公钥解密所述接收到的报告,基于所述解密的报告确定服务器端安全的级别;以及处理器,被配置为响应于所述确定服务器端安全的级别,重新配置浏览器。
进一步示出了一种客户机安全模块,包括:报告验证模块,被配置为获取与接收到的报告相关联的公钥,所述接收到的报告在服务器中产生,并指出在服务器存在一个或者多个漏洞,使用公钥解密接收到的报告,基于所述解密的报告确定服务器端安全的级别;扫描模块,被配置为基于所述接收到的报告扫描服务器来寻找漏洞,其中所述扫描模块基于所述确定的服务器端安全的级别,增强或者减弱对特定漏洞的扫描,以及处理器被配置为响应于所述确定的服务器端安全性的级别以及所述扫描模块的输出,重新配置浏览器。
该安全模块包括:扫描器,被配置为扫描服务器来寻找一个或者多个漏洞;报告生成器,被配置为基于所述扫描器提供的结果,产生服务器端安全性的加密的报告;以及传输器,被配置为将所述加密的报告传输给请求客户机;客户机安全模块包括:报告验证模块,被配置为解密接收到的报告,所述接收到的报告在服务器中产生,以及基于所述加密的报告使用处理器确定服务器端安全的级别;以及扫描模块,被配置为扫描服务器来寻找漏洞,所述扫描模块被配置为基于所述确定的服务器端安全的级别,增强或者减弱对特定漏洞的扫描。
示出了一种安全验证系统,包括服务器安全模块和客户机安全模块,服务器安全模块包括:扫描器,被配置为扫描服务器来寻找一个或者多个漏洞;报告生成器,被配置为使用处理器基于所述扫描器提供的结果产生私钥加密的服务器端安全的报告,该报告包括关于所述一个或者多个漏洞的每一个,漏洞是否存在的指示;以及被进一步配置为公开对应所述私钥的公钥;以及传输器,被配置为将所述加密的报告传输给请求客户机,从而客户机能够使用所述公钥访问加密的报告来确定服务器端安全的级别;客户机安全模块包括报告验证模块,被配置为获取与接收到的报告相关联的公钥,所述接收到的报告在服务器中产生,使用公钥解密接收到的报告,基于所述解密的报告使用处理器确定服务器端安全的级别;以及扫描模块,被配置为扫描服务器来寻找漏洞,所述扫描模块被配置为基于所述确定的服务器端安全的级别,增强或者减弱对特定漏洞的扫描。
这些以及其他特征和优点从以下本发明结合相伴的附图的实施例的详细描述中会变得更加明显。
附图说明
参考下列附图,本发明将提供下列优选实施例描述的细节,其中:
图1示出了根据本发明原理的执行安全分析的客户机和服务器的框图;
图2示出了根据本发明原理的确定服务器端安全级别的方法的方框/流程图;
图3示出了根据本发明原理的配置客户端扫描器的方法的方框/流程图。
具体实施方式
本原理提供Web应用的全面认证,包括从服务器端扫描到客户端有力和可靠地信息沟通能力。服务器端的应用程序执行扫描并产生一个使用公钥加密后客户可获得的报告,使得客户机可以确定,该报告实际上是由相应的服务器提供的,而不是一个第三方攻击者提供的。
服务器端认证的相关信息在使用浏览器插件的客户端可能被拒绝,或被视为信任。客户端还可以基于该报告产生站点安全性如何的在线评估,并且可进一步基于报告中的信息启动网站的引导的客户端扫描
现在参照附图,其中相同数字代表相同或相似的元素,最初的图1,示出了一个典型的网络,包括客户机100与服务器110。客户机100使用例如互联网或一些其他适当的通信介质,访问在服务器110的服务或网站。客户机包括处理器102和配置成存储和执行,例如,Web浏览器的存储器104。同样地,服务器110包括处理器112和存储器114,其接收来自客户机100的请求并提供响应。
服务器110进一步包括本地扫描器118,其对本地系统和内容执行安全扫描。扫描器118被配置为在服务器110上的跨站点脚本寻找漏洞,,这将是通过第三方扫描很难发现的,如通过客户端扫描器108。扫描器118可以扫描整个服务器110或选择在服务器110中的Web应用程序或服务。
服务器110包括报告生成器116,用于创建存储在存储器114中的报告。该报告是根据例如具有相应的公钥的私钥加密的,其中公钥是公开的并且可以免费获取。如果存储器114中存在其他报告,那么新的报告可以取代,被合并,或被添加到已经存在的报告。
当客户机100访问服务器110,它可以请求存储在存储器114中的报告的副本。该报告被传送后,客户100可以使用报告验证器106解密该报告,可以认为或者服务器110是被信任的或者拒绝该服务器。验证器106可以产生该网站安全性如何的评估,并进一步触发扫描器108必要时进行服务器110的客户机扫描。报告验证器106可能形成例如Web浏览器或者Web浏览器插件的一部分。如果报告验证器106无法打开该报告,可能产生警告来指示,例如,攻击者使用缓存中毒进行的伪造的尝试。否则,该报告对客户端的用户可用,该用户现在可以了解服务器110的安全状态。
通过使用可信的通信信道(例如,公共密钥认证)输出服务器器端的安全报告给客户机100,终端用户可以决定是否与服务器110或特定的Web应用程序或服务器本身交互。这可以通过报告的人工审查,或使用嵌入在例如,浏览器插件中的自动评估策略直接做到这一点。此外,来自服务器端报告的信息能够指导/专业化服务器110的客户端扫描。例如,如果该报告表明,服务器端是不容易受到跨站点脚本攻击,则不需要客户端扫描器108尝试这种负载。同样,如果报告显示在服务器110的特定的模块存在结构化查询语言(SQL)注入漏洞,那么客户端扫描器108可以被配置为投资其预算的较大比重来试图证明这个漏洞,而不会采用默认方法。此外,采用服务器端和客户端的扫描解耦,提高了效率。服务器110可以被分析一次,然后每个客户机100以模块化的方式评估整个系统的安全状态(客户机100和服务器110)。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。计算机程序指令也可以被加载到计算机、其它可编程数据处理装置、或其他装置,造成在计算机、其他可编程装置或其他装置上执行一系列的操作步骤,从而产生计算机实现的流程,例如在计算机或其他提供流程的可编程装置执行的指令,来实现在流程图和/或框图图块或框图中指定的功能/行为。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
现在参照图2,示出了用于服务器端安全的客户机验证方法。在模块202,服务器端的扫描器118扫描服务器110,包括指定的服务和Web应用程序来寻找安全漏洞。在模块204,报告生成器116生成一份报告,详细给出扫描器118的发现。该报告可以是人类可读的,或者可以根据例如,与特定的服务器端的使用的扫描器118相关的计算机可读格式来格式化的。在模块206,报告生成器116使用私钥对报告加密并且将报告存储在存储器114中。
以下是报告生成器116的真实世界实现产生的扫描报告的一个例子。
以上集合的每一个指定了在程序中可能的漏洞的特定位置和类型,提供了能够用于确定漏洞多么严重的上下文信息。
在模块208,客户100从服务器110请求所述报告的副本。这个请求可以是指向特定的服务或应用程序,或也可以作为一个整体指向服务器110。报告被传送到客户机100后,在模块210,该报告由报告验证器106解密。在模块212,报告验证器106基于解密的报告评估服务器端的安全性。
在模块210,根据,例如,公钥认证,发生解密,其中报告验证器106获取与用于加密该报告的私钥相关联的公钥。公钥可以存储在服务器110,提供者是服务器端的扫描器118,或是第三方供应商。
现在参照图3,显示了基于服务器端的扫描报告的接收执行进一步的扫描的方法。模块302执行图2的方法,访问服务器100和检索服务器端的扫描器118生成的报告。模块304确定该报告是否可以打开。如果不能,在使用客户端扫描器108对模块314进行扫描之前,模块306使用默认设置对用户发出警告。如果报告可以打开,模块308评估由服务器端的扫描器118检查的漏洞的每一个。
对于每一个这样的漏洞,模块310确定服务器端扫描器118是否发现了漏洞。如果服务器110对特定的攻击不是脆弱的,模块312配置客户端扫描器108跳过对那种漏洞的检查。另外,如果报告显示,服务器110是容易受到攻击,模块313配置客户端扫描器集中额外的资源来证明漏洞。这样做是因为给定的发现可能是假阳性。测试漏洞是否是真的节省终端用户克服许多虚假的问题的尝试并提供对该问题本质的洞察和再现该问题的步骤。对每一个由服务器端的扫描器118检查的漏洞执行这样的配置后,模块314使用扫描器108启动客户端对服务器110的扫描。根据接收到的报告和局部扫描的结果,模块316确定是否继续使用服务器110。如上所述,可以由用户手动作出这个决定,或根据安全策略自动实现。
例如,模块316可以确定服务器的漏洞的数量或者严重性超过阈值量,从而客户机访问服务器110可以被自动地限制或完全停止。为此,不同类型的漏洞可能与不同严重程度评分相关,评分的总和与阈值相比。另外,客户机100可以为试图访问高风险服务器110的用户提供额外的警告,特别是通知任何试图访问已经知道是脆弱的服务的用户,这告知用户潜在的风险并且允许用户作出明智的决定,或采取风险转移措施,如启用加密或使用较不敏感的信息。多阈值可以被用来建立漏洞严重程度的不同范围,允许用户针对是否使用服务器110和采取什么补救措施作更细粒度的选择。
模块316的补救措施可以包括,例如,禁用阻止应用程序的运行,并询问用户是否继续。根据将漏洞的具体类型和严重程度与特定行为相关联的策略,这些步骤可以有或没有用户干预地执行,并且也可以如上所述自动执行。此外,当用户试图访问某个链接,并且确定了这些链接的页面可能容易受到攻击时,浏览器插件可以禁用一些链接,或发出警告。另一个可能的补救措施是阻止或限制Flash组件的执行。
已经描述了验证服务器端Web应用程序防止安全漏洞的系统和方法的优选的实施例(这是意在说明而不是限制),值得注意的是,本领域技术人员可以根据上述的教导做出修改和变形。因此,可以理解,对公开的特定的实施例的改变是在由附加要求概述的本发明的范围之内的。因此,已经根据专利法所要求的细节和特殊性,描述了本发明的各个方面用,由专利特许证保护的要求保护的内容在所附加的权利要求中阐述。
Claims (20)
1.一种服务器安全验证的方法,包括:
对一个或者多个漏洞的每一个,获取与接收的包括关于漏洞存在指示的报告相关联的公钥,所述报告在服务器中产生(204);
使用所述公钥解密接收的所述报告(210);
使用处理器基于解密的所述报告确定服务器端安全性的级别(212);以及
响应于确定的服务器端安全的级别,在客户机重配浏览器(316)。
2.根据权利要求1所述的方法,进一步包括:
在客户端配置扫描模块,从而基于确定的所述服务器端安全的级别,增强或者减弱对特定漏洞的扫描;以及
使用所述扫描模块扫描所述服务器来查找漏洞。
3.根据权利要求2所述的方法,进一步包括配置扫描模块来跳过在所述报告中指出的在所述服务器中不存在的漏洞的扫描,并且增加在所述报告中指出的在所述服务器中存在的漏洞的扫描。
4.根据权利要求1所述的方法,所述确定服务器端安全的级别进一步包括:
累计在所述解密的报告中公开的任何漏洞相关联的严重度分数;
将所述累计的严重度分数与表示最大可忍受的漏洞严重度的阈值相比较。
5.根据权利要求1所述的方法,所述确定服务器端安全的级别进一步包括:
统计在所述解密的报告中公开的漏洞的数量;
将所述漏洞的数量与最大可忍受的漏洞数量的阈值相比较。
6.一种服务器安全验证的方法,包括:
使用位于所述服务器的扫描模块扫描服务器,寻找一个或者多个漏洞(202);
基于所述扫描结果产生加密的服务器端安全的报告,该报告中包含关于所述一个或者多个漏洞的每一个漏洞存在的指示,所述加密是使用私钥执行的(204);
在请求的客户机使用公钥解密所述加密报告的副本(210);
使用处理器基于所述解密的报告确定服务器端安全的级别(212);以及
使用位于所述客户机的扫描模块扫描服务器寻找漏洞(314)。
7.根据权利要求6所述的方法,进一步包括:配置位于所述客户机的扫描模块,从而基于所述确定的服务器端安全的级别,增强或者减弱对特定漏洞的扫描。
8.根据权利要求7所述的方法,进一步包括配置所述扫描模块来跳过在所述报告中指出的在所述服务器中不存在的漏洞的扫描,并且来增加在所述报告中指出的在所述服务器中存在的漏洞的扫描。
9.根据权利要求6所述的方法,所述确定服务器端安全的级别进一步包括:
累计在所述解密的报告中公开的任何漏洞相关联的严重度分数;
将所述累计的严重度分数与表示最大可忍受的漏洞严重度的阈值相比较。
10.根据权利要求6所述的方法,所述确定服务器端安全的级别进一步包括:
统计在所述加密的报告中公开的漏洞的数量;
将所述漏洞的数量与最大可忍受的漏洞数量的阈值相比较。
11.一种客户机安全模块,包括:
报告验证模块(106),被配置为获取与接收到的报告相关联的公钥,所述接收到的报告在服务器中产生,使用公钥解密接收到的报告,基于所述解密的报告确定服务器端安全的级别;以及
处理器(102),被配置为响应于所述确定的服务器端安全性的级别,重新配置浏览器。
12.根据权利要求11所述的客户机安全模块,进一步包括:扫描模块,被配置为基于所述接收的报告扫描所述服务器来寻找漏洞,并且被进一步配置为基于所述确定的服务器端安全的级别,增强或者减弱对特定漏洞的扫描。
13.根据权利要求12所述的客户机安全模块,其中所述扫描模块被进一步配置为跳过在所述报告中指出的在所述服务器中不存在漏洞的扫描,并且来增加在所述报告中指出的在所述服务器中存在漏洞的扫描。
14.根据权利要求11所述的客户机安全模块,其中所述报告验证模块被进一步配置为:累计在所述解密的报告中公开的任何漏洞相关联的严重度分数以及将所述累计的严重度分数与表示最大可忍受的漏洞严重度的阈值相比较。
15.根据权利要求11所述的客户机安全模块,其中所述报告验证模块被进一步配置为:统计在所述解密的报告中公开的漏洞的数量以及将所述漏洞的数量与最大可忍受的漏洞数量的阈值相比较。
16.一种安全验证系统,包括:
服务器安全模块(110),包括:
扫描器(118),被配置为扫描服务器,寻找一个或者多个漏洞;
报告生成器(116),被配置为基于所述扫描器提供的结果,产生加密的服务器端安全的报告;以及
传输器(208),被配置为将所述加密的报告传输给请求客户机;以及客户机安全模块(100),包括:
报告验证模块(106),被配置为解密接收到的报告,所述接收到的报告在服务器中产生,以及使用处理器基于所述解密的报告确定服务器端安全性的级别;以及
扫描模块(108),被配置为扫描所述服务器来寻找漏洞,所述扫描被配置为基于所述确定的服务器端安全的级别,增强或者减弱对特定漏洞的扫描。
17.根据权利要求16所述的安全验证系统,其中所述扫描模块被进一步配置为跳过在所述报告中指出的在所述服务器中不存在漏洞的扫描。
18.根据权利要求16所述的安全验证系统,其中所述扫描模块被进一步配置为增加在所述报告中指出的在所述服务器中存在漏洞的扫描。
19.根据权利要求16所述的安全验证系统,其中所述报告验证模块被进一步配置为累计在所述解密的报告中公开的任何漏洞相关联的严重度分数以及将所述累计的严重度分数与表示最大可忍受的漏洞严重度的阈值相比较。
20.根据权利要求16所述的安全验证系统,其中所述报告验证模块被进一步配置为统计在所述解密的报告中公开的漏洞的数量以及将所述漏洞的数量与最大可忍受的漏洞数量的阈值相比较。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/622,161 US8949995B2 (en) | 2012-09-18 | 2012-09-18 | Certifying server side web applications against security vulnerabilities |
US13/622,161 | 2012-09-18 | ||
PCT/US2013/060360 WO2014047147A1 (en) | 2012-09-18 | 2013-09-18 | Certifying server side web applications against security vulnerabilities |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104620225A true CN104620225A (zh) | 2015-05-13 |
CN104620225B CN104620225B (zh) | 2018-01-23 |
Family
ID=50275928
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380047234.5A Active CN104620225B (zh) | 2012-09-18 | 2013-09-18 | 用于服务器安全验证的方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8949995B2 (zh) |
JP (1) | JP6226990B2 (zh) |
CN (1) | CN104620225B (zh) |
WO (1) | WO2014047147A1 (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9471787B2 (en) * | 2011-08-25 | 2016-10-18 | International Business Machines Corporation | Detecting stored cross-site scripting vulnerabilities in web applications |
US9027141B2 (en) * | 2012-04-12 | 2015-05-05 | Netflix, Inc. | Method and system for improving security and reliability in a networked application environment |
US9774617B2 (en) | 2012-10-12 | 2017-09-26 | Trustwave Holdings, Inc. | Distributed client side user monitoring and attack system |
CN104253714B (zh) * | 2013-06-27 | 2019-02-15 | 腾讯科技(深圳)有限公司 | 监控方法、系统、浏览器及服务器 |
WO2016068996A1 (en) * | 2014-10-31 | 2016-05-06 | Hewlett Packard Enterprise Development Lp | Security record transfer in a computing system |
WO2016068974A1 (en) | 2014-10-31 | 2016-05-06 | Hewlett Packard Enterprise Development Lp | System and method for vulnerability remediation verification |
US11044266B2 (en) | 2016-02-26 | 2021-06-22 | Micro Focus Llc | Scan adaptation during scan execution |
US10038717B2 (en) * | 2016-02-29 | 2018-07-31 | Red Hat, Inc. | Secure performance monitoring of remote application servers |
JP6690346B2 (ja) * | 2016-03-25 | 2020-04-28 | 日本電気株式会社 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
CN106130966B (zh) * | 2016-06-20 | 2019-07-09 | 北京奇虎科技有限公司 | 一种漏洞挖掘检测方法、服务器、装置和系统 |
US10616263B1 (en) | 2017-09-13 | 2020-04-07 | Wells Fargo Bank, N.A. | Systems and methods of web application security control governance |
US11201896B1 (en) * | 2019-05-07 | 2021-12-14 | Rapid7, Inc. | Vulnerability validation using lightweight offensive payloads |
US11290480B2 (en) * | 2020-05-26 | 2022-03-29 | Bank Of America Corporation | Network vulnerability assessment tool |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6530022B1 (en) * | 1998-12-17 | 2003-03-04 | International Business Machines Corporation | Permission-based scanning of a web site |
US20050160480A1 (en) * | 2004-01-16 | 2005-07-21 | International Business Machines Corporation | Method, apparatus and program storage device for providing automated tracking of security vulnerabilities |
US20070233854A1 (en) * | 2006-03-31 | 2007-10-04 | Microsoft Corporation | Management status summaries |
US7340776B2 (en) * | 2001-01-31 | 2008-03-04 | International Business Machines Corporation | Method and system for configuring and scheduling security audits of a computer network |
CN102111385A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种网页安全信任评分方法 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001065330A2 (en) | 2000-03-03 | 2001-09-07 | Sanctum Ltd. | System for determining web application vulnerabilities |
US20030056116A1 (en) | 2001-05-18 | 2003-03-20 | Bunker Nelson Waldo | Reporter |
US20030028803A1 (en) | 2001-05-18 | 2003-02-06 | Bunker Nelson Waldo | Network vulnerability assessment system and method |
US7328344B2 (en) | 2001-09-28 | 2008-02-05 | Imagitas, Inc. | Authority-neutral certification for multiple-authority PKI environments |
US7451488B2 (en) | 2003-04-29 | 2008-11-11 | Securify, Inc. | Policy-based vulnerability assessment |
US7761918B2 (en) | 2004-04-13 | 2010-07-20 | Tenable Network Security, Inc. | System and method for scanning a network |
JP2006107387A (ja) * | 2004-10-08 | 2006-04-20 | Sanwa Comtec Kk | オンラインサービスのリアルタイムセキュリティ証明のための方法および装置 |
US8281401B2 (en) | 2005-01-25 | 2012-10-02 | Whitehat Security, Inc. | System for detecting vulnerabilities in web applications using client-side application interfaces |
CN1835507A (zh) | 2005-03-17 | 2006-09-20 | 国际商业机器公司 | 用于用户与web浏览器交互的服务器端处理的方法与系统 |
US8448241B1 (en) * | 2006-02-16 | 2013-05-21 | Oracle America, Inc. | Browser extension for checking website susceptibility to cross site scripting |
WO2007136192A1 (en) | 2006-05-18 | 2007-11-29 | Sanggyu Lee | Method for protecting client and server |
US8850587B2 (en) | 2007-05-04 | 2014-09-30 | Wipro Limited | Network security scanner for enterprise protection |
US8510828B1 (en) * | 2007-12-31 | 2013-08-13 | Symantec Corporation | Enforcing the execution exception to prevent packers from evading the scanning of dynamically created code |
US8996658B2 (en) * | 2008-09-03 | 2015-03-31 | Oracle International Corporation | System and method for integration of browser-based thin client applications within desktop rich client architecture |
US8261354B2 (en) * | 2008-09-17 | 2012-09-04 | International Business Machines Corporation | System, method and program product for dynamically performing an audit and security compliance validation in an operating environment |
US20100107257A1 (en) * | 2008-10-29 | 2010-04-29 | International Business Machines Corporation | System, method and program product for detecting presence of malicious software running on a computer system |
US8676966B2 (en) | 2009-12-28 | 2014-03-18 | International Business Machines Corporation | Detecting and monitoring server side states during web application scanning |
US8910288B2 (en) | 2010-02-05 | 2014-12-09 | Leidos, Inc | Network managed antivirus appliance |
JP5499805B2 (ja) * | 2010-03-19 | 2014-05-21 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法並びに情報処理プログラム |
US8688982B2 (en) | 2010-08-13 | 2014-04-01 | Bmc Software, Inc. | Monitoring based on client perspective |
CN102404281B (zh) * | 2010-09-09 | 2014-08-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种网站扫描设备和方法 |
-
2012
- 2012-09-18 US US13/622,161 patent/US8949995B2/en active Active
- 2012-10-12 US US13/650,831 patent/US8943599B2/en active Active
-
2013
- 2013-09-18 JP JP2015532171A patent/JP6226990B2/ja active Active
- 2013-09-18 WO PCT/US2013/060360 patent/WO2014047147A1/en active Application Filing
- 2013-09-18 CN CN201380047234.5A patent/CN104620225B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6530022B1 (en) * | 1998-12-17 | 2003-03-04 | International Business Machines Corporation | Permission-based scanning of a web site |
US7340776B2 (en) * | 2001-01-31 | 2008-03-04 | International Business Machines Corporation | Method and system for configuring and scheduling security audits of a computer network |
US20050160480A1 (en) * | 2004-01-16 | 2005-07-21 | International Business Machines Corporation | Method, apparatus and program storage device for providing automated tracking of security vulnerabilities |
US20070233854A1 (en) * | 2006-03-31 | 2007-10-04 | Microsoft Corporation | Management status summaries |
CN102111385A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种网页安全信任评分方法 |
Also Published As
Publication number | Publication date |
---|---|
US20140082734A1 (en) | 2014-03-20 |
CN104620225B (zh) | 2018-01-23 |
US20140082736A1 (en) | 2014-03-20 |
US8943599B2 (en) | 2015-01-27 |
JP2015534681A (ja) | 2015-12-03 |
JP6226990B2 (ja) | 2017-11-08 |
WO2014047147A1 (en) | 2014-03-27 |
US8949995B2 (en) | 2015-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104620225A (zh) | 防止安全漏洞的认证服务器端的Web应用 | |
Focardi et al. | Usable security for QR code | |
US8850568B2 (en) | Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access | |
US8839460B2 (en) | Method for securely communicating information about the location of a compromised computing device | |
Sundareswaran et al. | Ensuring distributed accountability for data sharing in the cloud | |
CN102368257B (zh) | 动态内容中的跨站点脚本阻止方法 | |
Bugliesi et al. | CookiExt: Patching the browser against session hijacking attacks | |
CN101860540B (zh) | 一种识别网站服务合法性的方法及装置 | |
TWI424726B (zh) | 消除中間人電腦駭客技術之方法及系統 | |
CN108959990B (zh) | 一种二维码的验证方法及装置 | |
GB2456742A (en) | Determining trust levels for data sources | |
KR101452299B1 (ko) | 무결성이 보장되는 프로그램 코드를 이용한 보안 방법 및 서버 | |
CN112311769A (zh) | 安全认证的方法、系统、电子设备及介质 | |
CN113395269B (zh) | 一种数据交互方法、装置 | |
CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
JP4921614B2 (ja) | 中間者によるコンピュータのハッキング技法を防止するための方法およびシステム | |
CN111931236A (zh) | 一种数据通信监控方法、系统及计算机可读存储介质 | |
CN110971589A (zh) | 一种文件管理方法 | |
CN104732400A (zh) | 一种基于二维码的商品真伪检测方法及其系统 | |
Maddipati | Implementation of Captcha as Graphical Passwords For Multi Security | |
Yin et al. | Redesigning qr code ecosystem with improved mobile security | |
CN113872925A (zh) | Ip地址的验证方法和装置 | |
Wong et al. | A web services security testing framework | |
CN116566723A (zh) | 一种局域网信息安全传输方法 | |
CN117640176A (zh) | 一种基于session和注解的安全加固系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20181126 Address after: American California Patentee after: Finnish blue company Address before: American New York Patentee before: International Business Machines Corp. |