CN110674506A - 快速验证应用程序漏洞状态的方法及系统 - Google Patents
快速验证应用程序漏洞状态的方法及系统 Download PDFInfo
- Publication number
- CN110674506A CN110674506A CN201910856961.5A CN201910856961A CN110674506A CN 110674506 A CN110674506 A CN 110674506A CN 201910856961 A CN201910856961 A CN 201910856961A CN 110674506 A CN110674506 A CN 110674506A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- request
- module
- status
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种快速验证应用程序漏洞状态的方法及系统,其中方法包括如下步骤:S1)、获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;S2)、对漏洞请求进行重放;S3)、对上述步骤2中重放的请求进行漏洞检测;S4)、根据上述步骤3中的检测结果修改所述漏洞当前对应的漏洞状态,并将修改后的所述漏洞状态更新进所述漏洞原始基础数据中;由此可知,通过上述方法,用户可有针对性地对已原来已发现的漏洞进行二次检测,以判断其是否被修复,不但效率高,而且可有效保证精确度,而且,在用户确认需要对漏洞进行请求重放时,后续所有相关操作都不需要人为参与,使用更简单,从而提高用户使用体验。
Description
技术领域
本发明涉及应用程序漏洞检测技术领域,尤其涉及一种快速验证应用程序漏洞状态的方法及系统。
背景技术
自软件程序的诞生开始,程序漏洞就应允而生,由于软件开发者开发软件时的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高但漏洞也多,任何一款程序都不可避免地会存在这样或那样的漏洞,从某种程度上可以说,只有暂时未发现漏洞的程序,没有完全安全的程序,即漏洞只能被尽可能多的发现,而不能完全杜绝,鉴于此,每一款程序从开发出来开始直到寿命结束都会涉及到漏洞检测问题,对于用户来说,只有提前检测到存在的漏洞并对其进行处理,才能有效防止安全事故的发生。为了提高漏洞的检测效率,漏洞检测工具也得到不断发展,但是现在的漏洞检测工具的检测目的都是将已存在的安全漏洞给找出来,而不能针对已发现的安全漏洞进行判断其是否已被开发人员修复成功。目前,判断已发现的安全漏洞是否被修复的方法有以下两种:1、安全人员手动测试,重新发送验证请求,人工判断该漏洞是否被验证,耗时长,可能出现遗漏问题;2、基于漏洞扫描工具重新测试一遍,过于消耗资源,部分未修复的漏洞也会重复请求。因此,对于上述两种判断已发现的安全漏洞是否被修复的方法,无论是效率亦或是准确度都不能达到用户的满意。
发明内容
本发明的目的是为解决上述技术问题的不足而提供一种快速验证应用程序漏洞状态的方法,以对漏洞检测工具已经发现的漏洞进行有针对性的二次检测,确认其是否被修复成功。
本发明的另一目的是提供一种快速验证应用程序漏洞状态的系统,以对漏洞检测工具已经发现的漏洞进行有针对性的二次检测,确认其是否被修复成功。
为了实现上述目的,本发明公开了一种快速验证应用程序漏洞状态的方法,其包括如下步骤:
S1)、从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;
S2)、对上述步骤1中显示出来的所述漏洞中的一个或多个所对应的请求进行重放;
S3)、对上述步骤2中重放的请求进行漏洞检测;
S4)、根据上述步骤3中的检测结果修改所述漏洞当前对应的漏洞状态,并将修改后的所述漏洞状态更新进所述漏洞原始基础数据中。
较佳地,所述漏洞状态包括新发现状态、已确认状态和已关闭状态;
所述新发现状态,是指在请求重放时新发现且未经任何处理时的状态;
所述已确认状态,是指漏洞已被安全人员确认,需要被修复时的状态。
所述已关闭状态,是指经过请求重放和漏洞重新检测之后确认漏洞已经不存在且已被关闭的状态。
较佳地,对于指定进行重放的请求,动态在所述请求的请求头中添加第一关键字信息,所述第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。
较佳地,对于重放的请求,如果检测到新的漏洞,在所述请求的响应头中添加第二关键字信息,所述第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。
较佳地,所述步骤3中的漏洞检测方法包括:利用IAST交互式技术插桩用户程序中的代码,动态获取用户请求执行的方法链或请求数据,然后根据相关规则判断是否存在漏洞。
与现有技术相比,使用本发明快速验证应用程序漏洞状态的方法,用户可对漏洞检测平台所记录的漏洞信息进行查看,并有选择地或者全部对所述查看到的漏洞执行请求重放的动作,在漏洞检测平台执行请求重发的命令后,对执行重发的请求进行漏洞检测,以判断其是否存在漏洞,然后根据判断结果修改漏洞状态,并在漏洞平台中显示出来,以供用户不断查看;由此可知,通过上述方法,用户可有针对性地对已原来已发现的漏洞进行二次检测,以判断其是否被修复,不但效率高,而且可有效保证精确度,而且,在用户确认需要对漏洞进行请求重放时,后续所有相关操作都不需要人为参与,使用更简单,从而提高用户使用体验;另外,在请求的请求头和响应头中添加关键字信息,可以避免在数据库中添加额外的信息追踪,灵活且节省空间。
本发明还公开一种快速验证应用程序漏洞状态的系统,其包括漏洞显示模块、漏洞重放模块、漏洞检测模块和漏洞处理模块;
所述漏洞显示模块,用于从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;
所述漏洞重放模块,用于执行对用户所指定的漏洞请求进行重放;
所述漏洞检测模块,用于检测判断所述漏洞重放模块所执行的请求是否存在漏洞;
所述漏洞处理模块,用于根据所述漏洞检测模块的检测结果修改所述漏洞当前对应的漏洞状态,并对所述漏洞显示模块进行更新。
较佳地,所述漏洞重放模块中还设置有第一标记模块,所述第一标记模块用于对用户指定进行重放的请求的请求头中动态添加第一关键字信息,所述第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。
较佳地,所述漏洞检测模块中还设置有第二标记模块,所述第二标记模块用于对存在漏洞的请求的响应头中添加第二关键字信息,所述第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。
本发明还公开一种快速验证应用程序漏洞状态的系统,其包括:
一个或多个处理器;
存储器;
以及一个或多个程序,其中一个或多个程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述程序包括用于执行如上所述的快速验证应用程序漏洞状态的方法的指令。
本发明还公开一种计算机可读存储介质,其包括测试用计算机程序,所述计算机程序可被处理器执行以完成如上所述的快速验证应用程序漏洞状态的方法。
附图说明
图1为本发明实施例快速验证应用程序漏洞状态的方法的流程示意图。
图2为本发明实施例速动态验证应用程序漏洞状态的系统的原理结构示意图。
具体实施方式
为详细说明本发明的技术内容、结构特征、实现原理及所实现目的及效果,以下结合实施方式并配合附图详予说明。
如图1所示,本发明公开了本发明公开了一种快速验证应用程序漏洞状态的方法,其包括如下步骤:
S1)、从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将漏洞信息显示出来,以供用户查看;漏洞原始基础数据,是指作为漏洞检测平台,对于在常规扫描检测过程中已经上报上来的漏洞,会存储漏洞对应的相关信息,包括触发漏洞的请求信息、漏洞类型以及其他信息(比如在用户代码的多少行发现这个漏洞等),在本步骤中,将在常规检测中已经发现的漏洞的漏洞状态、发现时间、漏洞类型等分类展示给用户查看,此处的漏洞类型是指SQL注入,命令行注入,跨站脚本攻击等相关漏洞类型;
S2)、对上述步骤1中显示出来的漏洞中的一个或多个所对应的请求进行重放,即将出现漏洞的原始请求在漏洞检测平台上再次执行;
S3)、对上述步骤2中重放的请求进行漏洞检测;
S4)、根据上述步骤3中的检测结果修改漏洞当前对应的漏洞状态,并将修改后的漏洞状态更新进漏洞原始基础数据中,展示给用户查看。
根据上述验证方法的过程可知,用户可有针对性地对已原来已发现的漏洞进行二次检测,以判断其是否被修复,不但效率高,而且可有效保证精确度,而且,在用户确认需要对漏洞进行请求重放时,后续所有相关操作都不需要人为参与,使用更简单,从而提高用户使用体验。
进一步地,上述实施例中的漏洞状态包括新发现状态、已确认状态和已关闭状态,以方便用户查看。具体地,新发现状态是指漏洞是在请求重放时新发现且未经任何处理时的状态;已确认状态是指漏洞已被安全人员确认,需要被修复的状态;已关闭状态,是指经过请求重放和漏洞重新检测之后确认该漏洞已经被修复,且被关闭的状态。当用户在漏洞检测平台上查看漏洞原始基础数据时,可根据每个漏洞的当前漏洞状态对其进行相应的操作,如果该漏洞的漏洞状态显示为“新发现”,那么接下来将该漏洞交由安全人员进行确认,如果该漏洞的漏洞状态显示为“已确认”,那么接下来将该漏洞信息返回给开发或维护人员进行打补丁工作,如果该漏洞的漏洞状态显示为“已关闭”,那么就无须对该漏洞进行关注和其他任何操作。
较佳地,对于用户指定进行重放的的请求,动态在请求的请求头中添加第一关键字信息,第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。另外,对于重放的请求,如果检测到新的漏洞,在请求的响应头中添加第二关键字信息,第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。本实施例中,在请求的请求头和响应头中添加关键字信息,可以避免在数据库中添加额外的信息追踪,灵活且节省空间。通过上述在请求头和响应头中添加的第一关键字信息和第二关键字信息,在请求重发的时候,无须再添加一个数据库记录存储请求对应的漏洞以及执行时间,而且在获取请求重发的响应数据时,也无须再从数据库取出该记录并判断。
上述对重发的请求进行漏洞检测时,漏洞检测方法包括:利用IAST交互式技术插桩用户程序中的代码,动态获取用户请求执行的方法链或请求数据,然后根据相关规则判断是否存在漏洞。本实施例中,通过IAST交互式技术插桩用户程序中的代码,使得测试软件的权限可深入到应用程序的代码内部,从而帮助用户发现隐藏的漏洞。另外,相关规则,包括逻辑权限处理规则和安全漏洞处理规则。逻辑权限处理规则,是指请求是否存在水平越权和垂直越权。安全漏洞处理规则,指的是应用程序中是否存在安全漏洞,如CMD注入漏洞(即通过把CMD命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的CMD命令),利用IAST技术插桩用户代码,如果检测到请求传过来的数据没有进行任何处理就被用户在程序中直接执行CMD命令,即可认为存在CMD注入的安全漏洞(正常情况下,Web表单或请求传递的数据在直接执行CMD命令前需要进行编码或白名单等字符处理)。
下面对上述快速验证应用程序漏洞状态的方法作一详述:首先,用户可以在漏洞检测平台上通过漏洞检测时间、漏洞状态对已测试出来的漏洞进行分类查看;然后,对于用户已指定需要进行请求重放的漏洞,动态在请求头中加入关键字信息,代表该请求存在已被发现的漏洞和漏洞类型,并进行请求重发;接着,请求被发送至被漏洞检测程序并进行处理,漏洞检测程序利用IAST技术动态检测请求执行过程,判断是否存在漏洞,如果存在漏洞,在请求的响应头中添加关键字信息,代表该请求存在新被发现的漏洞和漏洞类型;最后,通过判断请求头和响应头中关键字信息,如果存在相同漏洞和漏洞类型,代表该漏洞未被修复,如果不存在则代表该漏洞已被修复,自动修改漏洞状态为已关闭。
另外,便于上述快速验证应用程序漏洞状态的方法的实施,本发明还公开了一种快速验证应用程序漏洞状态的系统,其包括漏洞显示模块10、漏洞重放模块11、漏洞检测模块12和漏洞处理模块13。漏洞显示模块10用于从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将漏洞信息显示出来,以供用户查看;漏洞重放模块11用于执行对用户所指定的漏洞请求进行重放;漏洞检测模块12用于检测判断漏洞重放模块11所执行的请求是否存在漏洞;漏洞处理模块13用于根据漏洞检测模块12的检测结果修改漏洞当前对应的漏洞状态,并对漏洞显示模块10进行更新。较佳地,漏洞重放模块11中还设置有第一标记模块,第一标记模块用于对用户指定进行重放的请求的请求头中动态添加第一关键字信息,第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。漏洞检测模块12中还设置有第二标记模块,第二标记模块用于对存在漏洞的请求的响应头中添加第二关键字信息,第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。上述快速验证应用程序漏洞状态的系统的具体工作过程详见上述快速验证应用程序漏洞状态的方法,在此不再赘述。
本发明行公开了另一种快速验证应用程序漏洞状态的系统,其包括一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序被存储在存储器中,并且被配置成由一个或多个处理器执行,程序包括用于执行上述快速验证应用程序漏洞状态的方法的指令。
最后,本发明还公开了一种计算机可读存储介质,其包括测试用计算机程序,计算机程序可被处理器执行以完成上述快速验证应用程序漏洞状态的方法。
以上所揭露的仅为本发明的较佳实例而已,当然不能以此来限定本发明之权利范围,因此依本发明申请专利范围所作的等同变化,仍属于本发明所涵盖的范围。
Claims (10)
1.一种快速验证应用程序漏洞状态的方法,其特征在于,包括:
S1)、从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;
S2)、对上述步骤1中显示出来的所述漏洞中的一个或多个所对应的请求进行重放;
S3)、对上述步骤2中重放的请求进行漏洞检测;
S4)、根据上述步骤3中的检测结果修改所述漏洞当前对应的漏洞状态,并将修改后的所述漏洞状态更新进所述漏洞原始基础数据中。
2.根据权利要求1所述的快速验证应用程序漏洞状态的方法,其特征在于,所述漏洞状态包括新发现状态、已确认状态和已关闭状态;
所述新发现状态,是指在请求重放时新发现且未经任何处理时的状态;
所述已确认状态,是指漏洞已被安全人员确认,需要被修复时的状态。
所述已关闭状态,是指经过请求重放和漏洞重新检测之后确认漏洞已经不存在且已被关闭的状态。
3.根据权利要求1所述的快速验证应用程序漏洞状态的方法,其特征在于,对于指定进行重放的请求,动态在所述请求的请求头中添加第一关键字信息,所述第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。
4.根据权利要求3所述的快速验证应用程序漏洞状态的方法,其特征在于,对于重放的请求,如果检测到新的漏洞,在所述请求的响应头中添加第二关键字信息,所述第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。
5.根据权利要求1所述的快速验证应用程序漏洞状态的方法,其特征在于,所述步骤3中的漏洞检测方法包括:利用IAST交互式技术插桩用户程序中的代码,动态获取用户请求执行的方法链或请求数据,然后根据相关规则判断是否存在漏洞。
6.一种快速验证应用程序漏洞状态的系统,其特征在于,包括漏洞显示模块、漏洞重放模块、漏洞检测模块和漏洞处理模块;
所述漏洞显示模块,用于从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;
所述漏洞重放模块,用于执行对用户所指定的漏洞请求进行重放;
所述漏洞检测模块,用于检测判断所述漏洞重放模块所执行的请求是否存在漏洞;
所述漏洞处理模块,用于根据所述漏洞检测模块的检测结果修改所述漏洞当前对应的漏洞状态,并对所述漏洞显示模块进行更新。
7.根据权利要求6所述的快速验证应用程序漏洞状态的系统,其特征在于,所述漏洞重放模块中还设置有第一标记模块,所述第一标记模块用于对用户指定进行重放的请求的请求头中动态添加第一关键字信息,所述第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。
8.根据权利要求7所述的快速验证应用程序漏洞状态的系统,其特征在于,所述漏洞检测模块中还设置有第二标记模块,所述第二标记模块用于对存在漏洞的请求的响应头中添加第二关键字信息,所述第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。
9.一种快速验证应用程序漏洞状态的系统,其特征在于,包括:
一个或多个处理器;
存储器;
以及一个或多个程序,其中一个或多个程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述程序包括用于执行如权利要求1至5任一项所述的快速验证应用程序漏洞状态的方法的指令。
10.一种计算机可读存储介质,其特征在于,包括测试用计算机程序,所述计算机程序可被处理器执行以完成如权利要求1至5任一项所述的快速验证应用程序漏洞状态的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910856961.5A CN110674506B (zh) | 2019-09-10 | 2019-09-10 | 快速验证应用程序漏洞状态的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910856961.5A CN110674506B (zh) | 2019-09-10 | 2019-09-10 | 快速验证应用程序漏洞状态的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110674506A true CN110674506A (zh) | 2020-01-10 |
CN110674506B CN110674506B (zh) | 2020-10-27 |
Family
ID=69077873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910856961.5A Active CN110674506B (zh) | 2019-09-10 | 2019-09-10 | 快速验证应用程序漏洞状态的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110674506B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及系统、设备及存储介质 |
CN111240882A (zh) * | 2020-01-16 | 2020-06-05 | 深圳开源互联网安全技术有限公司 | 检测异常状态的方法及系统 |
CN111931188A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 登陆场景下漏洞测试方法及系统 |
CN113158197A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、系统 |
CN115514551A (zh) * | 2022-09-16 | 2022-12-23 | 国网智能电网研究院有限公司 | 漏洞利用检测方法、装置、计算机设备及存储介质 |
CN117014178A (zh) * | 2023-06-05 | 2023-11-07 | 深圳市前海望潮科技有限公司 | 一种用于网络安全的漏洞检测系统 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130036413A1 (en) * | 2011-08-01 | 2013-02-07 | Salesforce.Com, Inc. | Methods and apparatus for bug-fix notifications |
US20140173737A1 (en) * | 2012-12-14 | 2014-06-19 | Vmware, Inc. | Device and method for remediating vulnerabilities |
CN104346571A (zh) * | 2013-07-23 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 安全漏洞管理方法、系统及设备 |
CN104778414A (zh) * | 2015-05-06 | 2015-07-15 | 广州万方计算机科技有限公司 | 一种漏洞管理系统及方法 |
CN105763575A (zh) * | 2016-05-17 | 2016-07-13 | 北京智言金信信息技术有限公司 | 一种基于漏洞状态的漏洞控制方法 |
CN106789869A (zh) * | 2016-11-09 | 2017-05-31 | 深圳市魔方安全科技有限公司 | 基于Basic认证的流量代理漏洞检测方法及系统 |
CN106897622A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 验证应用漏洞的方法和装置 |
CN106980788A (zh) * | 2016-12-30 | 2017-07-25 | 中国银联股份有限公司 | 用于处理支付系统安全漏洞信息的装置和方法 |
CN107026854A (zh) * | 2017-03-27 | 2017-08-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞验证方法及装置 |
CN108259514A (zh) * | 2018-03-26 | 2018-07-06 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
CN109327471A (zh) * | 2018-11-29 | 2019-02-12 | 广东电网有限责任公司信息中心 | 一种漏洞发现与应急验证实现方法 |
-
2019
- 2019-09-10 CN CN201910856961.5A patent/CN110674506B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130036413A1 (en) * | 2011-08-01 | 2013-02-07 | Salesforce.Com, Inc. | Methods and apparatus for bug-fix notifications |
US20140173737A1 (en) * | 2012-12-14 | 2014-06-19 | Vmware, Inc. | Device and method for remediating vulnerabilities |
CN104346571A (zh) * | 2013-07-23 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 安全漏洞管理方法、系统及设备 |
CN104778414A (zh) * | 2015-05-06 | 2015-07-15 | 广州万方计算机科技有限公司 | 一种漏洞管理系统及方法 |
CN106897622A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 验证应用漏洞的方法和装置 |
CN105763575A (zh) * | 2016-05-17 | 2016-07-13 | 北京智言金信信息技术有限公司 | 一种基于漏洞状态的漏洞控制方法 |
CN106789869A (zh) * | 2016-11-09 | 2017-05-31 | 深圳市魔方安全科技有限公司 | 基于Basic认证的流量代理漏洞检测方法及系统 |
CN106980788A (zh) * | 2016-12-30 | 2017-07-25 | 中国银联股份有限公司 | 用于处理支付系统安全漏洞信息的装置和方法 |
CN107026854A (zh) * | 2017-03-27 | 2017-08-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞验证方法及装置 |
CN108259514A (zh) * | 2018-03-26 | 2018-07-06 | 平安科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
CN109327471A (zh) * | 2018-11-29 | 2019-02-12 | 广东电网有限责任公司信息中心 | 一种漏洞发现与应急验证实现方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111240882A (zh) * | 2020-01-16 | 2020-06-05 | 深圳开源互联网安全技术有限公司 | 检测异常状态的方法及系统 |
CN111209213A (zh) * | 2020-02-14 | 2020-05-29 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及系统、设备及存储介质 |
CN111209213B (zh) * | 2020-02-14 | 2023-08-11 | 深圳开源互联网安全技术有限公司 | 应用程序运行时的异常检测方法及系统、设备及存储介质 |
CN111931188A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 登陆场景下漏洞测试方法及系统 |
CN111931188B (zh) * | 2020-08-13 | 2023-09-08 | 中国工商银行股份有限公司 | 登陆场景下漏洞测试方法及系统 |
CN113158197A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 一种基于主动iast的sql注入漏洞检测方法、系统 |
CN115514551A (zh) * | 2022-09-16 | 2022-12-23 | 国网智能电网研究院有限公司 | 漏洞利用检测方法、装置、计算机设备及存储介质 |
CN117014178A (zh) * | 2023-06-05 | 2023-11-07 | 深圳市前海望潮科技有限公司 | 一种用于网络安全的漏洞检测系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110674506B (zh) | 2020-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110674506B (zh) | 快速验证应用程序漏洞状态的方法及系统 | |
US8935794B2 (en) | Verifying application security vulnerabilities | |
Fonseca et al. | Testing and comparing web vulnerability scanning tools for SQL injection and XSS attacks | |
CN103699480B (zh) | 一种基于java的web动态安全漏洞检测方法 | |
Artzi et al. | Finding bugs in dynamic web applications | |
US8578342B2 (en) | Fault detection and localization in dynamic software applications requiring user inputs and persistent states | |
US9438617B2 (en) | Application security testing | |
US20180351986A1 (en) | Cross-site request forgery (csrf) vulnerability detection | |
US20110016356A1 (en) | Fault detection and localization in dynamic software applications | |
US20110016456A1 (en) | Generating additional user inputs for fault detection and localization in dynamic software applications | |
TW201610735A (zh) | 利用運行期代理器及動態安全分析之應用程式逐點保護技術 | |
CN103562923A (zh) | 应用程序安全测试 | |
CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
US20180060224A1 (en) | Distinguishing Public and Private Code in Testing Environments | |
US11888885B1 (en) | Automated security analysis of software libraries | |
CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN113114680B (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
CN111859380A (zh) | Android App漏洞的零误报检测方法 | |
de Poel et al. | Automated security review of PHP web applications with static code analysis | |
Ognawala et al. | Compositional fuzzing aided by targeted symbolic execution | |
Kim et al. | {FuzzOrigin}: Detecting {UXSS} vulnerabilities in browsers through origin fuzzing | |
CN110806980A (zh) | 一种检测方法、装置、设备及存储介质 | |
CN106529281A (zh) | 一种可执行文件处理方法及装置 | |
CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
CN114676436A (zh) | 一种基于结构化变异的安卓应用多媒体解析库漏洞挖掘系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |