CN107577949A - 一种Web越权漏洞检测方法与系统 - Google Patents
一种Web越权漏洞检测方法与系统 Download PDFInfo
- Publication number
- CN107577949A CN107577949A CN201710790010.3A CN201710790010A CN107577949A CN 107577949 A CN107577949 A CN 107577949A CN 201710790010 A CN201710790010 A CN 201710790010A CN 107577949 A CN107577949 A CN 107577949A
- Authority
- CN
- China
- Prior art keywords
- web
- commission
- http
- request
- journal file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种Web越权漏洞检测方法与系统,所述方法包括:获取Web页面中的所有HTTP请求,并记录初始响应信息;替换所述HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息;对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。通过获取Web页面中的所有HTTP请求,并将HTTP请求中的身份标识信息进行替换后重新提交请求,通过对比待测Web系统的HTTP响应结果,输出疑似存在越权漏洞的HTTP请求列表,从而大大提高了漏洞检测的检测效率,同时本发明兼容使用各种技术实现的Web站点,避免了重复开发检测工具导致的测试成本增加。
Description
技术领域
本发明涉及Web安全领域,特别是一种Web越权漏洞检测方法与系统。
背景技术
随着近期爆发的各种高危漏洞,网络安全问题引起了越来越多的关注。越权漏洞,Web应用程序中一种常见的安全漏洞,是指由于程序员疏忽,没有对某个操作所需的权限/用户进行严格的限制,导致本应没有操作权限的用户可正常进行操作,其威胁在于一个账户即可控制全站用户数据,即攻击者使用一个合法账户,即可对存在越权缺陷漏洞的其他账户数据进行非法的操作,例如查询、插入、删除、修改等常规数据库命令。
越权漏洞属于业务逻辑漏洞的一种,无法通过外部WAF(Web ApplicationFirewall,Web应用防护系统)进行防御加固,且常涉及用户隐私数据,一旦被发现,对于系统的影响会很大。但是由于Web站点一般页面较多,使用的技术也各不相同,导致爬虫工具不能全面的对各个请求进行爬取以进行全自动化检测。
现有技术中,对于越权漏洞的检测主要是通过测试人员对Web程序进行渗透测试,人工检测出漏洞,这种人工方式检测方法耗费时间较长,检测人员需要进行大量的重复性工作,导致了检测效率极为低下。
发明内容
本发明的目的是提供一种Web越权漏洞检测方法与系统,旨在解决现有越权漏洞检测方式效率低下的问题,提高检测效率,避免重复开发检测工具导致的测试成本增加。
为达到上述技术目的,本发明提供了一种Web越权漏洞检测方法,包括以下步骤:
S1、获取Web页面中的所有HTTP请求,并记录初始响应信息;
S2、替换所述HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息;
S3、对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。
优选地,步骤S1具体为以下步骤:
S101、开启HTTP代理工具的日志记录功能;
S102、使用具有所有操作权限的用户登录待测Web系统;
S103、执行Web页面所有操作;
S104、所述HTTP代理工具记录所有HTTP请求和所述初始响应信息,保存至日志文件;
S105、删除所述日志文件中的非待测Web项和重复项;
S106、复制所述日志文件,生成日志文件备份。
优选地,步骤S2具体为以下步骤:
S201、在另一浏览器中使用非所有权限用户登录待测Web系统;
S202、记录HTTP请求中的身份标识信息;
S203、将所述身份标识信息替换掉所述日志文件备份中的对应项;
S204、重新构造日志文件备份中的HTTP请求信息,并提交请求;
S205、记录最新响应信息。
优选地,所述身份标识信息包括cookie和token信息。
本发明还提供了一种Web越权漏洞检测系统,包括:
初始响应信息模块,用于获取Web页面中的所有HTTP请求,并记录初始响应信息;
最新响应信息模块,用于替换所述HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息;
越权漏洞检测模块,用于对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。
优选地,所述初始响应信息模块包括:
日志记录开启单元,用于开启HTTP代理工具的日志记录功能;
登录用户单元,用于使用具有所有操作权限的用户登录待测Web系统;
Web操作执行单元,用于执行Web页面所有操作;
日志记录单元,用于所述HTTP代理工具记录所有HTTP请求和所述初始响应信息,保存至日志文件;
过滤单元,用于删除所述日志文件中的非待测Web项和重复项;
备份单元,用于复制所述日志文件,生成日志文件备份。
优选地,所述最新响应模块包括:
登录用户单元,用于在另一浏览器中使用非所有权限用户登录待测Web系统;
身份标识记录单元,用于记录HTTP请求中的身份标识信息;
身份标识替换单元,用于将所述身份标识信息替换掉所述日志文件备份中的对应项;
重新提交请求单元,用于重新构造日志文件备份中的HTTP请求信息,并提交请求;
响应信息记录单元,用于记录最新响应信息。
优选地,所述身份标识信息包括cookie和token信息。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
与现有技术相比,本发明通过人工辅助获取Web页面中的所有HTTP请求,并将HTTP请求中的身份标识信息进行替换后重新提交请求,通过对比待测Web系统的HTTP响应结果,输出疑似存在越权漏洞的HTTP请求列表,从而大大提高了漏洞检测的检测效率,同时本发明兼容使用各种技术实现的Web站点,避免了重复开发检测工具导致的测试成本增加。
附图说明
图1为本发明实施例中所提供的一种Web越权漏洞检测方法流程图;
图2为本发明实施例中所提供的获取Web页面中的所有HTTP请求并记录初始响应信息的方法流程图;
图3为本发明实施例所提供的替换所述HTTP请求中的身份标识信息并重新提交请求和记录最新响应信息的方法流程图;
图4为本发明实施例所提供的一种Web越权漏洞检测系统整体框图。
具体实施方式
为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
下面结合附图对本发明实施例所提供的一种Web越权漏洞检测方法与系统进行详细说明。
如图1所示,本发明实施例公开了一种Web越权漏洞检测方法:
首先,获取Web页面中的所有HTTP请求,并记录初始响应信息,如图2所示。
由于HTTP代理工具具有HTTP请求及响应信息的日志记录功能,因此,使用HTTP代理工具来记录HTTP请求以及响应信息。在测试前,首先准备HTTP测试工具的安装,以及获取具有所有操作权限的用户账号。
开启HTTP代理工具,在浏览器中使用具有所有操作权限的用户(如超级用户)登录待测Web系统,并开启HTTP代理工具的日志记录功能。使用该账户在浏览器中对待测Web系统进行所有操作,操作完成后,对应的所有操作的HTTP请求以及响应信息全部通过HTTP代理工具的日志记录功能记录下来。在所有操作完成后,关闭HTTP代理工具,将不可重复的操作造成的影响恢复,例如在添加用户A之后,需要删除用户A才能再次添加用户A。操作完成后,保持该账户的登录状态。
其次,替换HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息,如图3所示。
获取非所有权限用户账号(如审计管理员权限用户),通过在其他浏览器中,使用该账户登录待测Web系统,记录HTTP请求中的身份标识信息,所述身份标识信息包括cookie、token等参数,在登录完成后保持该账户的登录状态。
针对上一步骤使用具有所有操作权限的用户进行所有操作生成的记录有HTTP请求以及响应信息的日志文件a,将其中的重复项和非待测Web系统的HTTP请求项删除,并复制一份该日志文件,为日志文件b。将使用非所有权限用户的HTTP请求中的身份标识信息替换掉复制的日志文件b中的对应参数项。读取替换后的所述日志文件b,读出日志文件b中的HTTP请求信息,重新构造并发送HTTP请求,并记录响应信息于响应结果文件c中。
再次,对比响应信息,不同项即为疑似存在越权漏洞的HTTP请求项。
将所述响应结果文件c中的响应信息与所述日志文件b中的响应信息进行对比,由于响应信息中包含Web网页所有请求项对应的反馈信息,如响应状态码、响应体中操作结果标识字段等,在对比过程中,如果相同请求项对应的反馈信息不同,则为响应信息的不同项,并将响应信息的不同项的结果输出,不同项为疑似存在越权漏洞的HTTP请求项。例如执行同一操作请求时,响应结果文件c和日志文件b中响应信息中的响应状态码不同,则将该请求项认定为疑似存在越权漏洞,进而将该请求项的请求方法、URL等信息进行输出,而后通过开发人员确认是否存在越权漏洞。
本发明通过人工辅助获取Web页面中的所有HTTP请求,并将HTTP请求中的身份标识信息进行替换后重新提交请求,通过对比待测Web系统的HTTP响应结果,输出疑似存在越权漏洞的HTTP请求列表,从而大大提高了漏洞检测的检测效率,同时本发明兼容使用各种技术实现的Web站点,避免了重复开发检测工具导致的测试成本增加。
如图4所示,本发明实施例还公开了一种Web越权漏洞检测系统,包括初始响应信息模块、最新响应信息模块和越权漏洞检测模块。
所述初始响应信息模块用于获取Web页面中的所有HTTP请求,并记录初始响应信息,包括日志记录开启单元、登录用户单元、Web操作执行单元、日志记录单元、过滤单元和备份单元。
所述日志记录开启单元,用于开启HTTP代理工具的日志记录功能。
所述登录用户单元,用于使用具有所有操作权限的用户登录待测Web系统;
所述Web操作执行单元,用于执行Web页面所有操作;
所述日志记录单元,用于所述HTTP代理工具记录所有HTTP请求和所述初始响应信息,保存至日志文件;
所述过滤单元,用于删除所述日志文件中的非待测Web项和重复项;
所述备份单元,用于复制所述日志文件,生成日志文件备份。
所述最新响应模块包括登录用户单元、身份标识记录单元、身份标识替换单元、重新提交请求单元、响应信息记录单元。
所述登录用户单元,用于在另一浏览器中使用非所有权限用户登录待测Web系统;
所述身份标识记录单元,用于记录HTTP请求中的身份标识信息;
所述身份标识替换单元,用于将所述身份标识信息替换掉所述日志文件备份中的对应项;
所述重新提交请求单元,用于重新构造日志文件备份中的HTTP请求信息,并提交请求;
所述响应信息记录单元,用于记录最新响应信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种Web越权漏洞检测方法,其特征在于,包括以下步骤:
S1、获取Web页面中的所有HTTP请求,并记录初始响应信息;
S2、替换所述HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息;
S3、对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。
2.根据权利要求1所述的一种Web越权漏洞检测方法,其特征在于,步骤S1具体为以下步骤:
S101、开启HTTP代理工具的日志记录功能;
S102、使用具有所有操作权限的用户登录待测Web系统;
S103、执行Web页面所有操作;
S104、所述HTTP代理工具记录所有HTTP请求和所述初始响应信息,保存至日志文件;
S105、删除所述日志文件中的非待测Web项和重复项;
S106、复制所述日志文件,生成日志文件备份。
3.根据权利要求2所述的一种Web越权漏洞检测方法,其特征在于,步骤S2具体为以下步骤:
S201、在另一浏览器中使用非所有权限用户登录待测Web系统;
S202、记录HTTP请求中的身份标识信息;
S203、将所述身份标识信息替换掉所述日志文件备份中的对应项;
S204、重新构造日志文件备份中的HTTP请求信息,并提交请求;
S205、记录最新响应信息。
4.根据权利要求1-3任意一项所述的一种Web越权漏洞检测方法,其特征在于,所述身份标识信息包括cookie和token信息。
5.一种Web越权漏洞检测系统,其特征在于,包括:
初始响应信息模块,用于获取Web页面中的所有HTTP请求,并记录初始响应信息;
最新响应信息模块,用于替换所述HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息;
越权漏洞检测模块,用于对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。
6.根据权利要求5所述的一种Web越权漏洞检测系统,其特征在于,所述初始响应信息模块包括:
日志记录开启单元,用于开启HTTP代理工具的日志记录功能;
登录用户单元,用于使用具有所有操作权限的用户登录待测Web系统;
Web操作执行单元,用于执行Web页面所有操作;
日志记录单元,用于所述HTTP代理工具记录所有HTTP请求和所述初始响应信息,保存至日志文件;
过滤单元,用于删除所述日志文件中的非待测Web项和重复项;
备份单元,用于复制所述日志文件,生成日志文件备份。
7.根据权利要求6所述的一种Web越权漏洞检测系统,其特征在于,所述最新响应模块包括:
登录用户单元,用于在另一浏览器中使用非所有权限用户登录待测Web系统;
身份标识记录单元,用于记录HTTP请求中的身份标识信息;
身份标识替换单元,用于将所述身份标识信息替换掉所述日志文件备份中的对应项;
重新提交请求单元,用于重新构造日志文件备份中的HTTP请求信息,并提交请求;
响应信息记录单元,用于记录最新响应信息。
8.根据权利要求5-7任意一项所述的一种Web越权漏洞检测系统,其特征在于,所述身份标识信息包括cookie和token信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710790010.3A CN107577949A (zh) | 2017-09-05 | 2017-09-05 | 一种Web越权漏洞检测方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710790010.3A CN107577949A (zh) | 2017-09-05 | 2017-09-05 | 一种Web越权漏洞检测方法与系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107577949A true CN107577949A (zh) | 2018-01-12 |
Family
ID=61029853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710790010.3A Pending CN107577949A (zh) | 2017-09-05 | 2017-09-05 | 一种Web越权漏洞检测方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107577949A (zh) |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108769070A (zh) * | 2018-06-30 | 2018-11-06 | 平安科技(深圳)有限公司 | 一种越权漏洞检测方法及装置 |
CN109446819A (zh) * | 2018-10-30 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 越权漏洞检测方法及装置 |
CN110162982A (zh) * | 2019-04-19 | 2019-08-23 | 中国平安人寿保险股份有限公司 | 检测非法权限的方法及装置、存储介质、电子设备 |
CN110489966A (zh) * | 2019-08-12 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
CN110581835A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
CN110598418A (zh) * | 2019-09-10 | 2019-12-20 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测垂直越权的方法及系统 |
WO2020000723A1 (zh) * | 2018-06-27 | 2020-01-02 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
CN110705603A (zh) * | 2019-09-10 | 2020-01-17 | 深圳开源互联网安全技术有限公司 | 动态判断用户请求数据相似度的方法及系统 |
CN111107052A (zh) * | 2019-11-04 | 2020-05-05 | 广发银行股份有限公司 | 识别越权检测点的方法、装置、计算机设备和存储介质 |
CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
CN111125748A (zh) * | 2019-11-04 | 2020-05-08 | 广发银行股份有限公司 | 越权查询的判断方法、装置、计算机设备和存储介质 |
CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111241547A (zh) * | 2018-11-28 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种越权漏洞的检测方法、装置及系统 |
CN111404937A (zh) * | 2020-03-16 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
CN111414614A (zh) * | 2020-03-20 | 2020-07-14 | 上海中通吉网络技术有限公司 | 越权检测方法和辅助装置 |
CN111740992A (zh) * | 2020-06-19 | 2020-10-02 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
CN112118259A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
CN112464250A (zh) * | 2020-12-15 | 2021-03-09 | 光通天下网络科技股份有限公司 | 越权漏洞自动检测方法、设备及介质 |
CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
CN113452710A (zh) * | 2021-06-28 | 2021-09-28 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
CN114124476A (zh) * | 2021-11-05 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114244581A (zh) * | 2021-11-29 | 2022-03-25 | 西安四叶草信息技术有限公司 | 缓存中毒漏洞检测方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
CN104951700A (zh) * | 2014-10-11 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 网页漏洞检测方法和装置 |
CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
-
2017
- 2017-09-05 CN CN201710790010.3A patent/CN107577949A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
CN104951700A (zh) * | 2014-10-11 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 网页漏洞检测方法和装置 |
CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110581835B (zh) * | 2018-06-11 | 2022-04-12 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
CN110581835A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
WO2020000723A1 (zh) * | 2018-06-27 | 2020-01-02 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
CN108769070A (zh) * | 2018-06-30 | 2018-11-06 | 平安科技(深圳)有限公司 | 一种越权漏洞检测方法及装置 |
CN109446819A (zh) * | 2018-10-30 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 越权漏洞检测方法及装置 |
CN109446819B (zh) * | 2018-10-30 | 2020-12-22 | 北京知道创宇信息技术股份有限公司 | 越权漏洞检测方法及装置 |
CN111241547B (zh) * | 2018-11-28 | 2023-05-12 | 阿里巴巴集团控股有限公司 | 一种越权漏洞的检测方法、装置及系统 |
CN111241547A (zh) * | 2018-11-28 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种越权漏洞的检测方法、装置及系统 |
CN110162982A (zh) * | 2019-04-19 | 2019-08-23 | 中国平安人寿保险股份有限公司 | 检测非法权限的方法及装置、存储介质、电子设备 |
CN110489966A (zh) * | 2019-08-12 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
CN110705603A (zh) * | 2019-09-10 | 2020-01-17 | 深圳开源互联网安全技术有限公司 | 动态判断用户请求数据相似度的方法及系统 |
CN110598418A (zh) * | 2019-09-10 | 2019-12-20 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测垂直越权的方法及系统 |
CN110705603B (zh) * | 2019-09-10 | 2020-11-06 | 深圳开源互联网安全技术有限公司 | 动态判断用户请求数据相似度的方法及系统 |
CN111107052A (zh) * | 2019-11-04 | 2020-05-05 | 广发银行股份有限公司 | 识别越权检测点的方法、装置、计算机设备和存储介质 |
CN111125748A (zh) * | 2019-11-04 | 2020-05-08 | 广发银行股份有限公司 | 越权查询的判断方法、装置、计算机设备和存储介质 |
CN111125713B (zh) * | 2019-12-18 | 2022-04-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111404937B (zh) * | 2020-03-16 | 2021-12-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
CN111404937A (zh) * | 2020-03-16 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
CN111414614A (zh) * | 2020-03-20 | 2020-07-14 | 上海中通吉网络技术有限公司 | 越权检测方法和辅助装置 |
CN111414614B (zh) * | 2020-03-20 | 2024-04-05 | 上海中通吉网络技术有限公司 | 越权检测方法和辅助装置 |
CN111740992A (zh) * | 2020-06-19 | 2020-10-02 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
CN112118259B (zh) * | 2020-09-17 | 2022-04-15 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
CN112118259A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于提升树的分类模型的越权漏洞检测方法 |
CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
CN112464250A (zh) * | 2020-12-15 | 2021-03-09 | 光通天下网络科技股份有限公司 | 越权漏洞自动检测方法、设备及介质 |
CN113452710A (zh) * | 2021-06-28 | 2021-09-28 | 深圳前海微众银行股份有限公司 | 越权漏洞检测方法、装置、设备及计算机程序产品 |
CN114124476B (zh) * | 2021-11-05 | 2023-07-14 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114124476A (zh) * | 2021-11-05 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114244581A (zh) * | 2021-11-29 | 2022-03-25 | 西安四叶草信息技术有限公司 | 缓存中毒漏洞检测方法、装置、电子设备及存储介质 |
CN114244581B (zh) * | 2021-11-29 | 2024-03-29 | 西安四叶草信息技术有限公司 | 缓存中毒漏洞检测方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107577949A (zh) | 一种Web越权漏洞检测方法与系统 | |
Fonseca et al. | Evaluation of web security mechanisms using vulnerability & attack injection | |
Qassim et al. | A review of security assessment methodologies in industrial control systems | |
Turnipseed | A new scada dataset for intrusion detection research | |
CN103023710A (zh) | 一种安全测试系统和方法 | |
CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
Taveras | SCADA live forensics: real time data acquisition process to detect, prevent or evaluate critical situations | |
Awad et al. | Tools, techniques, and methodologies: A survey of digital forensics for scada systems | |
CN108965037A (zh) | 安全测试数据的获取和审计分析方法及装置 | |
Eden et al. | Forensic readiness for SCADA/ICS incident response | |
Grigaliunas et al. | Digital evidence object model for situation awareness and decision making in digital forensics investigation | |
Landauer et al. | Maintainable log datasets for evaluation of intrusion detection systems | |
Dietz et al. | Employing digital twins for security-by-design system testing | |
Kumar | Guardians of Trust: Navigating Data Security in AIOps through Vendor Partnerships | |
Takahashi et al. | {APTGen}: An Approach towards Generating Practical Dataset Labelled with Targeted Attack Sequences | |
Hsu | Practical security automation and testing: tools and techniques for automated security scanning and testing in devsecops | |
Tom et al. | Recommended practice for patch management of control systems | |
Hristova et al. | Security assessment methodology for industrial control system products | |
Kabbani et al. | Towards an evaluation framework for SOA security testing tools | |
Rodríguez et al. | A systematic approach to analysis for assessing the security level of cyber-physical systems in the electricity sector | |
Allison et al. | Digital Twin-Enhanced Incident Response for Cyber-Physical Systems | |
Boja et al. | Security Assessment of Web Based Distributed Applications. | |
Qian et al. | Complete Web Security Testing Methods and Recommendations | |
Serpanos et al. | Security testing iot systems | |
Kahtan et al. | Embedding dependability attributes into component-based software development using the best practice method: A guideline |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180112 |
|
RJ01 | Rejection of invention patent application after publication |