CN110998577A - 安全诊断装置以及安全诊断方法 - Google Patents
安全诊断装置以及安全诊断方法 Download PDFInfo
- Publication number
- CN110998577A CN110998577A CN201780093329.9A CN201780093329A CN110998577A CN 110998577 A CN110998577 A CN 110998577A CN 201780093329 A CN201780093329 A CN 201780093329A CN 110998577 A CN110998577 A CN 110998577A
- Authority
- CN
- China
- Prior art keywords
- account
- parameter
- http request
- destination url
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
安全诊断装置具备:提取部,其提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到转移终点URL的HTTP请求中包含的参数相同的固定参数;请求生成部,其在由普通权限的账户发送到转移终点URL的HTTP请求的参数包含有由提取部提取出的固定参数,且值与特权的账户的值不同的情况下,输出对固定参数设定了特权的账户的值的HTTP请求;请求发送接收部,其用普通权限的账户将HTTP请求发送到转移终点URL,接收HTTP响应;以及判定部,其根据HTTP响应来判定转移终点URL的脆弱性。因此,能够诊断权限管理的缺陷而无需事先掌握转移终点URL。
Description
技术领域
本发明涉及对权限管理的缺陷进行诊断的安全诊断装置。
背景技术
互联网上公开的Web应用的脆弱性每天都被发现,有恶意的攻击者进行的攻击是必须警戒的威胁之一。在确认有无Web应用的脆弱性的方法中,具有Web应用诊断工具、安全诊断服务。这些方法通过对Web应用实施模拟攻击,诊断有无已知的脆弱性。
Web应用的脆弱性之一是权限管理的缺陷。权限管理的缺陷是指如下情况:在存在具有不同权限的2个账户的情况下,仅一个账户可转移的页面或有效的功能,另一个账户也能够转移或执行。以往,诊断的实施者通过目视来确认与可转移的页面或有效的功能有关的账户之间的差异,设定于工具或手动地执行模拟攻击,从而诊断权限管理的缺陷。然而,由于花费人力成本,因此要求削减人力成本。
在专利文献1中,通过跟踪访问对象时的权限要求API的调用和实际的访问API的调用,制作假设的访问API,确认是否与实际的访问API的调用对应。在实际的访问API不与假设的访问API对应的情况下,专利文献1判断为违反最小权限。
现有技术文献
专利文献
专利文献1:日本特开2010-176167号公报
发明内容
发明要解决的课题
然而,在专利文献1中存在如下的问题:在针对对象的权限分配不明的情况下,无法判断是否有权限管理的缺陷。
本发明正是为了解决如上所述的问题而完成的,其目的在于,得到一种能够诊断是否有权限管理的缺陷而无需事先掌握Web应用的转移终点URL的安全诊断装置。
用于解决课题的手段
具备:提取部,其提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到转移终点URL的HTTP请求中包含的参数相同的固定参数;请求生成部,其在由普通权限的账户发送到转移终点URL的HTTP请求的参数包含有由提取部提取出的固定参数,且值与特权的账户的值不同的情况下,输出对固定参数设定了特权的账户的值的HTTP请求;请求发送接收部,其由普通权限的账户将HTTP请求发送到转移终点URL,接收HTTP响应;以及判定部,其根据HTTP响应来判定转移终点URL的脆弱性。
发明效果
根据本发明,能够得到一种能够诊断是否有权限管理的缺陷而无需事先掌握Web应用的转移终点URL的安全诊断装置。
附图说明
图1是示出实施方式1的安全诊断装置的硬件结构的一例的框图。
图2是示出实施方式1的诊断装置的功能结构的一例的框图。
图3是示出实施方式1的账户信息表的一例的图。
图4是示出实施方式1的登录参数表的一例的图。
图5是示出实施方式1的对象URL表的一例的图。
图6是示出实施方式1的HTTP请求/响应表的一例的图。
图7是示出实施方式1的参数表的一例的图。
图8是示出实施方式1的固定参数表的一例的图。
图9是示出实施方式1的诊断结果表的一例的图。
图10是示出实施方式1的结果详情表的一例的图。
图11是示出实施方式1的输入部、爬行实施部以及提取部的处理流程的流程图。
图12是示出实施方式1的HTTP请求/响应表441的一例的图。
图13是示出实施方式1的参数表451的一例的图。
图14是示出实施方式1的比较部、请求生成部、请求发送接收部、判定部以及输出部的处理流程的流程图。
图15是示出实施方式1的图14的步骤S201的比较部的处理详情的流程图。
图16是示出实施方式2的HTTP请求/响应表的一例的图。
图17是示出实施方式2的参数表的一例的图。
图18是示出实施方式2的固定参数表的一例的图。
图19是示出实施方式2的固定参数表的一例的图。
图20是示出实施方式2的HTTP请求/响应表的一例的图。
图21是示出实施方式2的图14的步骤S201的比较部的处理详情的流程图。
图22是示出实施方式2的诊断结果表的一例的图。
图23是示出实施方式2的结果详情表的一例的图。
图24是实施方式3的包含诊断装置的功能结构的一例的整体的框图。
图25是示出实施方式3的输入部、爬行实施部以及提取部的处理流程的流程图。
图26是示出实施方式3的转移数据数据库的参数表的一例的图。
图27是示出实施方式3的比较部、请求生成部、请求发送接收部、判定部以及输出部的处理流程的流程图。
图28是实施方式4的包含诊断对象提取装置的功能结构的一例的整体的框图。
图29是实施方式4的包含诊断实施装置的功能结构的一例的整体的框图。
图30是示出实施方式4的诊断对象提取装置的输入部、爬行实施部以及提取部的处理流程的流程图。
图31是示出实施方式4的诊断实施装置的输入部、请求生成部、请求发送接收部、判定部以及输出部的处理流程的流程图。
具体实施方式
以下,参照附图来说明本发明的实施方式。此外,在参照的附图中,对相同或相当的部分标注相同的符号。
实施方式1
首先,对硬件结构进行说明。
图1是示出实施方式1的安全诊断装置(以下,称作诊断装置)200的硬件结构的一例的框图。
诊断装置200具备:通信接口101,其与作为诊断对象的Web应用进行HTTP通信;处理器102,其进行针对HTTP请求和HTTP响应的运算处理;存储器103,其保持运算结果等;输入接口104,其受理来自用户的输入;辅助存储装置105,其用于存储数据;以及输出接口106,其在画面显示结果。
处理器102由执行存储于存储器的程序的CPU、系统LSI(Large ScaleIntegration:大规模集成电路)等处理电路来实现。也可以是多个处理电路联合构成处理器102。存储器103例如由ROM(Read Only Memory:只读存储器)、RAM(Random AccessMemory:随机存取存储器)、SSD(Solid State Drive:固态驱动器)构成。辅助存储装置105例如由HDD(Hard Disk Drive:硬盘驱动器)构成。
接下来,对功能结构进行说明。
图2是实施方式1的包含诊断装置200的功能结构的一例的整体的框图。
Web应用203根据来自诊断装置200的指示,经由互联网202向Web服务器201发送HTTP请求。Web应用203从Web服务器201接收HTTP响应,将HTTP响应的内容输出到诊断装置200。诊断装置200有时也从Web服务器201接收HTTP响应。
诊断装置200具备输入部301、爬行实施部302、提取部303、比较部304、请求生成部305、请求发送接收部306、判定部307、输出部308、账户信息DB(以下,称作账户信息数据库)309、转移数据DB(以下,称作转移数据数据库)310、固定参数DB(以下,称作固定参数数据库)311以及结果数据DB(以下,称作结果数据数据库)312。
用于实现输入部301、爬行实施部302、提取部303、比较部304、请求生成部305、请求发送接收部306、判定部307以及输出部308的各个功能的程序和数据存储于存储器103。另外,账户信息数据库309、转移数据数据库310、固定参数数据库311以及结果数据数据库312分别配置在辅助存储装置105上,适当展开到存储器103。
输入部301被读出到存储器103,由处理器102执行。输入部301将经由输入接口106输入的值保存到辅助存储装置105。输入部301将输入的值输出到辅助存储装置105上的账户信息数据库309和转移数据数据库310。诊断对象的对象URL和账户信息(登录信息、权限信息)被输入到输入部301。
账户信息数据库309保持账户信息表410和登录参数表420这2种表。
图3是示出实施方式1的账户信息表的一例的图。
账户信息表410是具有保存可登录到Web应用203的账户的ID、密码、对账户分配的权限(账户权限)的字段的表。账户权限有特权和普通权限这2种。特权是可进行全部操作的管理者权限。普通权限是将操作范围仅限制在普通用户可操作的范围的权限。
将保存于账户信息表410的账户的数量按照各个权限设为2个以上。这是为了以相同的权限观察由账户的不同引起的参数的差异。
图4是示出实施方式1的登录参数表的一例的图。
登录参数表420是具有保存在登录时所需的参数名的字段的表。
转移数据数据库310保持对象URL表430、HTTP请求/响应表440以及参数表450这3种表。
图5是示出实施方式1的对象URL表的一例的图。
对象URL表430是具有保存由输入部301输入的对象URL的字段的表。
图6是示出实施方式1的HTTP请求/响应表的一例的图。
HTTP请求/响应表440是具有保存作为HTTP请求的发送终点的转移终点URL、针对向转移终点URL的HTTP请求的响应代码、针对向转移终点URL的HTTP请求的响应内容、作为向转移终点URL的HTTP请求的发送始点的转移始点URL以及向转移终点URL发送HTTP请求的账户的权限的字段的表。
图7是示出实施方式1的参数表450的一例的图。
参数表450是具有按照每个转移终点URL保存HTTP请求的参数名、参数的值、表示记载有参数的位置的值(URL的查询部、头部或主体部)的字段的表。表示记载有参数的位置的值是HTTP请求的URL内的查询字符串的名称的部分、HTTP头部的头名和HTTP主体部的变量名。另外,参数的值是对参数赋予的值的部分。
返回到图2的诊断装置200的功能结构的说明。
爬行实施部302被读出到存储器103,由处理器102执行。爬行实施部302从辅助存储装置105读出账户信息数据库309和转移数据数据库310。爬行实施部302针对存储于转移数据数据库310的对象URL,以存储于账户信息数据库309的各个账户进行登录,以登录的账户对可转移的Web页面进行爬行。根据爬行实施部302的指示,Web应用203生成HTTP请求,经由互联网202向Web服务器201发送HTTP请求。在从Web应用203接收到HTTP响应时,将HTTP请求和对其的响应输出到爬行实施部302。爬行实施部302将爬行时发生的HTTP请求和对其的HTTP响应保存到辅助存储装置105上的转移数据数据库310。
爬行是如下的技术:被称作爬虫的程序追踪位于给定的URL的全部超链接,收集转移终点的页面信息而进行索引化。另外,通过在执行爬行时经由本地代理,从而能够取得从本地代理发生的HTTP请求和HTTP响应的全部信息。
提取部303被读出到存储器103,由处理器102执行。提取部303从辅助存储装置105读出转移数据数据库310。关于存储于转移数据数据库310的记录中的转移终点URL相同且账户权限相同的记录,将HTTP请求的参数的差异输出到辅助存储装置105上的固定参数数据库311。
固定参数数据库311保持固定参数表460。
图8是示出实施方式1的固定参数表460的一例的图。固定参数表460是具有按照每个转移终点URL保存HTTP请求的参数名的字段和表示参数是固定还是变动的字段的表。
比较部304被读出到存储器103,由处理器102执行。比较部304从辅助存储装置105读出转移数据数据库310。比较部304关于存储于转移数据数据库310的转移终点URL相同的记录比较参数,将有不同部分的转移终点URL作为诊断对象URL输出到结果数据数据库312。
请求生成部305被读出到存储器103,由处理器102执行。请求生成部305从辅助存储装置105读出结果数据数据库312和转移数据数据库310。请求发送接收部306被读出到存储器103,由处理器102执行。
请求生成部305指示请求发送接收部306针对诊断对象URL生成HTTP请求。请求发送接收部306指示Web应用203针对诊断对象URL生成HTTP请求。请求发送接收部306将Web应用203生成的HTTP请求输出到请求生成部305。请求生成部305为了试行是否能够针对诊断对象URL进行与普通权限和特权相同的操作,将Web应用203生成的HTTP请求改写成试行用,将改写后的HTTP请求输出到请求发送接收部306。请求发送接收部306将经由互联网202从请求发送接收部306输入的HTTP请求发送到Web服务器201。请求发送接收部306经由互联网202从Web服务器201接收针对HTTP请求的HTTP响应,将接收到的HTTP响应输出到判定部307。
判定部307被读出到存储器103,由处理器102执行。判定部307从辅助存储装置105读出请求发送接收部306接收到的HTTP响应和转移数据数据库310。判定部307根据HTTP响应和保存于转移数据数据库310的特权下的针对HTTP请求的HTTP响应判定有无脆弱性,将判定出的结果输出到结果数据数据库312。
输出部308被读出到存储器103,由处理器102执行。输出部308从辅助存储装置105读出保存于辅助存储装置105的结果数据数据库312。输出部308将从结果数据数据库312读出的判定结果输出到输出接口106。
结果数据数据库312保持诊断结果表470以及结果详情表480这2种表。
图9是示出实施方式1的诊断结果表470的一例的图。
图10是示出实施方式1的结果详情表480的一例的图。
诊断结果表470是具有保存诊断对象URL、判定部307的结果的字段的表。结果详情表480是具有保存判定为有脆弱性的诊断对象URL和使用的参数名的字段的表。
接下来,对动作进行说明。
图11是示出实施方式1的输入部301、爬行实施部302以及提取部303的处理流程的流程图。在图11的流程图中,实线表示流程的路径,虚线表示针对各个数据库的数据写入和调用。
图12是示出实施方式1的HTTP请求/响应表441的一例的图。
图13是示出实施方式1的参数表451的一例的图。
在步骤S104的处理结束时,得到图12的HTTP请求/响应表441和图13的参数表451。
在经由输入接口106输入账户信息和对象URL时,输入部301开始处理。
在图11的步骤S101中,输入部301将输入的账户信息保存到账户信息数据库309的账户信息表410和登录参数420。账户信息包含在登录到Web应用203时所需的账户ID和密码这样的登录信息及其账户的账户权限和登录所需的参数的参数名。
输入部301将账户ID、密码以及账户权限保存到账户信息表410的账户ID、密码以及权限的项目。在图3中,例如作为项目编号U01保存有账户ID“mng1”、密码“1234abc”以及权限“特权”。
输入部301将参数名保存到登录参数表420。在图4中,作为项目编号ID保存有参数“accountid”,作为项目编号PWD保存有参数“passwd”。
另外,输入部301将输入的对象URL保存到转移数据数据库310的对象URL表430。在图5中,在对象URL表430中保存有对象URL“http://xxx.com”。处理进入到步骤S102。
在步骤S102中,爬行实施部302从保存于账户信息数据库309的账户信息表410选择1个未实施爬行的账户的记录,读出账户ID和密码。处理进入到步骤S103。
在步骤S103中,爬行实施部302从转移数据数据库310的对象URL表430读出对象URL“http://xxx.com”。爬行实施部302用选择出的账户的账户ID和密码登录到Web应用203,针对对象URL实施爬行。
以爬行实施部302用账户信息表410的项目编号U01的账户登录到Web应用203的情况为例对处理进行说明。爬行实施部302向对象URL“http://xxx.com”发送HTTP请求,进而向作为“http://xxx.com”上的链接的“http://xxx.com/login.php”发送HTTP请求。在接收到针对向“http://xxx.com/login.php”的HTTP请求的HTTP响应时,爬行实施部302向转移数据数据库310的HTTP请求/响应表441的项目编号URL01保存HTTP响应的内容。爬行实施部302在转移终点URL中保存“http://xxx.com/login.php”,在响应代码中保存“200”,在响应内容中保存响应的头信息和主体信息,在转移始点URL中保存“http://xxx.com”,在权限中保存“特权”。在权限中保存已登录账户的权限的种类。另外,向转移终点URL“http://xxx.com/login.php”发送的HTTP请求包含有参数的情况下,爬行实施部302保存到转移数据数据库310的参数表451。虽然在图13的参数表451中未示出,但假设保存有参数。
接下来,爬行实施部302向作为“http://xxx.com/login.php”上的链接的“http://xxx.com/top.php”发送HTTP请求。当接收到HTTP响应时,爬行实施部302在HTTP请求/响应表441的项目编号URL02中保存HTTP响应的内容。爬行实施部302在转移终点URL中保存“http://xxx.com/top.php”,在响应代码中保存“200”,在响应内容中保存响应的头信息和主体信息,在转移始点URL中保存“http://xxx.com/login.php”,在权限中保存“特权”。向转移终点URL“http://xxx.com/top.php”发送的HTTP请求包含有参数auth、userID。爬行实施部302将参数名、参数的值、表示记载有参数的位置的值(URL的查询部、头部或主体部)保存到参数表451的项目编号URL02-01、URL02-02。此外,项目编号URL02-01、URL02-02表示是URL02的参数。在将参数保存到参数表451时,爬行实施部302赋予项目编号,以便可对应地知道是包含于哪个HTTP请求的参数。在本实施方式中,以项目编号来示出对应,但也可以是其它方法。
爬行实施部302追踪对象URL“http://xxx.com”及处于其下属的全部链接,如上所述收集转移终点的页面信息,将收集到的信息保存到HTTP请求/响应表441和参数表451。在转移终点的页面中也收集到页面信息直到不存在未转移的链接终点为止时,爬行实施部302结束爬行而进行退出。处理进入到步骤S104。
在步骤S104中,爬行实施部302判定是否没有未实施爬行的账户。爬行实施部302掌握关于账户信息表410的各个账户是否实施了爬行。在有未实施爬行的账户的情况下,处理进入到步骤S102,爬行实施部302选择未实施爬行的账户来实施爬行。
爬行实施部302反复进行步骤S102~S104的流程直到不存在未实施爬行的账户为止。
在图12中,假设在账户ID“mng1”的爬行中保存项目编号URL01~URL02的记录,在账户ID“mng2”的爬行中保存项目编号URL03~URL04的记录。假设在账户ID“user1”的爬行中保存项目编号URL05~URL06的记录,在账户ID“user2”的爬行中保存项目编号URL07~URL08的记录。权限与转移终点URL相同的记录是在由权限相同的不同账户实施的爬行中得到的信息。
在图13中,假设在账户ID“mng1”的爬行中保存项目编号URL02-01~URL02-02的记录,在账户ID“mng2”的爬行中保存项目编号URL04-01~URL04-02的记录。假设在账户ID“user1”的爬行中保存项目编号URL06-01~URL06-02的记录,在账户ID“user2”的爬行中保存项目编号URL08-01~URL08-02的记录。
返回到图11的流程图的说明。
在步骤S104中,如果不存在未实施爬行的账户,则处理进入到步骤S105。
在步骤S105中,提取部303针对相同的转移终点进行关于权限同为特权的记录提取HTTP请求的参数值的差异的处理。
提取部303从HTTP请求/响应表441,选择权限为特权且转移终点URL相同的记录。以选择项目编号URL02和项目编号URL04的情况为例进行说明。将与项目编号URL02、URL04相关的参数保存到参数表451的URL02-01~URL02-02、URL04-01~URL04-02。提取部303提取这些参数的差异。
URL02-01和URL04-01由于值相同,因此,提取部303在固定参数表460的项目编号PARAM02-01的对象中保存“URL04-01”,在固定中保存“固定”。URL02-02和URL04-02由于值不同,因此,提取部303在固定参数表460的项目编号PARAM02-02的对象中保存“URL04-02”,在固定中保存“变动”。处理结束。
HTTP请求的参数分别是以下3个值:每当进行会话ID、时刻等的登录时每次不同的参数的值,每当进行目的地URL、content-type等头信息等的登录时不会改变的固定参数的值,每当进行用户ID等的登录时不会改变但根据账户而不同的参数的值。在本实施方式中,提取部303能够从HTTP请求的参数提取每当进行登录时不会改变的固定参数。
图14是示出实施方式1的比较部304、请求生成部305、请求发送接收部306、判定部307以及输出部308的处理流程的流程图。实线表示流程的路径,虚线表示针对各个数据库的数据的写入和调用。为了针对诊断对象URL试行由普通权限和特权是否能够进行相同的操作,由普通权限的账户进行登录,将HTTP请求发送到诊断对象URL。
在步骤S201中,比较部304从转移数据数据库310的HTTP请求/响应表441选择记录,并与其它记录进行比较。使用图15对步骤S201的详情进行说明。
图15是示出实施方式1的图14的步骤S201的比较部304的处理详情的流程图。
在步骤S301中,比较部304从HTTP请求/响应表441选择1个记录,判定是否有转移终点URL相同的其它记录。如果没有转移终点URL相同的其它记录,则处理进入到步骤S302,如果有转移终点URL相同的其它记录,则处理进入到步骤S304。
在步骤S302中,比较部304判定选择出的记录的权限是否是特权。在选择出的记录的权限是特权的情况下,处理进入到步骤S303。在选择出的记录的权限不是特权的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL,结束处理。
在步骤S303中,比较部304将选择出的记录的转移终点URL保存到图9的结果数据数据库312的诊断结果表470,结束处理。
在步骤S304中,比较部304参照参数表451,关于转移终点URL相同的记录,判定存在参数名的是否仅是特权的记录。在存在参数名的仅是特权的记录的情况下,处理进入到步骤S305。在存在参数名的并不仅是特权的记录的情况下,处理进入到步骤S306。
在步骤S305中,比较部304将选择出的记录的转移终点URL和参数名保存到结果数据数据库312的诊断结果表470,结束处理。
在步骤S306中,比较部304参照参数表451,关于转移终点URL相同的记录,判定在特权和普通权限中是否存在相同的参数名。在特权和普通权限中存在相同的参数名的情况下,处理进入到步骤S307。在特权和普通权限中不存在相同的参数名的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL,结束处理。
在步骤S307中,比较部304参照参数表451,判定是否存在在特权和普通权限中相同的参数名且值相同。在值不同的情况下,处理进入到步骤S308。在值相同的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL,结束处理。
在步骤S308中,比较部304参照固定参数表460,判定参数是否固定。在参数固定的情况下,处理进入到步骤S305。在参数不固定的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL,结束处理。
返回到图14的流程图的说明。在步骤S202中,请求生成部305使用保存于账户信息数据库309的信息,用普通权限的账户登录到Web应用203。假设用项目编号U03的账户“user1”进行了登录。处理进入到步骤S203。
在步骤S203中,请求生成部305从诊断结果表470选择诊断对象URL,从HTTP请求/响应表441读出保存有与选择出的诊断对象URL一致的转移终点URL的记录。在读出的记录的访问权仅是特权的情况下,意味着仅在特权的情况下存在转移终点URL。处理进入到步骤S204。另一方面,在具有读出的记录的访问权为特权的记录和普通权限的记录这两者的情况下,意味着在普通权限下也存在诊断对象URL。处理进入到步骤S205。
在步骤S204中,请求生成部305经由请求发送接收部306将诊断对象URL输出到Web应用203。请求生成部305经由请求发送接收部306从Web应用203受理向诊断对象URL的普通权限的HTTP请求。请求生成部305根据从HTTP请求/响应表441读出的记录生成HTTP请求。读出的记录是特权的记录。请求生成部305从与从HTTP请求/响应表441读出的记录对应的参数表451的记录读出设定于HTTP请求的参数。在特权的情况下,读出的参数是设定于HTTP请求的参数。请求生成部305参照固定参数数据库311的固定参数表460,在读出的参数固定的情况下,不变更HTTP请求的参数的值。在读出的参数变动的情况下,将HTTP请求的参数的值变更成从Web应用203受理的普通权限的HTTP请求的参数的值。另外,请求生成部305向结果数据数据库312的结果详情表480保存诊断对象URL、变更值后的参数名。请求生成部305将这样生成的HTTP请求输出到请求发送接收部306。请求发送接收部306将从请求生成部305输入的HTTP请求发送到Web服务器201,在从Web服务器201接收到HTTP响应时输出到判定部307。处理进入到步骤S206。
在步骤S205中,请求生成部305经由请求发送接收部306将诊断对象URL输出到Web应用203,经由请求发送接收部306从Web应用203受理向诊断对象URL的普通权限的HTTP请求。请求生成部305从与在步骤S203中从HTTP请求/响应表441读出的记录对应的参数表451的记录,读出在特权的情况下设定于HTTP请求的参数。请求生成部305参照固定参数数据库311的固定参数表460,在具有与普通权限的HTTP请求中包含的参数相应的记录且固定的情况下,将HTTP请求的相应参数的值变更成特权的参数的值。另外,请求生成部305向结果数据数据库312的结果详情表480保存诊断对象URL、变更值后的参数名。在具有与普通权限的HTTP请求中包含的参数相应的记录且变动的情况下,请求生成部305不变更HTTP请求的相应参数的值。固定参数例如是权限识别的参数。变动参数例如是用户ID、时刻。另外,请求生成部305将读出的特权的参数中的未包含在普通权限的HTTP请求中的参数追加到HTTP请求。请求生成部305将这样生成的HTTP请求输出到请求发送接收部306。请求发送接收部306将从请求生成部305输入的HTTP请求发送到Web服务器201。请求发送接收部306在从Web服务器201接收到HTTP响应时,将接收到的HTTP响应输出到判定部307。处理进入到步骤S206。
在步骤S206中,判定部307比较输入的HTTP响应的响应代码与保存于HTTP请求/响应表441的正常响应的响应代码。判定部307通过比较响应代码的值来判定脆弱性。在响应代码相同的情况下,由于在普通权限下也能够执行特权的操作,因此判定部307判定为有脆弱性。在响应代码不同的情况下,判定部307判定为无脆弱性。判定部307将判定出的脆弱性的有无保存到与诊断结果表470的诊断对象URL相应的记录的脆弱性。处理进入到步骤S207。
在步骤S207中,判定部307判定关于诊断结果表470的全部记录是否完成了脆弱性的判定处理。如果关于诊断结果表470的全部记录设定有脆弱性的项目,则判定部307判定为完成。在完成的情况下,处理进入到步骤S208。在未完成的情况下,处理返回到步骤S202。反复进行步骤S202~S207的处理,直到关于诊断结果表470的全部记录设定有脆弱性的项目为止。
在步骤S208中,输出部308将结果数据数据库312的数据输出到输出接口104,结束处理。
此外,在本实施方式中,在接收到的HTTP响应和保存于HTTP请求/响应表441的正常HTTP响应的响应代码相同的情况下,判定为有脆弱性,但也可以使用HTTP响应的头信息或主体信息中包含的值来判定脆弱性。
因此,在本实施方式中,具备:提取部303,其提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到转移终点URL的HTTP请求中包含的参数相同的固定参数;请求生成部305,其在由普通权限的账户发送到转移终点URL的HTTP请求的参数中包含有由提取部303提取出的固定参数,且值与特权的账户的值不同的情况下,输出对固定参数设定了特权的账户的值的HTTP请求;请求发送接收部306,其由普通权限的账户将HTTP请求发送到转移终点URL,接收HTTP响应;以及判定部307,其根据HTTP响应来判定转移终点URL的脆弱性。因此,能够诊断是否有权限管理的缺陷而无需事先掌握Web应用的转移终点URL。通过确认向在普通权限的画面上不显示的页面的转移或是否能够执行无法执行的操作,诊断是否没有权限管理的缺陷。由于诊断装置200诊断权限管理的缺陷,因此能够削减人力成本。
另外,在由普通权限的账户发送到转移终点URL的HTTP请求的参数中不包含由提取部303提取出的固定参数的情况下,请求生成部305将设定了特权的账户的值的固定参数追加到HTTP请求,输出追加有固定参数的HTTP请求,因此,关于未包含在普通权限的HTTP请求中的参数,能够诊断是否没有权限管理的缺陷。
另外,提取部303提取由第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由第2账户发送到转移终点URL的HTTP请求中包含的参数不同的变动参数,请求生成部305在未由普通权限的账户转移到转移终点URL的情况下,对由特权的账户发送到转移终点URL的HTTP请求中的由提取部303提取出的变动参数,设定由普通权限的账户发送到转移终点URL的HTTP请求的参数的值,输出设定了值的HTTP请求。因此,关于用普通权限的账户不会转移的转移终点URL,能够诊断是否没有权限管理的缺陷。
实施方式2
在以上的实施方式1中,提取部303每当进行登录时提取不会改变的固定参数,但在本实施方式中,示出转移终点URL和参数的组合相同且每当进行登录时提取值改变的参数和不改变的参数的实施方式。
此外,在本实施方式中,对在具备实施方式1中记载的全部结构的基础上进一步附加的结构进行说明。
图16是示出实施方式2的HTTP请求/响应表442的一例的图。
图17是示出实施方式2的参数表452的一例的图。
首先,关于图11的流程图,说明与实施方式1不同的动作。
在图11的步骤S103中,爬行实施部302用选择出的账户实施爬行,在进行退出之后,用相同的账户再次登录到Web应用203,对对象URL实施第2次爬行。在第2次爬行结束时,爬行实施部302进行退出。
在图16中,假设在账户ID“mng1”的第1次爬行中保存项目编号URL01~URL04的记录,在账户ID“user1”的第1次爬行中保存项目编号URL05~URL07的记录。
在图17中,假设在账户ID“mng1”的第1次爬行中保存项目编号URL03-01~URL03-03、URL04-01~URL04-03的记录。假设在账户ID“user1”的第1次爬行中保存项目编号URL07-01~URL07-03的记录。
在第2次爬行中,得到在第1次爬行中得到的图16的HTTP请求/响应表442以及保存有与图17的参数表452相同的值的HTTP请求/响应表443、参数表453。此外,由于内容相同,因此省略图示。
在图11的步骤S105中,提取部303参照在第1次爬行中得到的HTTP请求/响应表442、参数表452以及在第2次爬行中得到的HTTP请求/响应表443、参数表453,关于HTTP请求/响应表442的特权的各项目编号,提取第1次爬行与第2次爬行中的参数的差异。
图18是示出实施方式2的固定参数表462的一例的图。在第1次爬行和第2次爬行中得到相同的值,因此,固定参数表461的全部参数是固定的。
接下来,提取部303选择HTTP请求/响应表442的记录中的权限为特权的记录。提取部303关于权限为特权且与选择出的记录的转移终点URL相同的记录,从HTTP请求/响应表442提取参数的差异。提取部303将提取出的参数的差异保存到固定参数表462。
图19是示出实施方式2的固定参数表462的一例的图。比较项目编号的URL03和URL04可知,URL和userID的值相同,因此,在固定参数表462的PARAM03-01和PARAM03-02的固定字段中保存有“固定”。另一方面,page的值不同,因此,在固定参数表462的PARAM03-03的固定字段中保存有“变动”。
图20是示出实施方式2的HTTP请求/响应表444的一例的图。
提取部303判定为在固定参数表462中在固定字段保存有“变动”的参数page是唯一地表示页面所需的参数。提取部303向HTTP请求/响应表442追加转移参数的字段,生成设定了page的值的HTTP请求/响应表444。
接下来,关于图14的流程图,说明与实施方式1不同的动作。
在步骤S201中,比较部304从转移数据数据库310的HTTP请求/响应表444选择记录,与其它记录进行比较。使用图21对步骤S201的处理详情进行说明。
图21是示出实施方式2的图14的步骤S201的比较部304的处理详情的流程图。
图22是示出实施方式2的诊断结果表471的一例的图。
图23是示出实施方式2的结果详情表481的一例的图。
在图21的步骤S401中,比较部304从HTTP请求/响应表444选择1个记录,判定是否有转移终点URL和转移参数相同的其它记录。如果没有转移终点URL和转移参数相同的其它记录,则处理进入到步骤S402,如果有转移终点URL和转移参数相同的其它记录,则处理进入到步骤S404。
在步骤S402中,比较部304判定选择出的记录的权限是否是特权。在选择出的记录的权限是特权的情况下,处理进入到步骤S403。在选择出的记录的权限不是特权的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL,结束处理。
在步骤S403中,比较部304将选择出的记录的转移终点URL和转移参数保存到结果数据数据库312的诊断结果表471,结束处理。
在步骤S404中,比较部304参照参数表452,关于转移终点URL和转移参数相同的记录,判定存在参数名的是否仅是特权的记录。在存在参数名的仅是特权的记录的情况下,处理进入到步骤S405。在存在参数名的并不仅是特权的记录的情况下,处理进入到步骤S406。
在步骤S405中,比较部304将选择出的记录的转移终点URL、转移参数以及参数名保存到结果数据数据库312的结果详情表481,结束处理。
在步骤S406中,比较部304参照参数表452,关于转移终点URL和转移参数相同的记录,判定在特权和普通权限中是否存在相同的参数名。在特权和普通权限中存在相同的参数名的情况下,处理进入到步骤S407。在特权和普通权限中不存在相同的参数名的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL和转移参数,结束处理。
在步骤S407中,比较部304参照参数表444,判定是否存在在特权和普通权限中相同的参数名且值相同。在值不同的情况下,处理进入到步骤S305。在值相同的情况下,比较部304从诊断对象排除选择出的记录的转移终点URL和转移参数,结束处理。
此外,在本实施方式中,爬行实施部302不识别在第1次和第2次爬行中得到的信息而保存到HTTP请求/响应表442和参数表452,但也可以以可识别在第1次和第2次爬行中得到的信息的方式进行保存。也可以增加表或增加表的列。
如上所述,在本实施方式中,关于由第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由第2账户发送到转移终点URL的TTP请求中包含的参数相同的固定参数,在从第1账户向转移终点URL多次发送的HTTP请求中包含的固定参数值不同的情况下,提取部303提取固定参数作为由与转移终点URL的组合唯一地表示页面的转移参数,因此,在由URL和转移参数的组合唯一地表示页面的情况下,也能够诊断权限管理的缺陷。
实施方式3
在以上的实施方式1中,在固定参数数据库311的固定参数表460中保存提取部303提取出的HTTP请求的参数是固定还是变动,但在本实施方式中,示出向转移数据数据库310的HTTP请求/响应表追加字段来保存的实施方式。
图24是实施方式3的包含诊断装置210的功能结构的一例的整体的框图。与实施方式1的诊断装置200的不同点在于,删除了固有数据数据库。
图25是示出实施方式3的输入部301、爬行实施部302以及提取部303的处理流程的流程图。与实施方式1的图11的流程图的不同点在于,从步骤S105向转移数据数据库310输出。
图26是示出实施方式3的转移数据数据库310的参数表454的一例的图。与实施方式1的参数表451的不同点在于,追加有固定的字段。
在图25的步骤105中,对与实施方式1不同的动作进行说明。
提取部303针对相同的转移终点,关于权限同为特权的记录提取HTTP请求的参数的值的差异。URL02-01和URL04-01的值相同,因此,提取部303在固定参数表460的项目编号URL02-01和项目编号URL04-01的固定中保存“固定”。另外,URL02-02和URL04-02的值不同,因此,提取部303在固定参数表460的项目编号PARAM02-02和项目编号URL04-02的固定中保存“变动”。结束处理。
图27是示出实施方式3的比较部304、请求生成部305、请求发送接收部306、判定部307以及输出部308的处理流程的流程图。与实施方式1的图14的流程图的不同点在于,在步骤S201、步骤S204、步骤S205中从转移参数数据库的参数表454读出参数是否是固有的信息。
此外,在本实施方式中,也可以包含如实施方式2所示按照每个账户实施2次爬行来决定页面转移所需的特定参数的功能。
因此,在本实施方式中,转移数据数据库310还保持固有参数数据库311的信息,因此,能够削减具有与转移数据数据库310的参数表T203的记录相同数量的记录的固有参数数据库311,削减在固有参数数据库311中使用的存储器资源。
实施方式4
在以上的实施方式1中,诊断装置200提取诊断对象URL并进行脆弱性的判定,但在本实施方式中,示出诊断对象提取装置提取诊断对象URL,判定诊断实施装置提取出的诊断对象URL的脆弱性的实施方式。
对与实施方式3不同的部分进行说明。
图28是实施方式4的包含诊断对象提取装置220的功能结构的一例的整体的框图。诊断对象提取装置220具备输入部301、爬行实施部302、提取部303、比较部304、账户信息数据库313、转移数据数据库314以及输出部315。账户信息数据库313、转移数据数据库314保持与实施方式3的账户信息数据库309、转移数据数据库310相同的功能。
比较部304被读出到存储器103,由处理器102执行。比较部304从辅助存储装置105读出转移数据数据库310。比较部304关于存储于转移数据数据库310的转移终点URL相同的记录比较参数,将有不同部分的转移终点URL作为诊断对象URL,与参数一起输出到输出部315。
输出部315被读出到存储器103,由处理器102执行。输出部315将从比较部304输入的诊断对象URL输出到输出接口106。
图29是实施方式4的包含诊断实施装置230的功能结构的一例的整体的框图。诊断实施装置230具备输入部316、请求生成部305、请求发送接收部306、判定部307、输出部308、账户信息数据库317、转移数据数据库318以及结果数据数据库319。账户信息数据库317、转移数据数据库318以及结果数据数据库319保持与实施方式3的账户信息数据库309、转移数据数据库310、结果数据数据库312相同的功能。
输入部316被读出到存储器103,由处理器102执行。将经由输入接口106输入的值保存到辅助存储装置105。输入部316将输入的账户信息(登录信息、权限信息)输出到辅助存储装置105上的账户信息数据库317。另外,输入部316将诊断对象URL和参数输出到转移数据数据库318。
接下来,对动作进行说明。
图30是示出实施方式4的诊断对象提取装置220的输入部301、爬行实施部302以及提取部303的处理流程的流程图。步骤S501~S505的处理与实施方式3的图25的步骤S101~S105的处理相同。
在步骤S505中,提取部303针对相同的转移终点,关于权限同为特权的记录将HTTP请求的固定参数输出到比较部304。
在步骤S506中,在从提取部303输入的参数存在于特权而不存在于普通权限或值不同的情况下,比较部304将其转移终点URL和参数的值作为诊断对象数据320经由输出部315输出。另外,输出部315输出保存于账户信息数据库313的账户信息。结束处理。
图31是示出实施方式4的诊断实施装置230的输入部316、请求生成部305、请求发送接收部306、判定部307以及输出部308的处理流程的流程图。
在步骤S601中,将账户信息和诊断对象数据320输入到输入部316。输入部316将输入的账户信息保存到账户信息数据库317。另外,输入部316将诊断对象数据320保存到转移数据数据库318以及结果数据数据库。
步骤S602~S608与实施方式3的步骤S202~S208相同。
此外,在本实施方式中,也可以包含如实施方式2所示按照每个账户实施2次爬行来决定页面转移所需的特定参数的功能。
另外,在本实施方式中,也可以收集从诊断对象提取装置220输出的诊断对象的信息,安全诊断使用现有的方法。另外,也可以将从在现有的安全诊断中利用的Web应用收集到的诊断对象信息输入到诊断实施装置230。
因此,在本实施方式中,具备诊断对象提取装置220和诊断实施装置230,其中,诊断对象提取装置220具备提取部303,该提取部303提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到转移终点URL的HTTP请求中包含的参数相同的固定参数,诊断实施装置230具备:请求生成部305,其在由普通权限的账户发送到转移终点URL的HTTP请求的参数包含有由提取部303提取出的固定参数,且值与特权的账户的值不同的情况下,输出对固定参数设定了特权的账户的值的HTTP请求;请求发送接收部306,其由普通权限的账户将HTTP请求发送到转移终点URL,接收HTTP响应;以及判定部307,其根据HTTP响应来判定转移终点URL的脆弱性。因此,能够诊断是否有权限管理的缺陷而无需事先掌握Web应用的转移终点URL。
(符号说明)
101:通信接口
102:处理器
103:存储器
104:输出接口
105:辅助存储装置
106:输入接口
107:总线
200、210:安全诊断装置
201:Web服务器
202:互联网
203:Web应用
220:诊断对象提取装置
230:诊断实施装置
301、316:输入部
302:爬行实施部
303:提取部
304:比较部
305:请求生成部
306:请求发送接收部
307:判定部
308、315:输出部
309、313、317:账户信息数据库
310、314、318:转移数据数据库
311:固定参数数据库
312、319:结果数据数据库
410:账户信息表
420:登录参数表
430:对象URL表
440、441、442、443、444:HTTP请求/响应表450、451、452、453、454:参数表
460、461、462:固定参数表
470、471:诊断结果表
480、481:结果详情表。
Claims (7)
1.一种安全诊断装置,其特征在于,该安全诊断装置具备:
提取部,其提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数;
请求生成部,其在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数包含有由所述提取部提取出的所述固定参数,且值与特权的账户的值不同的情况下,输出对所述固定参数设定了特权的账户的值的HTTP请求;
请求发送接收部,其用普通权限的账户将所述HTTP请求发送到所述转移终点URL,接收HTTP响应;以及
判定部,其根据所述HTTP响应来判定所述转移终点URL的脆弱性。
2.根据权利要求1所述的安全诊断装置,其特征在于,
在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数不包含由所述提取部提取出的所述固定参数的情况下,所述请求生成部将设定了特权的账户的值的所述固定参数追加到HTTP请求中,输出追加有所述固定参数的HTTP请求。
3.根据权利要求1或2所述的安全诊断装置,其特征在于,
所述提取部提取由所述第1账户发送到所述转移终点URL的HTTP请求中包含的参数中的、值与由所述第2账户发送到所述转移终点URL的HTTP请求中包含的参数不同的变动参数,
在未由普通权限的账户转移到所述转移终点URL的情况下,所述请求生成部对由特权的账户发送到所述转移终点URL的HTTP请求中的由所述提取部提取出的所述变动参数,设定由普通权限的账户发送到所述转移终点URL的HTTP请求的参数的值,输出设定了值的HTTP请求。
4.根据权利要求1~3中的任意一项所述的安全诊断装置,其特征在于,
关于由所述第1账户发送到所述转移终点URL的HTTP请求中包含的参数中的、值与由所述第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数,在从所述第1账户向所述转移终点URL多次发送的HTTP请求中包含的所述固定参数的值不同的情况下,所述提取部提取所述固定参数,作为由与所述转移终点URL的组合唯一地表示页面的转移参数。
5.根据权利要求1~4中的任意一项所述的安全诊断装置,其特征在于,该安全诊断装置具备:
爬行实施部,其针对输入的URL,用多个特权的账户实施爬行,将所述转移终点URL、发送到所述转移终点URL的HTTP请求中包含的参数、从所述转移终点URL接收到的HTTP响应以及发送了所述HTTP请求的账户的权限对应地保存到转移数据数据库;以及
比较部,其根据所述转移数据数据库中保存的所述多个特权的账户的所述转移终点URL和所述参数,输出所述转移终点URL作为诊断对象。
6.一种安全诊断装置,其特征在于,该安全诊断装置具备安全诊断对象提取装置和安全诊断实施装置,其中,
所述安全诊断对象提取装置具备提取部,该提取部提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数,
所述安全诊断实施装置具备:
请求生成部,其在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数包含有由所述提取部提取出的所述固定参数,且值与特权的账户的值不同的情况下,输出对所述固定参数设定了特权的账户的值的HTTP请求;
请求发送接收部,其用普通权限的账户将所述HTTP请求发送到所述转移终点URL,接收HTTP响应;以及
判定部,其根据所述HTTP响应来判定所述转移终点URL的脆弱性。
7.一种安全诊断方法,该安全诊断方法具有如下步骤:
提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数;
在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数包含有提取出的所述固定参数,且值与特权的账户的值不同的情况下,输出对所述固定参数设定了特权的账户的值的HTTP请求;
将所述HTTP请求发送到所述转移终点URL,接收HTTP响应;以及
根据所述HTTP响应来判定所述转移终点URL的脆弱性。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/027822 WO2019026172A1 (ja) | 2017-08-01 | 2017-08-01 | セキュリティ診断装置およびセキュリティ診断方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110998577A true CN110998577A (zh) | 2020-04-10 |
Family
ID=65232390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780093329.9A Withdrawn CN110998577A (zh) | 2017-08-01 | 2017-08-01 | 安全诊断装置以及安全诊断方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200167478A1 (zh) |
| EP (1) | EP3651045A1 (zh) |
| JP (1) | JP6636222B2 (zh) |
| CN (1) | CN110998577A (zh) |
| WO (1) | WO2019026172A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7217400B2 (ja) * | 2018-10-31 | 2023-02-03 | GMOサイバーセキュリティbyイエラエ株式会社 | ウェブサイトの脆弱性診断装置、診断システム、診断方法および診断プログラム |
| CN111125713B (zh) * | 2019-12-18 | 2022-04-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
| US11683294B2 (en) * | 2019-12-30 | 2023-06-20 | Imperva, Inc. | Privacy-preserving learning of web traffic |
| US20230328091A1 (en) * | 2022-04-07 | 2023-10-12 | Vmware, Inc. | Automated discovery of vulnerable endpoints in an application server |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101001132B1 (ko) * | 2008-02-22 | 2010-12-15 | 엔에이치엔비즈니스플랫폼 주식회사 | 웹 어플리케이션의 취약성 판단 방법 및 시스템 |
| JP5228943B2 (ja) | 2009-01-27 | 2013-07-03 | 富士通株式会社 | 最小権限違反検出プログラム |
| US20170063916A1 (en) * | 2015-08-26 | 2017-03-02 | Wegilant Net Solutions Private Limited | System and method for automatically identifying broken authentication and other related vulnerabilities in web services |
| US10019529B2 (en) * | 2015-11-19 | 2018-07-10 | International Business Machines Corporation | Identifying webpages accessible by unauthorized users via URL guessing or network sniffing |
-
2017
- 2017-08-01 WO PCT/JP2017/027822 patent/WO2019026172A1/ja unknown
- 2017-08-01 EP EP17919720.7A patent/EP3651045A1/en not_active Withdrawn
- 2017-08-01 US US16/621,338 patent/US20200167478A1/en not_active Abandoned
- 2017-08-01 CN CN201780093329.9A patent/CN110998577A/zh not_active Withdrawn
- 2017-08-01 JP JP2019533770A patent/JP6636222B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019026172A1 (ja) | 2019-02-07 |
| US20200167478A1 (en) | 2020-05-28 |
| EP3651045A4 (en) | 2020-05-13 |
| EP3651045A1 (en) | 2020-05-13 |
| JPWO2019026172A1 (ja) | 2019-11-21 |
| JP6636222B2 (ja) | 2020-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| CA2679967C (en) | System and method for providing application penetration testing | |
| US6879979B2 (en) | Method to remotely query, safely measure, and securely communicate configuration information of a networked computational device | |
| CN110998577A (zh) | 安全诊断装置以及安全诊断方法 | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN112347485B (zh) | 多引擎获取漏洞并自动化渗透的处理方法 | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| CN113868659B (zh) | 一种漏洞检测方法及系统 | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
| JP2008015733A (ja) | ログ管理計算機 | |
| Laksmiati | Vulnerability assessment with network-based scanner method for improving website security | |
| CN113868669A (zh) | 一种漏洞检测方法及系统 | |
| JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| CN114598507B (zh) | 攻击者画像生成方法、装置、终端设备及存储介质 | |
| CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
| JP5640752B2 (ja) | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム | |
| CN113886837A (zh) | 一种漏洞检测工具可信度验证方法和系统 | |
| CN110995738B (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
| CN109560960B (zh) | Waf暴力破解防护的参数配置方法及装置、waf系统 | |
| JP2004310267A (ja) | ウェブサイトの検査装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200410 |