CN111191246A - 一种基于Spring注解的安全开发校验方法 - Google Patents

一种基于Spring注解的安全开发校验方法 Download PDF

Info

Publication number
CN111191246A
CN111191246A CN201911345232.XA CN201911345232A CN111191246A CN 111191246 A CN111191246 A CN 111191246A CN 201911345232 A CN201911345232 A CN 201911345232A CN 111191246 A CN111191246 A CN 111191246A
Authority
CN
China
Prior art keywords
annotation
interface
class
parameter
spring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911345232.XA
Other languages
English (en)
Inventor
郑国祥
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911345232.XA priority Critical patent/CN111191246A/zh
Publication of CN111191246A publication Critical patent/CN111191246A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于Spring注解的安全开发校验方法,配置扫描包及对应的AOP实现类,当被拦截的接口的类及关联参数为Spring自带的类时则结束,否则获取被拦截的接口的方法对应的参数值,根据参数注解的类型选择对应的检测规则、查找对应的控制类文件,在对外开放接口添加需要校验的注解类,启用Web应用,接口持续校验收到的请求,合法则接受请求,否则拒绝。本发明利用自定义的注解校验实现对对外提供的接口强制校验,杜绝外部传入恶意不规范的数据引起的安全漏洞相关问题;采用Spring框架下的AOP技术,以多种规则校验算法实现通用接口漏洞防护的方案,针对不同数据进行不同规则的匹配应用,规则编写简易化,通用性强。

Description

一种基于Spring注解的安全开发校验方法
技术领域
本发明涉及错误检测;错误校正;监控的技术领域,特别涉及一种基于Spring注解的安全开发校验方法。
背景技术
Web应用是互联网应用的重要形式,是金融、运营商、政府部门、教育等社会关键信息系统的门户应用首选。随着各种各样的安全事件以及影响危害巨大的安全漏洞的公布,Web应用的安全不可轻视,人们越来越关注网站应用本身的安全,网站应用安全漏洞检测的需求也日渐上涨。
随着Web应用的组件技术和支撑手段不断丰富变化,互联网安全下的Web应用所暴露出的安全层面的问题也是层见迭出。黑客通过对暴露在公网上或者直接可以未授权连接的内网环境下的Web应用或者服务器进行漏洞攻击,可以获得该Web应用的后台管理员权限或者该Web应用所在的服务器系统权限,一方面直接获得该Web应用或者服务器上的敏感文件、敏感数据等信息,另一方面也可以将该服务器做为跳板,对该服务器所在的内网网段进行渗透,可以攻击内网网段中其他的服务器或者其他更多的智能设备,获得大量内网敏感信息,获得服务器权限等。
Java Web开发从1999年至今已经经历近20年历程,推出了Spring、Struts、Hibernate、Ibatis等基于业务或者数据库的框架,具有很多可以防护Java Web应用会遇到的应用层漏洞的模具,如各种硬件或者软件WAF;然而,除了需要消耗一定的成本外,一些容易被绕过的风险还是存在,且这些WAF的防护的结果有可能包含误判或者漏判,一些开发人员自己编写的防护过滤器并不能最大程度的限制安全漏洞的产生,还可能需要人工干预审计代码。
另一方面,由于部分开发人员安全意识的薄弱、开发人员的快速流动以及JavaWeb框架自身存在的漏洞,在日常开发软件过程中对用户传入的数据类型、数据长度、数据的字符并未进行合理有效的校验,在接口对外开放的过程中容易被外部攻击者传入恶意的攻击数据(一些特殊字符,超长字符串等等)进行漏洞攻击,经常会由于参数被污染而导致SQL注入、命令注入、文件上传或者业务层面逻辑漏洞等漏洞产生,虽然可以利用注解校验的方式实现对对外提供的接口强制校验、杜绝外部传入恶意不规范的数据引起的安全漏洞相关问题,且通过注解的方式可以轻松的配置所有的检查项,但是仍然无法解决逻辑漏洞产生的安全问题。
综上所述,现有技术中,Web安全开发的过程消耗大量人力物力,如果采用硬件WAF则需要采购相应的硬件设备进行支持,且不能防护所有类型的安全漏洞,容易产生误报以及漏洞,无法从根源上解决问题,同时现有的基于Java安全防护的规则编写繁琐,并不能最大程度的限制安全漏洞的产生。
发明内容
本发明解决了现有技术中,Web安全开发的过程消耗大量人力物力,如果采用硬件WAF则需要采购相应的硬件设备进行支持,且不能防护所有类型的安全漏洞,容易产生误报以及漏洞,无法从根源上解决问题,同时现有的基于Java安全防护的规则编写繁琐,并不能最大程度的限制安全漏洞的产生的问题,提供了一种优化的基于Spring注解的安全开发校验方法。
本发明所采用的技术方案是,一种基于Spring注解的安全开发校验方法,所述方法包括以下步骤:
步骤1:配置用于查找Spring对外开放的接口文档的扫描包;
步骤2:配置与所述扫描包对应的AOP实现类,用于拦截所有对外开放接口;
步骤3:判断被拦截的接口的类是否为Spring自带的类,如是,则结束,否则,判断被拦截的接口的类的关联参数是否指向Spring自带的类,若关联参数均指向Spring自带的类则结束,否则,进行下一步;
步骤4:获取被拦截的接口的方法对应的参数值,根据参数注解的类型选择对应的检测规则,查找对应的控制类文件;
步骤5:在每个对外开放接口添加需要校验的注解类;
步骤6:启用Web应用;
步骤7:任一接口对请求进行校验,若合法,则接受请求,否则拒绝,重复步骤7。
优选地,所述步骤2中,所述对外开放接口为添加RequestMapping注解的方法。
优选地,所述步骤3中,判断被拦截的接口的类的关联参数是否指向Spring自带的类包括以下步骤:
步骤3.1:以JAVA反射的方式,对接口的方法涉及的参数进行获取;
步骤3.2:基于获取的参数,获取对应每个参数的类型;
步骤3.3:逐个判断每个参数的类型是否为Spring自带的类,若是,则结束,否则,进行步骤4。
优选地,所述步骤4中,参数注解的类型包括ID序号属性注解、IP地址属性注解、邮箱属性注解、路径属性注解、域名属性注解、URL属性注解、普通参数属性注解、对象参数注解、文件上传属性注解和不安全参数属性注解。
本发明提供了一种优化的基于Spring注解的安全开发校验方法,通过配置用于查找Spring对外开放的接口文档的扫描包及与其对应的用于拦截所有对外开放接口的AOP实现类,当被拦截的接口的类及关联参数为Spring自带的类时则结束,否则获取被拦截的接口的方法对应的参数值,根据参数注解的类型选择对应的检测规则、查找对应的控制类文件,在每个对外开放接口添加需要校验的注解类;处理完后启用Web应用,接口持续对收到的请求进行校验,合法则接受请求,否则拒绝。
本发明解决了JAVA开发人员在日常软件应用开发中不规范的使用传入的数据,从而导致开发过程中产生安全漏洞的问题,利用Spring提供的AOP框架接口来代理所有对外接口的参数调用,利用自定义的注解校验的方式实现对对外提供的接口强制校验,杜绝外部传入恶意不规范的数据引起的安全漏洞相关问题,开发人员只需要在对应的对外接口中添加特定的注解即可完成数据的校验。本发明采用Spring框架下的AOP技术,以多种规则的校验算法实现通用接口漏洞防护的方案,针对不同的数据进行不同规则的匹配应用,规则编写简易化,通用性强。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于Spring注解的安全开发校验方法,所述方法包括以下步骤。
步骤1:配置用于查找Spring对外开放的接口文档的扫描包。
本发明中,扫描包的配置为常规技术,本领域技术人员可以通过XML配置文件或者通过注解的方式进行简单配置。
步骤2:配置与所述扫描包对应的AOP实现类,用于拦截所有对外开放接口。
所述步骤2中,所述对外开放接口为添加RequestMapping注解的方法。
本发明中,AOP是Spring框架面向切面的编程思想,AOP是将涉及多业务流程的通用功能抽取并单独封装,形成独立的切面,并在合适的时机将这些切面横向切入到业务流程指定的位置中的技术,AOP实现类是将Spring AOP中提供的AOP技术的接口标准进行自定义的开发实现,根据Spring提供的接口功能开发出自己需要的功能,达到对业务流程的干预。
本发明中,RequestMapping是Spring框架中一个用来处理请求地址映射的注解,可用于类或方法上。
步骤3:判断被拦截的接口的类是否为Spring自带的类,如是,则结束,否则,判断被拦截的接口的类的关联参数是否指向Spring自带的类,若关联参数均指向Spring自带的类则结束,否则,进行下一步。
所述步骤3中,判断被拦截的接口的类的关联参数是否指向Spring自带的类包括以下步骤:
步骤3.1:以JAVA反射的方式,对接口的方法涉及的参数进行获取;
步骤3.2:基于获取的参数,获取对应每个参数的类型;
步骤3.3:逐个判断每个参数的类型是否为Spring自带的类,若是,则结束,否则,进行步骤4。
步骤4:获取被拦截的接口的方法对应的参数值,根据参数注解的类型选择对应的检测规则,查找对应的控制类文件。
所述步骤4中,参数注解的类型包括ID序号属性注解、IP地址属性注解、邮箱属性注解、路径属性注解、域名属性注解、URL属性注解、普通参数属性注解、对象参数注解、文件上传属性注解和不安全参数属性注解。
本发明中,参数注解的类型包括但不限于ID序号属性注解、IP地址属性注解、邮箱属性注解、路径属性注解、域名属性注解、URL属性注解、普通参数属性注解、对象参数注解、文件上传属性注解和不安全参数属性注解;其中,ID序号属性注解用来校验整数类型,IP地址属性注解用来校验IP类型,邮箱属性注解用来校验Mail类型,路径属性注解用来校验文件路径类型,域名属性注解用来校验域名,URL属性注解用来校验URL类型,普通参数属性注解用来校验普通的参数,对象参数用来校验Java POJO对象,文件上传属性注解用来校验上传文件后缀,不安全参数属性注解允许任何类型的字符。
本发明中,一般情况下,普通参数属性注解只允许字母、数字、中文等字符注解。
本发明中,一般情况下,对象参数中POJO对象的属性会被上述注解校验。
本发明中,一般情况下,文件上传属性注解默认只允许zip、rar、doc、docx、xls、xlsx、ppt、pptx、xml、txt、jpg、png、gif、jpeg、mp3、mp4这些后缀注解。
本发明中,一般情况下,在使用不安全参数属性时,必须有足够的理由说明为什么一定要使用。
本发明中,不同的参数类型检测的方式不一致,针对ID类型的参数,只需要校验其内容是否符合整数类型,针对IP类型的参数,只需要校验其内容是否符合IP规范,而针对其他不同类型的参数,则需要根据该类型的参数合规性来制定特定的规则,这需要后期自定义实现;自定义检测注解可以依据本领域技术人员的需求自行设置,不限于上述注解。
本发明中,控制类为控制部分,一般是针对View层提交的请求,为其设置对应的Servlet进行特定功能的处理,一般只在Web应用中作为中介存在。
步骤5:在每个对外开放接口添加需要校验的注解类。
本发明中,注解(Annotation)是代码级别的说明,与类、接口、枚举处于同一个层次,可以声明在包、类、字段、方法、局部变量、方法参数等的前面,用来对这些元素进行说明,注释。
本发明中,步骤5中,在每个需要被拦截的接口上的参数前添加一个注解方法即可,如对外的原始接口为“public void say(String id){}”,添加了注解之后的接口为“public void say(@SafeID String id){}”,这样就实现了对ID参数值合法性校验的功能。
步骤6:启用Web应用。
步骤7:任一接口对请求进行校验,若合法,则接受请求,否则拒绝,重复步骤7。
本发明中,实现的代码结合Spring AOP技术,将自动提取程序对外接口方法对应的参数值以及参数类型、根据不同的校验注解类型选择对应的校验规则,从而实现对接口参数数据的合法性校验,该逻辑流程均在代码中实现,后期只需添加规则,在对应的接口参数上添加对应类型的注解,即可实现对接口参数的合法性校验。
本发明通过配置用于查找Spring对外开放的接口文档的扫描包及与其对应的用于拦截所有对外开放接口的AOP实现类,当被拦截的接口的类及关联参数为Spring自带的类时则结束,否则获取被拦截的接口的方法对应的参数值,根据参数注解的类型选择对应的检测规则、查找对应的控制类文件,在每个对外开放接口添加需要校验的注解类;处理完后启用Web应用,接口持续对收到的请求进行校验,合法则接受请求,否则拒绝。本发明解决了JAVA开发人员在日常软件应用开发中不规范的使用传入的数据,从而导致开发过程中产生安全漏洞的问题,利用Spring提供的AOP框架接口来代理所有对外接口的参数调用,利用自定义的注解校验的方式实现对对外提供的接口强制校验,杜绝外部传入恶意不规范的数据引起的安全漏洞相关问题,开发人员只需要在对应的对外接口中添加特定的注解即可完成数据的校验。本发明采用Spring框架下的AOP技术,以多种规则的校验算法实现通用接口漏洞防护的方案,针对不同的数据进行不同规则的匹配应用,规则编写简易化,通用性强。

Claims (4)

1.一种基于Spring注解的安全开发校验方法,其特征在于:所述方法包括以下步骤:
步骤1:配置用于查找Spring对外开放的接口文档的扫描包;
步骤2:配置与所述扫描包对应的AOP实现类,用于拦截所有对外开放接口;
步骤3:判断被拦截的接口的类是否为Spring自带的类,如是,则结束,否则,判断被拦截的接口的类的关联参数是否指向Spring自带的类,若关联参数均指向Spring自带的类则结束,否则,进行下一步;
步骤4:获取被拦截的接口的方法对应的参数值,根据参数注解的类型选择对应的检测规则,查找对应的控制类文件;
步骤5:在每个对外开放接口添加需要校验的注解类;
步骤6:启用Web应用;
步骤7:任一接口对请求进行校验,若合法,则接受请求,否则拒绝,重复步骤7。
2.根据权利要求1所述的一种基于Spring注解的安全开发校验方法,其特征在于:所述步骤2中,所述对外开放接口为添加RequestMapping注解的方法。
3.根据权利要求1所述的一种基于Spring注解的安全开发校验方法,其特征在于:所述步骤3中,判断被拦截的接口的类的关联参数是否指向Spring自带的类包括以下步骤:
步骤3.1:以JAVA反射的方式,对接口的方法涉及的参数进行获取;
步骤3.2:基于获取的参数,获取对应每个参数的类型;
步骤3.3:逐个判断每个参数的类型是否为Spring自带的类,若是,则结束,否则,进行步骤4。
4.根据权利要求1所述的一种基于Spring注解的安全开发校验方法,其特征在于:所述步骤4中,参数注解的类型包括ID序号属性注解、IP地址属性注解、邮箱属性注解、路径属性注解、域名属性注解、URL属性注解、普通参数属性注解、对象参数注解、文件上传属性注解和不安全参数属性注解。
CN201911345232.XA 2019-12-19 2019-12-19 一种基于Spring注解的安全开发校验方法 Pending CN111191246A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911345232.XA CN111191246A (zh) 2019-12-19 2019-12-19 一种基于Spring注解的安全开发校验方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911345232.XA CN111191246A (zh) 2019-12-19 2019-12-19 一种基于Spring注解的安全开发校验方法

Publications (1)

Publication Number Publication Date
CN111191246A true CN111191246A (zh) 2020-05-22

Family

ID=70707464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911345232.XA Pending CN111191246A (zh) 2019-12-19 2019-12-19 一种基于Spring注解的安全开发校验方法

Country Status (1)

Country Link
CN (1) CN111191246A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112241370A (zh) * 2020-10-21 2021-01-19 网易(杭州)网络有限公司 一种api接口类的校验方法、系统及装置
CN112463506A (zh) * 2020-12-15 2021-03-09 山东浪潮商用系统有限公司 一种基于AOP的RESTful API统一参数校验方法
CN112631695A (zh) * 2020-12-22 2021-04-09 北京达佳互联信息技术有限公司 一种数据校验方法、装置、电子设备及存储介质
CN112926049A (zh) * 2021-03-25 2021-06-08 支付宝(杭州)信息技术有限公司 一种信息的风险防控方法、装置及设备
CN113111378A (zh) * 2021-04-14 2021-07-13 山东英信计算机技术有限公司 终端、存储介质、注解方法及系统、前置校验方法及系统
CN113835707A (zh) * 2021-09-30 2021-12-24 唯品会(广州)软件有限公司 一种造数方法、装置、设备及可读存储介质
CN117707653A (zh) * 2024-02-06 2024-03-15 天津医康互联科技有限公司 参数监控方法、装置、电子设备及计算机可读存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017041657A1 (zh) * 2015-09-09 2017-03-16 阿里巴巴集团控股有限公司 一种应用接口管理方法和装置
CN106991023A (zh) * 2017-03-22 2017-07-28 深圳市彬讯科技有限公司 一种接口参数校验方法及组件
CN108108483A (zh) * 2018-01-09 2018-06-01 政采云有限公司 基于SpringAop拦截DAO层校验SQL的方法、装置和系统
CN108132880A (zh) * 2017-12-21 2018-06-08 武汉斑马快跑科技有限公司 一种参数校验方法及装置
CN108415834A (zh) * 2018-02-12 2018-08-17 平安科技(深圳)有限公司 注解后端校验方法、装置、计算机设备及存储介质
CN109254808A (zh) * 2018-07-18 2019-01-22 平安科技(深圳)有限公司 接口调用方法、装置及计算机可读存储介质
CN109656744A (zh) * 2017-10-11 2019-04-19 北京京东尚科信息技术有限公司 基于Java注解实现数据校验和注入的方法和装置
CN110147261A (zh) * 2019-04-15 2019-08-20 平安普惠企业管理有限公司 基于调用接口的参数校验方法及相关设备
CN110413442A (zh) * 2019-07-08 2019-11-05 浙江数链科技有限公司 参数校验方法和装置
CN110413269A (zh) * 2019-06-18 2019-11-05 深圳壹账通智能科技有限公司 接口编码方法、服务器及计算机可读存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017041657A1 (zh) * 2015-09-09 2017-03-16 阿里巴巴集团控股有限公司 一种应用接口管理方法和装置
CN106991023A (zh) * 2017-03-22 2017-07-28 深圳市彬讯科技有限公司 一种接口参数校验方法及组件
CN109656744A (zh) * 2017-10-11 2019-04-19 北京京东尚科信息技术有限公司 基于Java注解实现数据校验和注入的方法和装置
CN108132880A (zh) * 2017-12-21 2018-06-08 武汉斑马快跑科技有限公司 一种参数校验方法及装置
CN108108483A (zh) * 2018-01-09 2018-06-01 政采云有限公司 基于SpringAop拦截DAO层校验SQL的方法、装置和系统
CN108415834A (zh) * 2018-02-12 2018-08-17 平安科技(深圳)有限公司 注解后端校验方法、装置、计算机设备及存储介质
CN109254808A (zh) * 2018-07-18 2019-01-22 平安科技(深圳)有限公司 接口调用方法、装置及计算机可读存储介质
CN110147261A (zh) * 2019-04-15 2019-08-20 平安普惠企业管理有限公司 基于调用接口的参数校验方法及相关设备
CN110413269A (zh) * 2019-06-18 2019-11-05 深圳壹账通智能科技有限公司 接口编码方法、服务器及计算机可读存储介质
CN110413442A (zh) * 2019-07-08 2019-11-05 浙江数链科技有限公司 参数校验方法和装置

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112241370A (zh) * 2020-10-21 2021-01-19 网易(杭州)网络有限公司 一种api接口类的校验方法、系统及装置
CN112241370B (zh) * 2020-10-21 2023-06-16 网易(杭州)网络有限公司 一种api接口类的校验方法、系统及装置
CN112463506A (zh) * 2020-12-15 2021-03-09 山东浪潮商用系统有限公司 一种基于AOP的RESTful API统一参数校验方法
CN112631695A (zh) * 2020-12-22 2021-04-09 北京达佳互联信息技术有限公司 一种数据校验方法、装置、电子设备及存储介质
CN112926049A (zh) * 2021-03-25 2021-06-08 支付宝(杭州)信息技术有限公司 一种信息的风险防控方法、装置及设备
CN113111378A (zh) * 2021-04-14 2021-07-13 山东英信计算机技术有限公司 终端、存储介质、注解方法及系统、前置校验方法及系统
CN113835707A (zh) * 2021-09-30 2021-12-24 唯品会(广州)软件有限公司 一种造数方法、装置、设备及可读存储介质
CN113835707B (zh) * 2021-09-30 2024-01-19 唯品会(广州)软件有限公司 一种造数方法、装置、设备及可读存储介质
CN117707653A (zh) * 2024-02-06 2024-03-15 天津医康互联科技有限公司 参数监控方法、装置、电子设备及计算机可读存储介质
CN117707653B (zh) * 2024-02-06 2024-05-10 天津医康互联科技有限公司 参数监控方法、装置、电子设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN111191246A (zh) 一种基于Spring注解的安全开发校验方法
US20200366707A1 (en) Security policy analyzer service and satisfiability engine
US8402547B2 (en) Apparatus and method for detecting, prioritizing and fixing security defects and compliance violations in SAP® ABAP™ code
US9268945B2 (en) Detection of vulnerabilities in computer systems
CN102542201B (zh) 一种网页中恶意代码的检测方法及系统
US8646088B2 (en) Runtime enforcement of security checks
Manadhata et al. Measuring a system's attack surface
US20100122313A1 (en) Method and system for restricting file access in a computer system
US20130086688A1 (en) Web application exploit mitigation in an information technology environment
CN110870278B (zh) 用于安全策略监视服务的方法和系统以及存储介质
Barua et al. Server side detection of content sniffing attacks
Almorsy et al. Supporting automated vulnerability analysis using formalized vulnerability signatures
US10715541B2 (en) Systems and methods for security monitoring processing
Zhang et al. Efficiency and effectiveness of web application vulnerability detection approaches: A review
WO2018018699A1 (zh) 网站脚本攻击防范方法及装置
KR102396237B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
Shahriar et al. Early detection of SQL injection attacks
Silowash et al. Detecting and preventing data exfiltration through encrypted web sessions via traffic inspection
Magklaras et al. Insider threat specification as a threat mitigation technique
Stephen et al. Prevention of cross site scripting with E-Guard algorithm
Huang et al. Web application security—past, present, and future
Bisht et al. Automated detection of parameter tampering opportunities and vulnerabilities in web applications
CN109688108A (zh) 一种防御文件上传漏洞的安全机制及其实施方法
KR102396238B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
CN109558119B (zh) 一种基于Java的Web框架遍历请求地址的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200522