CN105141647B - 一种检测Web应用的方法和系统 - Google Patents
一种检测Web应用的方法和系统 Download PDFInfo
- Publication number
- CN105141647B CN105141647B CN201410244361.0A CN201410244361A CN105141647B CN 105141647 B CN105141647 B CN 105141647B CN 201410244361 A CN201410244361 A CN 201410244361A CN 105141647 B CN105141647 B CN 105141647B
- Authority
- CN
- China
- Prior art keywords
- web
- web application
- loophole
- url
- application function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种检测Web应用的方法和系统。检测Web应用的方法包括以下过程中一个或多个。在过程101中,预分析Web应用。在该过程中,确定Web应用功能点相关信息和/或针对该Web应用的漏洞模板集合,漏洞模板是检测特定漏洞的脚本。在过程102中,分析Web应用功能点。在该过程中,从漏洞模板集合确定适用于该Web应用功能点的漏洞模板子集。在过程103中,分析和验证Web漏洞。在该过程中,由所述第二装置根据HTTP响应和/或监控信息分析和验证Web漏洞。
Description
技术领域
本发明涉及计算机网络技术,并且尤其涉及检测Web应用的方法和系统。
背景技术
为了提高Web应用的安全性,在Web应用测试阶段,通常会使用Web漏洞扫描器来对Web应用进行扫描,并对发现的漏洞进行修补。
通常,Web漏洞扫描器使用爬虫技术来根据Web页面的特征提交数据对Web应用进行模糊测试来分析Web页面存在的漏洞。然而,使用爬虫技术将可能导致部分Web页面被遗漏,例如当Web站点缺少指向Web页面的链接时,由于依赖链接,单独使用爬虫技术将遗漏该Web页面。另一方面,目前Web漏洞扫描器由于分析数据源单一而无法准确地识别漏洞。
发明内容
提供一种检测Web应用的方法,所述方法包括:
预分析所述Web应用的过程:
通过在Web服务器中设置的第一装置获取所述Web服务器中的Web应用基本信息,以及将该Web应用基本信息发送至所述第二装置,该Web应用基本信息包括Web应用文件目录结构、Web应用脚本语言类型,
通过独立于所述Web服务器设置的第二装置通过HTTP协议遍历所述Web服务器中的Web应用生成第一URL集合,
通过所述第二装置比较所述Web应用文件目录结构和所述第一URL集合生成第二URL集合,
通过所述第二装置根据所述第二URL集合确定Web应用功能点、该Web应用功能点涉及的Web应用功能点URL、该Web应用功能点源文件,其中,Web应用功能点指具有特定功能的Web应用接口,
通过所述第二装置根据所述Web应用基本信息确定漏洞模板集合,漏洞模板是检测特定漏洞的描述脚本。
提供一种检测Web应用的系统,包括:
在Web服务器中设置的第一装置和通过独立于所述Web服务器设置的第二装置,其中,
第一装置被配置为所述Web服务器中的Web应用基本信息,以及将该Web应用基本信息发送至所述第二装置,该Web应用基本信息包括Web应用文件目录结构、Web应用脚本语言类型,
第二装置被配置为通过HTTP协议遍历所述Web服务器中的Web应用生成第一URL集合,
所述第二装置被配置为比较所述Web应用文件目录结构和所述第一URL集合生成第二URL集合,
所述第二装置被配置为根据所述第二URL集合确定Web应用功能点、该Web应用功能点涉及的Web应用功能点URL、该Web应用功能点源文件,其中,Web应用功能点指具有特定功能的Web应用接口,
所述第二装置被配置为根据所述Web应用基本信息确定漏洞模板集合,漏洞模板是检测特定漏洞的描述脚本。
附图说明
在下文的描述中,参照附图描述本发明的一个或多个方面的实施例。这些实施例以充分的细节被描述以使得本领域技术人员能够实施本发明。可以这些具体细节的较少程度来实践各一个或多个实施例,可以各种形式来实施所概括的各个实施例,以及可以使用其他实施例并且可以在不偏离本发明的范围的情况下进行结构、逻辑和功能实施例的变化。各个实施例并不一定是相互排斥的,因为一些实施例的方面可以与一个或多个其他实施例的方面相结合以形成新的实施例。
图1是根据本发明一个方面的检测Web应用的方法的流程图。
图2是根据本发明一个方面的检测Web应用的系统的示意图。
具体实施方式
图1是根据本发明一个方面的检测Web应用的方法的流程图。如图所示,检测Web应用的方法包括以下过程中一个或多个。在过程101中,预分析Web应用。在该过程中,确定Web应用功能点相关信息和/或针对该Web应用的漏洞模板集合,漏洞模板是检测特定漏洞的脚本。在过程102中,分析Web应用功能点。在该过程中,从漏洞模板集合确定适用于该Web应用功能点的漏洞模板子集。在过程103中,分析和验证Web漏洞。在该过程中,由所述第二装置根据HTTP响应和/或监控信息分析和验证Web漏洞。
在一个实施例中,预分析Web应用包括:
通过在Web服务器中设置的第一装置获取所述Web服务器中的Web应用基本信息,以及将该Web应用基本信息发送至所述第二装置,该Web应用基本信息包括Web应用文件目录结构、Web应用脚本语言类型,在一个实例中,该Web应用基本信息还包括可识别的开源应用模块及其版本。
通过独立于所述Web服务器设置的第二装置通过HTTP协议遍历(例如,使用Web爬虫技术)所述Web服务器中的Web应用生成第一URL集合,
通过所述第二装置比较所述Web应用文件目录结构和所述第一URL集合生成第二URL集合,
通过所述第二装置根据所述第二URL集合确定Web应用功能点、该Web应用功能点涉及的Web应用功能点URL、该Web应用功能点源文件,其中,Web应用功能点指具有特定功能的Web应用接口,
通过所述第二装置根据所述Web应用基本信息确定漏洞模板集合,漏洞模板是检测特定漏洞的描述脚本。
这里,URL即统一资源定位符。作为示例,URL格式为:
protocol://hostname[:port]/path/[parameters][?query]#fragment
作为示例,一个Web应用功能点可以为:
protocol://hostname[:port]/path
在该实施例中,通过比较所述Web应用文件目录结构和所述第一URL集合可以补足第一URL集合得到第二URL集合。这是因为Web应用的URL集合和Web应用文件目录结构存在对应关系。
例如,一个Web应用的第一URL集合如下:
http://xssrat.sinaapp.com/main.php
http://xssrat.sinaapp.com/project.php?p_id=114
http://xssrat.sinaapp.com/project.php?p_id=113
http://xssrat.sinaapp.com/project.php?p_id=111
http://xssrat.sinaapp.com/module.php
http://xssrat.sinaapp.com/user.php
该Web应用的文件目录结构如下:
J:\workspace\1\main.php
J:\workspace\1\project.php
J:\workspace\1\module.php
J:\workspace\1\user.php
J:\workspace\1\users.php
J:\workspace\1\include\foot.php
J:\workspace\1\include\head.php
通过比较所述Web应用文件目录结构和所述第一URL集合可知通过例如爬虫技术获取的第一URL集合是不完整的,因此可以将以下URL补进第一URL集合得到第二URL集合:
http://xssrat.sinaapp.com/user.sphp
http://xssrat.sinaapp.com/include/foot.php
http://xssrat.sinaapp.com/include/head.php
在该实施例中,个Web应用功能点可以涉及多个Web应用功能点URL并且涉及一个或多个Web功能点源文件。例如一个Web应用功能点为:
http://xssrat.sinaapp.com/project.php
其涉及多个Web应用功能点URL为:
http://xssrat.sinaapp.com/project.php?p_id=114
http://xssrat.sinaapp.com/project.php?p_id=113
http://xssrat.sinaapp.com/project.php?p_id=111
其Web功能点源文件为:
J:\workspace\1\project.php
Web功能点源文件指Web应用中服务端的多个源码文件(例如,JSP、PHP、ASPX等类型的源码文件)。这些Web功能点源文件共同构建成WEB应用功能点供用户使用。
如上所述,通过所述第二装置根据所述Web应用基本信息确定漏洞模板集合。在检测时,第二装置可以根据描述脚本结合单个URL对Web进行漏洞扫描。漏洞模板集合可以来自保存在第二装置中的漏洞模板库。本领域技术人员可以理解的是,可以根据特定Web应用的基本信息(例如,Web应用文件目录结构,Web应用脚本语言类型,可识别的开源应用模块及其版本)对Web应用进行分类和定性,以判断该Web应用需要检查哪些漏洞,以及从漏洞模板库中抽取需要使用的漏洞模板,形成针对该Web应用的漏洞模板集合。
举例来说,根据Web应用的基本信息,判断该Web应用使用Apache Tomcat 中间件、Java EE+JSP、Struts 2 开发框架。那么,可以漏洞模板库中抽取针对该Web应用的漏洞模板,诸如Apache Tomcat 漏洞检查模板、Stuts2 漏洞检查模板、Xss漏洞检查模板等。
在一个实施例中,对一个Web应用功能点的分析包括以下过程:
通过所述第一装置根据指令对所述Web应用功能点的源文件进行代码安全分析明得到关于该Web应用功能点的明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,
通过所述第二装置根据关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,从漏洞模板集合确定适用于该Web应用功能点的漏洞模板子集。例如,对于代码安全分析结果中可能存在的漏洞,加载对应的漏洞模板,对于代码安全分析结果中明确存在的漏洞,加载对应的漏洞模板,并加载攻击载荷。
代码安全分析包括类型检查、风格检查、程序理解、属性检查、Bug查找、安全审查中的一个或多个。其中,类型检查主要分析静态代码中类型转换不当导致的安全问题。风格检查主要通过一定的规则检查程序中的空格、命名、否决函数、注释、程序机构等,发现影响代码可读性、可维护性的问题。程序理解根据代码理解程序的运行逻辑以发现逻辑性的安全问题。属性检查用于检查程序中临时性安全属性。临时性安全属性规定了一系列有序的事件,在程序中绝对不能发生这些事件。比如内存泄露、资源的不有效释放等问题。BUG查找用于找出程序以程序员设想之外的方式运转的一些地方,来查找代码中通常存在Bug的地方。安全审查通过检查程序中的关键函数及上下文,综合利用属性检查和BUG查找两种方法,发现可能存在的安全问题。参考《Secure Programming with Static Analysis》Addison-Wesley. 2007. ISBN 978-0321424778。本领域技术人员能够通过参考《SecureProgramming with Static Analysis》完成上述代码安全分析过程。《Secure Programmingwith Static Analysis》通过引用并入本文。
例如,示例性地,本领域技术人员能够理解可以通过明显的语义判断漏洞的存在与否。
作为示例,对于PHP文件user.php如下所示的基于mysqli的使用了预编译参数进行数据库查询的操作是不存在SQL注入漏洞的:
“…$query = "select * from user where username = ?";
$stmt = $this->mysqli->prepare($query);
$stmt -> bind_param('s',$username)…”
然而以下通过字符串拼接的方式则明显存在SQL注入漏洞的,并且可根据语义生成攻击的攻击载荷。
“…$query = "select * from user where username = ".$username;
$stmt = $this->mysqli->prepare($query)…”
本领域技术人员能够理解可综合根据风格检查、属性检查等方法识别SQL注入漏洞,从而判断Web应用功能点(http://xssrat.sinaapp.com/user.php)是否存在SQL注入漏洞。
本领域技术人员能够理解有些漏洞即使是通过多种代码静态分析,也只能判断为可能存在,因此,代码安全分析的结果包括:明确不可能存在的漏洞,可能存在的漏洞,明确存在的漏洞及相应的攻击载荷。攻击载荷指的是一段特殊的代码,是可植入目标系统运行,并控制目标行为的代码。假设上述示例中的http://xssrat.sinaapp.com/user.php的username字段存在明显的SQL注入漏洞,则一个测试用攻击URL为:
http://xssrat.sinaapp.com/user.php?username=admin’ union selectdatabase(),version() --
其中攻击载荷则为
username=admin’ union select database(),version() --
通过发送一系列的上述攻击载荷,可以根据HTTP响应结果获取到Web应用中的数据库信息。
在一个实施例中,对该一个Web应用功能点的检测包括以下过程:
通过所述第二装置,根据该Web应用功能点涉及的Web应用功能点URL和该Web应用功能点的漏洞模板子集生成作为攻击载荷的HTTP请求,并向所述Web应用发送该HTTP请求,
由所述第二装置接收该HTTP请求的HTTP响应,并根据该HTTP响应分析和验证Web漏洞。
在本发明的实施例中,漏洞模板为检测某个特定漏洞的描述脚本,根据实现方式不同,它可以例如是python语言脚本、XML语言脚本等等。漏洞模板分为检测部分和验证部分,检测部分负责生成特定的报文,发送至Web应用,验证部分根据Web应用的返回值和/或监控信息来验证漏洞是否存在。
在一个实施例中,所述方法包括:
通过所述第一装置实时监控Web服务器日志、Web服务器资源状况、来自网络的SQL查询语句得到监控信息,
在一个Web应用功能点的检测的过程包括:
由所述第二装置接收该HTTP请求的HTTP响应,
由所述第二装置从所述第一装置接收监控信息,
由所述第二装置根据该HTTP响应和该监控信息分析和验证Web漏洞。
在一个示例中,Web应用的监控信息包括Web应用CPU占用率、Web应用占用内存大小、Web应用所属Web服务器中间件日志、Web应用日志、SQL查询语句。
图2是根据本发明一个方面的检测Web应用的系统的示意图。如图所示,检测Web应用的系统可以包括第一装置和第二装置。第一装置被设置在Web服务器中,第二装置独立于Web服务器被设置。第一装置、第二装置以及Web服务器中的Web应用互相通过有线或者无线链路连接。
在一个实施例中,第一装置被配置为所述Web服务器中的Web应用基本信息,以及将该Web应用基本信息发送至所述第二装置,该Web应用基本信息包括Web应用文件目录结构、Web应用脚本语言类型,第二装置被配置为通过HTTP协议遍历所述Web服务器中的Web应用生成第一URL集合,所述第二装置被配置为比较所述Web应用文件目录结构和所述第一URL集合生成第二URL集合,所述第二装置被配置为根据所述第二URL集合确定Web应用功能点、该Web应用功能点涉及的Web应用功能点URL、该Web应用功能点源文件,其中,Web应用功能点指具有特定功能的Web应用接口,所述第二装置被配置为根据所述Web应用基本信息确定漏洞模板集合,漏洞模板是检测特定漏洞的描述脚本。
在一个实施例中,所述第一装置被配置为根据指令对所述Web应用功能点的源文件进行代码安全分析明得到关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,所述第二装置被配置为根据关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,从漏洞模板集合确定适用于该Web应用功能点的漏洞模板子集。
在一个实施例中,所述第二装置被配置为根据该Web应用功能点涉及的Web应用功能点URL和该Web应用功能点的漏洞模板子集生成作为攻击载荷的HTTP请求,并向所述Web应用发送该HTTP请求,所述第二装置被配置为接收该HTTP请求的HTTP响应,并根据该HTTP响应分析和验证Web漏洞。
在一个实施例中,所述第一装置被配置为实时监控Web服务器日志、Web服务器资源状况、来自网络的SQL查询语句得到监控信息,所述第二装置被配置为接收该HTTP请求的HTTP响应,所述第二装置被配置为从所述第一装置接收监控信息,所述第二装置被配置为根据该HTTP响应和该监控信息分析和验证Web漏洞。
Claims (8)
1.一种检测Web应用的方法,其特征在于,所述方法包括:
预分析所述Web应用的过程:
通过在Web服务器中设置的第一装置获取所述Web服务器中的Web应用基本信息,以及将该Web应用基本信息发送至第二装置,该Web应用基本信息包括Web应用文件目录结构、Web应用脚本语言类型,
通过独立于所述Web服务器设置的第二装置通过HTTP协议遍历所述Web服务器中的Web应用生成第一URL集合,
通过所述第二装置比较所述Web应用文件目录结构和所述第一URL集合生成第二URL集合,
通过所述第二装置根据所述第二URL集合确定Web应用功能点、该Web应用功能点涉及的Web应用功能点URL、该Web应用功能点源文件,其中,Web应用功能点指具有特定功能的Web应用接口,
通过所述第二装置根据所述Web应用基本信息确定漏洞模板集合,漏洞模板是检测特定漏洞的描述脚本。
2.如权利要求1所述的方法,其特征在于,对一个Web应用功能点的分析包括以下过程:
通过所述第一装置根据指令对所述Web应用功能点的源文件进行代码安全分析得到关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,
通过所述第二装置根据关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,从漏洞模板集合确定适用于该Web应用功能点的漏洞模板子集。
3.如权利要求2所述的方法,其特征在于,对该一个Web应用功能点的检测包括以下过程:
通过所述第二装置,根据该Web应用功能点涉及的Web应用功能点URL和该Web应用功能点的漏洞模板子集生成作为攻击载荷的HTTP请求,并向所述Web应用发送该HTTP请求,
由所述第二装置接收该HTTP请求的HTTP响应,并根据该HTTP响应分析和验证Web漏洞。
4.如权利要求3所述的方法,其特征在于,所述方法包括:
通过所述第一装置实时监控Web服务器日志、Web服务器资源状况、来自网络的SQL查询语句得到监控信息,
在一个Web应用功能点的检测的过程包括:
由所述第二装置接收该HTTP请求的HTTP响应,
由所述第二装置从所述第一装置接收监控信息,
由所述第二装置根据该HTTP响应和该监控信息分析和验证Web漏洞。
5.一种检测Web应用的系统,其特征在于,包括:
在Web服务器中设置的第一装置和通过独立于所述Web服务器设置的第二装置,其中,
第一装置被配置为所述Web服务器中的Web应用基本信息,以及将该Web应用基本信息发送至所述第二装置,该Web应用基本信息包括Web应用文件目录结构、Web应用脚本语言类型,
第二装置被配置为通过HTTP协议遍历所述Web服务器中的Web应用生成第一URL集合,
所述第二装置被配置为比较所述Web应用文件目录结构和所述第一URL集合生成第二URL集合,
所述第二装置被配置为根据所述第二URL集合确定Web应用功能点、该Web应用功能点涉及的Web应用功能点URL、该Web应用功能点源文件,其中,Web应用功能点指具有特定功能的Web应用接口,
所述第二装置被配置为根据所述Web应用基本信息确定漏洞模板集合,漏洞模板是检测特定漏洞的描述脚本。
6.如权利要求5所述的系统,其特征在于,
所述第一装置被配置为根据指令对所述Web应用功能点的源文件进行代码安全分析得到关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,
所述第二装置被配置为根据关于该Web应用功能点明确不可能存在的漏洞、可能存在的漏洞、明确存在的漏洞、对应于明确存在的漏洞的攻击载荷,从漏洞模板集合确定适用于该Web应用功能点的漏洞模板子集。
7.如权利要求6所述的系统,其特征在于,
所述第二装置被配置为根据该Web应用功能点涉及的Web应用功能点URL和该Web应用功能点的漏洞模板子集生成作为攻击载荷的HTTP请求,并向所述Web应用发送该HTTP请求,
所述第二装置被配置为接收该HTTP请求的HTTP响应,并根据该HTTP响应分析和验证Web漏洞。
8.如权利要求7所述的系统,其特征在于,
所述第一装置被配置为实时监控Web服务器日志、Web服务器资源状况、来自网络的SQL查询语句得到监控信息,
所述第二装置被配置为接收该HTTP请求的HTTP响应,
所述第二装置被配置为从所述第一装置接收监控信息,
所述第二装置被配置为根据该HTTP响应和该监控信息分析和验证Web漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410244361.0A CN105141647B (zh) | 2014-06-04 | 2014-06-04 | 一种检测Web应用的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410244361.0A CN105141647B (zh) | 2014-06-04 | 2014-06-04 | 一种检测Web应用的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105141647A CN105141647A (zh) | 2015-12-09 |
| CN105141647B true CN105141647B (zh) | 2018-09-21 |
Family
ID=54726853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410244361.0A Active CN105141647B (zh) | 2014-06-04 | 2014-06-04 | 一种检测Web应用的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105141647B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3458953B1 (en) * | 2016-05-15 | 2024-09-25 | Software Integrity Group, Inc. | Systems and methods for model-based analysis of software |
| CN106156634B (zh) * | 2016-07-13 | 2019-06-14 | 成都知道创宇信息技术有限公司 | 一种识别Web程序漏洞的方法 |
| CN107122667B (zh) * | 2017-03-08 | 2020-02-14 | 中国科学院信息工程研究所 | 一种应用漏洞检测方法及系统 |
| CN106951242B (zh) * | 2017-03-10 | 2020-12-04 | 北京白帽汇科技有限公司 | 一种漏洞验证程序的生成方法、设备及计算设备 |
| CN107832617B (zh) * | 2017-09-15 | 2021-03-30 | 北京知道未来信息技术有限公司 | 一种php代码执行漏洞的黑盒检测方法及装置 |
| CN107846407A (zh) * | 2017-11-10 | 2018-03-27 | 郑州云海信息技术有限公司 | 一种批量检测ssrf漏洞的方法及系统 |
| CN107896219B (zh) * | 2017-11-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种网站脆弱性的检测方法、系统及相关装置 |
| CN108683554A (zh) * | 2018-04-04 | 2018-10-19 | 国家计算机网络与信息安全管理中心 | 一种模糊测试效果的多维度异常监测方法 |
| CN109067717B (zh) * | 2018-07-20 | 2021-06-11 | 西安四叶草信息技术有限公司 | 一种检测sql注入漏洞的方法及装置 |
| CN109302390A (zh) * | 2018-09-21 | 2019-02-01 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
| CN110324311B (zh) * | 2019-05-21 | 2022-05-17 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
| CN111523119B (zh) * | 2020-04-26 | 2023-05-05 | 南开大学 | 漏洞检测的方法和装置、电子设备及计算机可读存储介质 |
| CN111898012A (zh) * | 2020-07-23 | 2020-11-06 | 昆山领创信息科技有限公司 | 一种web应用自动抓包方法 |
| CN112039900B (zh) * | 2020-09-02 | 2022-08-26 | 平安科技(深圳)有限公司 | 网络安全风险检测方法、系统、计算机设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN103077348A (zh) * | 2012-12-28 | 2013-05-01 | 华为技术有限公司 | 一种Web站点漏洞扫描方法和装置 |
| CN103530565A (zh) * | 2013-10-21 | 2014-01-22 | 北京锐安科技有限公司 | 基于web的网站程序漏洞扫描方法及扫描装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025B (zh) * | 2009-07-23 | 2016-02-03 | 北京神州绿盟信息安全科技股份有限公司 | Xss检测方法和设备 |
-
2014
- 2014-06-04 CN CN201410244361.0A patent/CN105141647B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
| CN103077348A (zh) * | 2012-12-28 | 2013-05-01 | 华为技术有限公司 | 一种Web站点漏洞扫描方法和装置 |
| CN103530565A (zh) * | 2013-10-21 | 2014-01-22 | 北京锐安科技有限公司 | 基于web的网站程序漏洞扫描方法及扫描装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105141647A (zh) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105141647B (zh) | 一种检测Web应用的方法和系统 | |
| US8935794B2 (en) | Verifying application security vulnerabilities | |
| Antunes et al. | Comparing the effectiveness of penetration testing and static code analysis on the detection of sql injection vulnerabilities in web services | |
| Antunes et al. | Effective detection of SQL/XPath injection vulnerabilities in web services | |
| CN106874768B (zh) | 渗透测试的方法及装置 | |
| US8839348B2 (en) | Effective testing of authorization logic of web components which utilize claims-based authorization | |
| US8635602B2 (en) | Verification of information-flow downgraders | |
| Rocha et al. | Etssdetector: A tool to automatically detect cross-site scripting vulnerabilities | |
| US11888885B1 (en) | Automated security analysis of software libraries | |
| CN111259399B (zh) | 用于web应用的动态检测漏洞攻击的方法及系统 | |
| CN106294162B (zh) | 一种基于数据挖掘的第三方构件安全性测试方法 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| De Lucia et al. | Behavioral pattern identification through visual language parsing and code instrumentation | |
| CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
| Brito et al. | Study of javascript static analysis tools for vulnerability detection in node. js packages | |
| Sultana et al. | A study examining relationships between micro patterns and security vulnerabilities | |
| Antunes et al. | Evaluating and improving penetration testing in web services | |
| CN118036009A (zh) | 处理安全漏洞的方法、装置及电子设备 | |
| JP2010267266A (ja) | 試験支援装置および試験支援方法 | |
| Nashaat et al. | Detecting security vulnerabilities in object-oriented php programs | |
| CN115270139B (zh) | 一种IoT设备网络服务自动化漏洞分析方法及系统 | |
| JP2013030017A (ja) | テストプログラム生成方法、テストプログラム生成装置、及びテストプログラム生成プログラム | |
| CN116361793A (zh) | 代码检测方法、装置、电子设备及存储介质 | |
| CN114253847A (zh) | 一种程序安全测试方法、装置、设备及存储介质 | |
| Mihancea et al. | Jmodex: Model extraction for verifying security properties of web applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |