CN106603572A - 一种基于探针的漏洞检测方法及其装置 - Google Patents
一种基于探针的漏洞检测方法及其装置 Download PDFInfo
- Publication number
- CN106603572A CN106603572A CN201710028735.9A CN201710028735A CN106603572A CN 106603572 A CN106603572 A CN 106603572A CN 201710028735 A CN201710028735 A CN 201710028735A CN 106603572 A CN106603572 A CN 106603572A
- Authority
- CN
- China
- Prior art keywords
- request
- output point
- detection
- probe
- target output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于探针的漏洞检测方法及装置,其中,该方法包括:接收客户端所发送的用户请求,用户请求中包括至少一个参数;对每一个参数构造检测探针并发送带有检测探针的第一请求至Web服务器;接收Web服务器针对第一请求的响应结果,并根据响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;根据目标输出点的上下文信息构造目标特征值请求。本发明实施例引入检测探针以先获取目标输出点以及目标输出点的上下文信息,从而针对用户请求的每一个参数只需要构造一个带有特征值的请求,进而极大地减少了XSS检测工具中的测试用例数目,提高了检测效率。
Description
技术领域
本发明涉及Web应用测试技术领域,尤其涉及一种基于探针的漏洞检测方法及其装置。
背景技术
近年来,随着Web应用的广泛使用,Web安全问题也日益突出。其中,XSS(Cross-site scripting,跨站脚本攻击)漏洞已成为Web应用程序中最常见的漏洞之一,因此,对XSS漏洞的自动化检测也成为了一项重要的技术。
目前,一般采用XSS检测工具来检测XSS漏洞,其具体过程如下:(1)XSS检测工具捕获客户端(浏览器)所发送的http请求;(2)XSS检测工具根据http请求中的参数构造带有特征值的请求;(3)XSS检测工具将带有特征值的请求发送至Web服务器,Web服务器响应该请求;(4)XSS检测工具在该请求响应的页面源代码中检测特征值,若在某处检测到特征值,则认为此处为一个XSS漏洞。
但是,对于一个http请求,并不是每个输入参数都能在响应中产生输出,因此传统的、基于特征值检测技术构造出的测试用例(即带有特征值的请求)有很大一部分都是无效的。同时传统的XSS检测工具由于对可能的XSS输出点的上下文信息不了解,因此针对每一个可能的输出点,都需要构造多种特征值以确保能够成功注入。故,以上这两点都造成了传统的XSS检测工具需要大量的测试用例,检测效率很低。
发明内容
本发明实施例所要解决的技术问题是:提供一种基于探针的漏洞检测方法,以提高检测效率。
为解决上述技术问题,本发明实施例采用的技术方案如下:
提供一种基于探针的漏洞检测方法,包括:
接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;
对每一个所述参数构造检测探针并发送带有所述检测探针的第一请求至Web服务器,且所述检测探针具有唯一性;
接收所述Web服务器针对所述第一请求的响应结果,并根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;
根据所述目标输出点的上下文信息构造目标特征值请求。
具体地,所述响应结果包括页面源代码,根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息具体包括:
检测所述页面源代码中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
可选地,所述响应结果包括页面源代码,根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息具体包括:
根据虚拟解析器对所述页面源代码进行解析以得到解析界面;
检测所述解析界面中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
具体地,虚拟解析器即利用虚拟解析技术,对http请求响应的源代码进行解析,可以获得Web请求响应最终生成的HTML结构,从而可以解决传统XSS检测工具不能够发现通过脚本动态页面生成元素的XSS漏洞的问题;其中,动态页面指的是执行JavaScript脚本和CSS脚本后的页面,其相对于静态页面而言的,静态页面是指未执行JavaScript脚本和CSS脚本的页面。
在本发明实施例的一优选实施方式中,构造目标特征值请求之后,所述方法还包括:
发送所述目标特征值请求至所述Web服务器;
接收所述Web服务器针对所述目标特征值请求的响应结果;
对所述目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。
具体地,该用户请求为http请求。
相应地,本发明实施例还提供了一种基于探针的漏洞检测装置,包括:
接收模块,用于接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;
构造模块,用于对每一个所述参数构造检测探针并发送带有所述检测探针的第一请求至Web服务器,且所述检测探针具有唯一性;
所述接收模块还用于接收所述Web服务器针对所述第一请求的响应结果;
获取模块,用于根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;
所述构造模块还用于根据所述目标输出点的上下文信息构造目标特征值请求。
具体地,所述响应结果包括页面源代码,所述获取模块具体用于:
检测所述页面源代码中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
可选地,所述响应结果包括页面源代码,所述获取模块具体用于:
根据虚拟解析器对所述页面源代码进行解析以得到解析界面;
检测所述解析界面中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
在本发明实施例的一优选实施方式中,所述接收模块还用于:
发送所述目标特征值请求至所述Web服务器;
接收所述Web服务器针对所述目标特征值请求的响应结果;
所述检测装置还包括:
检测模块,用于对所述目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。
具体地,该用户请求为http请求。
与现有技术相比,本发明实施例中基于探针的漏洞检测方法及其装置,先对客户端所发送的用户请求中的参数构造检测探针,再发送带有检测探针的第一请求至Web服务器,Web服务器对其响应以形成响应结果,之后,根据该响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息,最后根据目标输出点的上下文信息构造目标特征值请求。即,本发明实施例引入检测探针以先获取目标输出点以及目标输出点的上下文信息,从而针对用户请求的每一个参数只需要构造一个带有特征值的请求,进而极大地减少了XSS检测工具中的测试用例数目,提高了检测效率。
通过以下的描述并结合附图,本发明将变得更加清晰,这些附图用于解释本发明的实施例。
附图说明
图1为本发明基于探针的漏洞检测方法第一实施例的流程图。
图2为本发明基于探针的漏洞检测方法第二实施例的流程图。
图3为发明基于探针的漏洞检测装置第一实施例的结构图。
图4为发明基于探针的漏洞检测装置第二实施例的结构图。
具体实施方式
现在参考附图描述本发明的实施例,附图中类似的元件标号代表类似的元件。
请参考图1,是本发明第一实施例的基于探针的漏洞检测方法流程图。如图所示,该方法可以包括如下步骤:
S101,接收客户端所发送的用户请求,该用户请求中包括至少一个参数。
具体地,客户端(浏览器)先将XSS检测工具(即下文中所描述的漏洞检测装置)设置为代理,以用于后续代理客户端向Web服务器发送请求。之后,客户端向XSS检测工具发送用户请求(http请求),XSS检测工具接收该http请求、保存该请求的信息。进一步地,XSS检测工具将http请求发送至Web服务器。
S102,对每一个参数构造检测探针并发送带有检测探针的第一请求至Web服务器,且检测探针具有唯一性。
需要说明的是,检测探针的本质也是一种检测特征值,它的构造符合以下几条规则:(1)全局唯一性;(2)具有一定规则,以便于发现存储型的XSS问题;(3)尽量避免web应用的参数输入校验,减少与检测的失败率。例如,可以采用数字字符作为探针,如“99993679123”,其中“9999”是探针前缀,表示这是个探针,“3679123”是随机数,避免探针值之间产生冲突。
具体地,XSS检测工具对用户请求中的每一个参数都构造一个唯一的检测探针,并发送带有检测探针的第一请求至Web服务器。例如,用户请求中有5个参数,则分别为其构造的检测探针可表示为:检测探针1、检测探针2、检测探针3、检测探针4及检测探针5,且检测探针的表现形式如前所述。
S103,接收Web服务器针对第一请求的响应结果,并根据响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息。
具体地,Web服务器接收到带有检测探针的第一请求之后,将会对其做出响应,并将响应结果返回至XSS检测工具。进一步地,XSS检测工具会根据该响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息。该部分的内容将会在下一实施例中进行详述,故在此不再赘述。
S104,根据目标输出点的上下文信息构造目标特征值请求。
具体地,在获取到目标注入参数、目标输出点以及目标输出点的上下文信息之后,XSS检测工具便可根据目标输出点的上下文信息构造目标特征值请求。
需要说明的是,从以上描述可以看出,本发明实施例中,检测探针的作用在于以最少的测试用例获取以下信息:(1)可能的XSS注入参数(即目标注入参数);(2)可能的XSS输出点(即目标输出点);(3)可能的XSS输出点(即目标输出点)的上下文信息。在获取上述信息后,从而可以有针对性地、精确地构造出带有目标特征值的请求,从而为后续的XSS漏洞检测提供准确性的保障,且提高检测效率。
本发明实施例中,先对客户端所发送的用户请求中的参数构造检测探针,再发送带有检测探针的第一请求至Web服务器,Web服务器对其响应以形成响应结果,之后,根据该响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息,最后根据目标输出点的上下文信息构造目标特征值请求。即,本发明实施例引入检测探针以先获取目标输出点以及目标输出点的上下文信息,从而针对用户请求的每一个参数只需要构造一个带有特征值的请求,进而极大地减少了XSS检测工具中的测试用例数目,提高了检测效率。
请参考图2,是本发明第二实施例的基于探针的漏洞检测方法流程图。如图所示,该方法可以包括如下步骤:
S201,接收客户端所发送的用户请求,该用户请求中包括至少一个参数。
具体地,客户端(浏览器)先将XSS检测工具设置为代理,以用于后续代理客户端向Web服务器发送请求。之后,客户端向XSS检测工具发送用户请求(http请求),XSS检测工具接收该http请求、保存该请求的信息。进一步地,XSS检测工具将http请求发送至Web服务器。
S202,对每一个参数构造检测探针并发送带有检测探针的第一请求至Web服务器,且检测探针具有唯一性。
具体地,XSS检测工具对用户请求中的每一个参数都构造一个唯一的检测探针,并发送带有检测探针的第一请求至Web服务器。例如,用户请求中有5个参数,则分别为其构造的检测探针可表示为:检测探针1、检测探针2、检测探针3、检测探针4及检测探针5,且检测探针的表现形式如前所述。
S203,接收Web服务器针对第一请求的响应结果,并根据响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息。
具体地,在本实施例中,响应结果包括页面源代码。Web服务器接收到带有检测探针的第一请求之后,将会对其做出响应,并将响应结果返回至XSS检测工具。进一步地,XSS检测工具会对页面源代码进行分析。如果在页面源代码中检测到检测探针,则标记此处为可能的XSS输出点(即确定检测探针所在的位置为目标输出点),同时标记该注入的参数为可能注入的参数(即确定检测探针所对应的参数为目标注入参数),并获取目标输出点的上下文信息。
进一步地,在发明实施例的其它可选方式中,步骤S203具体包括:(1)XSS检测工具根据虚拟解析器对页面源代码进行解析以得到解析界面;(2)XSS检测工具会对解析界面进行分析。如果在页面源代码中检测到检测探针,则标记此处为可能的XSS输出点(即确定检测探针所在的位置为目标输出点),同时标记该注入的参数为可能注入的参数(即确定检测探针所对应的参数为目标注入参数),并获取目标输出点的上下文信息。
S204,根据目标输出点的上下文信息构造目标特征值请求。
具体地,在获取到目标注入参数、目标输出点以及目标输出点的上下文信息之后,XSS检测工具便可根据目标输出点的上下文信息构造目标特征值请求。
S205,发送目标特征值请求至Web服务器。
S206,接收Web服务器针对目标特征值请求的响应结果。
S207,对目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。
具体地,XSS检测工具对Web服务器针对目标特征值请求的响应结果进行特征值检测,如果检测到了特征值,则可以判断所检测到的特征值所在的位置即为一个XSS漏洞。
本发明实施例中,先对客户端所发送的用户请求中的参数构造检测探针,并根据检测探针及Web服务器的响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息,之后根据目标输出点的上下文信息构造目标特征值请求,最后根据Web服务器针对目标特征值请求的响应结果进行特征值检测,从而得到XSS漏洞。即,本发明实施例引入检测探针以先获取目标输出点以及目标输出点的上下文信息,从而针对用户请求的每一个参数只需要构造一个带有特征值的请求,进而极大地减少了XSS检测工具中的测试用例数目,提高了检测效率。进一步地,为后续XSS漏洞检测的准确性提供了保障,也提高了检测效率。
举例来说,以一个http请求包含20个参数为例,如果对于每个参数需要注入100种特征值,则传统的XSS检测工具对这一个请求的检测就需要一共构造20*100=2000个请求。而本发明对于每个参数,只需要用检测探针构造一个请求,即可发现该参数是否为XSS可能的注入点,也可以定位到该参数对应到响应页面的输出点。进一步地,假设这20个参数中有5个参数经过检测探针发现为XSS可能的注入参数,由于定位出了这5个参数对应的页面输出点,可以根据具体输出点的上下文,精确的构造注入特征值,因此,对于每个可能的注入参数,都只需要构造一个请求即可。通过使用本方法,一共只需要20+5=25个请求即可完成XSS的检测,相比传统方法的2000个测试请求,测试效率提高了80倍。
此外,本发明实施例所提供的方法适用范围也很广,既可以使用在传统的基于http响应源代码的XSS检测方法中,也可以使用在基于类浏览器虚拟解析的XSS检测方法中。
请参考图3,是本发明第一实施例的基于探针的漏洞检测装置的结构图。如图所示,该漏洞检测装置可以包括:
接收模块10,用于接收客户端所发送的用户请求,该用户请求中包括至少一个参数;
构造模块11,用于对每一个参数构造检测探针并发送带有检测探针的第一请求至Web服务器,且检测探针具有唯一性;
该接收模块10还用于接收Web服务器针对第一请求的响应结果;
获取模块12,用于根据响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息;
该构造模块11还用于根据目标输出点的上下文信息构造目标特征值请求。
从以上描述可以看出,本实施例的基于探针的漏洞检测装置,先通过接收模块10接收客户端所发送的用户请求,再通过构造模块11对用户请求中的参数构造检测探针并发送带有检测探针的第一请求至Web服务器,接着通过接收模块10接收Web服务器返回的响应结果,之后,通过获取模块12根据该响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息,最后通过构造模块11根据目标输出点的上下文信息构造目标特征值请求。即,本发明实施例引入检测探针以先获取目标输出点以及目标输出点的上下文信息,从而针对用户请求的每一个参数只需要构造一个带有特征值的请求,进而极大地减少了XSS检测工具中的测试用例数目,提高了检测效率。
请参考图4,是本发明第二实施例的基于探针的漏洞检测装置的结构图。如图所示,该漏洞检测装置可以包括:接收模块20、构造模块21、获取模块22及检测模块23。
其中,接收模块20、解析模块21、检测模块22除了具备第一实施例中对应模块所具有的功能外,获取模块22具体用于:
检测页面源代码中是否存在检测探针;
若存在,则确定检测探针所在的位置为目标输出点,同时确定检测探针所对应的参数为目标注入参数,并获取目标输出点的上下文信息。
可选地,获取模块22具体用于:
根据虚拟解析器对页面源代码进行解析以得到解析界面;
检测解析界面中是否存在检测探针;
若存在,则确定检测探针所在的位置为目标输出点,同时确定检测探针所对应的参数为目标注入参数,并获取目标输出点的上下文信息。
进一步地,接收模块20还用于:
发送目标特征值请求至Web服务器;
接收Web服务器针对目标特征值请求的响应结果。
该检测模块23用于对目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。
从以上描述可以看出,本发明实施例中,先通过接收模块20接收客户端所发送的用户请求,再通过构造模块21对用户请求中的参数构造检测探针并发送带有检测探针的第一请求至Web服务器,接着通过接收模块20接收Web服务器返回的响应结果,之后,通过获取模块22根据该响应结果获取目标注入参数、目标输出点以及目标输出点的上下文信息,并通过构造模块22根据目标输出点的上下文信息构造目标特征值请求,最后通过检测模块23根据Web服务器针对目标特征值请求的响应结果进行特征值检测,从而得到XSS漏洞。即,本发明实施例引入检测探针以先获取目标输出点以及目标输出点的上下文信息,从而针对用户请求的每一个参数只需要构造一个带有特征值的请求,进而极大地减少了XSS检测工具中的测试用例数目,提高了检测效率。进一步地,为后续XSS漏洞检测的准确性提供了保障,也提高了检测效率。
需要说明的是,图3及图4所示的装置部分的具体工作流程已在前述方法部分做了详述,故在此不再赘述。
以上结合最佳实施例对本发明进行了描述,但本发明并不局限于以上揭示的实施例,而应当涵盖各种根据本发明的本质进行的修改、等效组合。
Claims (10)
1.一种基于探针的漏洞检测方法,其特征在于,包括:
接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;
对每一个所述参数构造检测探针并发送带有所述检测探针的第一请求至Web服务器,且所述检测探针具有唯一性;
接收所述Web服务器针对所述第一请求的响应结果,并根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;
根据所述目标输出点的上下文信息构造目标特征值请求。
2.如权利要求1所述的基于探针的漏洞检测方法,其特征在于,所述响应结果包括页面源代码,根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息具体包括:
检测所述页面源代码中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
3.如权利要求1所述的基于探针的漏洞检测方法,其特征在于,所述响应结果包括页面源代码,根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息具体包括:
根据虚拟解析器对所述页面源代码进行解析以得到解析界面;
检测所述解析界面中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
4.如权利要求1-3任一项所述的基于探针的漏洞检测方法,其特征在于,构造目标特征值请求之后,所述方法还包括:
发送所述目标特征值请求至所述Web服务器;
接收所述Web服务器针对所述目标特征值请求的响应结果;
对所述目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。
5.如权利要求4所述的基于探针的漏洞检测方法,其特征在于,所述用户请求为http请求。
6.一种基于探针的漏洞检测装置,其特征在于,包括:
接收模块,用于接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;
构造模块,用于对每一个所述参数构造检测探针并发送带有所述检测探针的第一请求至Web服务器,且所述检测探针具有唯一性;
所述接收模块还用于接收所述Web服务器针对所述第一请求的响应结果;
获取模块,用于根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;
所述构造模块还用于根据所述目标输出点的上下文信息构造目标特征值请求。
7.如权利要求6所述的基于探针的漏洞检测装置,其特征在于,所述响应结果包括页面源代码,所述获取模块具体用于:
检测所述页面源代码中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
8.如权利要求6所述的基于探针的漏洞检测装置,其特征在于,所述响应结果包括页面源代码,所述获取模块具体用于:
根据虚拟解析器对所述页面源代码进行解析以得到解析界面;
检测所述解析界面中是否存在所述检测探针;
若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。
9.如权利要求6-8任一项所述的基于探针的漏洞检测装置,其特征在于,所述接收模块还用于:
发送所述目标特征值请求至所述Web服务器;
接收所述Web服务器针对所述目标特征值请求的响应结果;
所述检测装置还包括:
检测模块,用于对所述目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。
10.如权利要求9所述的漏洞检测装置,其特征在于,所述用户请求为http请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710028735.9A CN106603572B (zh) | 2017-01-16 | 2017-01-16 | 一种基于探针的漏洞检测方法及其装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710028735.9A CN106603572B (zh) | 2017-01-16 | 2017-01-16 | 一种基于探针的漏洞检测方法及其装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106603572A true CN106603572A (zh) | 2017-04-26 |
CN106603572B CN106603572B (zh) | 2020-07-14 |
Family
ID=58585686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710028735.9A Active CN106603572B (zh) | 2017-01-16 | 2017-01-16 | 一种基于探针的漏洞检测方法及其装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106603572B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108830083A (zh) * | 2018-05-24 | 2018-11-16 | 东南大学 | 一种基于输出点语境的xss漏洞检测参数自动生成方法 |
CN110113311A (zh) * | 2019-03-05 | 2019-08-09 | 北京丁牛科技有限公司 | 跨站脚本攻击xss漏洞检测方法及装置 |
CN110826072A (zh) * | 2019-09-26 | 2020-02-21 | 深圳市云钜天成信息技术有限公司 | 一种基于探针机制检测Android设备APP漏洞的方法 |
CN112527691A (zh) * | 2021-02-18 | 2021-03-19 | 深圳开源互联网安全技术有限公司 | 程序安全检测防护方法、中间件系统及安全中间件系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7617489B2 (en) * | 2006-09-15 | 2009-11-10 | Ounce Labs, Inc. | Method and system for detecting interprocedural vulnerability by analysis of source code |
CN102141956A (zh) * | 2010-01-29 | 2011-08-03 | 国际商业机器公司 | 用于开发中的安全漏洞响应管理的方法和系统 |
CN101296087B (zh) * | 2007-04-23 | 2011-09-21 | Sap股份公司 | 用于防止跨站攻击的方法和系统 |
CN102664872A (zh) * | 2012-03-05 | 2012-09-12 | 星云融创(北京)科技有限公司 | 用于检测和防止对计算机网络中服务器攻击的系统和方法 |
CN103026684A (zh) * | 2010-07-22 | 2013-04-03 | 国际商业机器公司 | 跨站脚本攻击保护 |
US20130086686A1 (en) * | 2011-09-29 | 2013-04-04 | International Business Machines Corporation | Automated Detection of Flaws and Incompatibility Problems in Information Flow Downgraders |
CN104794396A (zh) * | 2014-01-16 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 跨站式脚本漏洞检测方法及装置 |
CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其系统 |
-
2017
- 2017-01-16 CN CN201710028735.9A patent/CN106603572B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7617489B2 (en) * | 2006-09-15 | 2009-11-10 | Ounce Labs, Inc. | Method and system for detecting interprocedural vulnerability by analysis of source code |
CN101296087B (zh) * | 2007-04-23 | 2011-09-21 | Sap股份公司 | 用于防止跨站攻击的方法和系统 |
CN102141956A (zh) * | 2010-01-29 | 2011-08-03 | 国际商业机器公司 | 用于开发中的安全漏洞响应管理的方法和系统 |
CN103026684A (zh) * | 2010-07-22 | 2013-04-03 | 国际商业机器公司 | 跨站脚本攻击保护 |
US20130086686A1 (en) * | 2011-09-29 | 2013-04-04 | International Business Machines Corporation | Automated Detection of Flaws and Incompatibility Problems in Information Flow Downgraders |
CN102664872A (zh) * | 2012-03-05 | 2012-09-12 | 星云融创(北京)科技有限公司 | 用于检测和防止对计算机网络中服务器攻击的系统和方法 |
CN104794396A (zh) * | 2014-01-16 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 跨站式脚本漏洞检测方法及装置 |
CN106126417A (zh) * | 2016-06-17 | 2016-11-16 | 深圳开源互联网安全技术有限公司 | 交互式应用程序安全测试方法及其系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108830083A (zh) * | 2018-05-24 | 2018-11-16 | 东南大学 | 一种基于输出点语境的xss漏洞检测参数自动生成方法 |
CN110113311A (zh) * | 2019-03-05 | 2019-08-09 | 北京丁牛科技有限公司 | 跨站脚本攻击xss漏洞检测方法及装置 |
CN110826072A (zh) * | 2019-09-26 | 2020-02-21 | 深圳市云钜天成信息技术有限公司 | 一种基于探针机制检测Android设备APP漏洞的方法 |
CN112527691A (zh) * | 2021-02-18 | 2021-03-19 | 深圳开源互联网安全技术有限公司 | 程序安全检测防护方法、中间件系统及安全中间件系统 |
CN112527691B (zh) * | 2021-02-18 | 2021-06-11 | 深圳开源互联网安全技术有限公司 | 程序安全检测防护方法、中间件系统及安全中间件系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106603572B (zh) | 2020-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106603572A (zh) | 一种基于探针的漏洞检测方法及其装置 | |
CN106909846A (zh) | 一种基于虚拟解析的漏洞检测方法及其装置 | |
JP5497173B2 (ja) | Xss検出方法および装置 | |
CN103984900B (zh) | Android应用漏洞检测方法及系统 | |
CN110324311A (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
US8745740B2 (en) | Apparatus and method for detecting malicious sites | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
CN106126417A (zh) | 交互式应用程序安全测试方法及其系统 | |
CN104537308B (zh) | 提供应用安全审计功能的系统及方法 | |
CN109145585B (zh) | 一种检测网站存在弱口令的方法及装置 | |
US7996818B1 (en) | Method for testing using client specified references | |
CN106682489A (zh) | 一种密码安全检测方法、密码安全提示方法及相应装置 | |
CN108667766B (zh) | 文件探测方法及文件探测装置 | |
CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
CN110460612A (zh) | 安全测试方法、设备、存储介质及装置 | |
CN109117368A (zh) | 一种接口测试方法、电子设备及存储介质 | |
CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN103973506B (zh) | 一种域名校验方法、装置及系统 | |
KR20080043201A (ko) | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 | |
US7984501B2 (en) | Component-oriented system and method for web application security analysis | |
JP4587976B2 (ja) | アプリケーションの脆弱性検査方法および装置 | |
CN103823665B (zh) | 一种sdk活跃度分析方法、网络服务器及系统 | |
CN111190572A (zh) | 页面埋点数据的可视化方法、装置、电子设备及存储介质 | |
JP4170243B2 (ja) | ウェブアプリケーション検査装置 | |
CN103390129B (zh) | 检测统一资源定位符安全性的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |