CN112580060A - 应用系统数据接口漏洞隐患排查系统 - Google Patents
应用系统数据接口漏洞隐患排查系统 Download PDFInfo
- Publication number
- CN112580060A CN112580060A CN202110083433.8A CN202110083433A CN112580060A CN 112580060 A CN112580060 A CN 112580060A CN 202110083433 A CN202110083433 A CN 202110083433A CN 112580060 A CN112580060 A CN 112580060A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- module
- unit
- verification
- tool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 claims abstract description 72
- 230000002787 reinforcement Effects 0.000 claims abstract description 48
- 238000007726 management method Methods 0.000 claims abstract description 43
- 238000004458 analytical method Methods 0.000 claims abstract description 29
- 238000011835 investigation Methods 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 25
- 238000013024 troubleshooting Methods 0.000 claims abstract description 17
- 230000003014 reinforcing effect Effects 0.000 claims abstract description 9
- 238000012800 visualization Methods 0.000 claims description 17
- 238000012937 correction Methods 0.000 claims description 11
- 238000007405 data analysis Methods 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 8
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 abstract description 7
- 238000000034 method Methods 0.000 abstract description 7
- 238000012360 testing method Methods 0.000 abstract description 2
- 230000008676 import Effects 0.000 abstract 1
- 238000012038 vulnerability analysis Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 5
- 230000008439 repair process Effects 0.000 description 4
- 238000005065 mining Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种计算机安全技术领域,是一种应用系统数据接口漏洞隐患排查系统,包括应用工具单元录入任务信息及存储漏洞验证处理工具;漏洞扫描处理单元调用应用工具单元对接口进行判定及抓取,对漏洞进行扫描验证,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果;结果分析单元导入漏洞排查结果,并进行分析。本发明预先存储有漏洞验证工具集和漏洞补丁加固工具集,自动根据任务信息完成漏洞扫描验证,并实现漏洞补丁加固整改方案的输出,给工作人员以整改提示,实现应用系统接口漏洞的及时发现以及及时修复,提升应用系统的整体风险管控能力。同时可根据具有漏洞排查结果的报告,使运维人员能结合报告以人工测试的方式进行漏洞验证。
Description
技术领域
本发明涉及一种计算机安全技术领域,是一种应用系统数据接口漏洞隐患排查系统。
背景技术
公司的业务管理系统庞大复杂,众多应用系统需要通过各类应用系统数据接口API实现与第三方系统的交互,同时,业务+系统在功能升级完善过程中对脆弱应用系统数据接口API管理框架和工具包的过度依赖,导致应用系统数据接口API暴露出了越来越多的安全隐患。目前使用人工进行应用系统数据接口API漏洞挖掘排查的方式,无法满足漏洞检测与修复的及时性及有效性。
发明内容
本发明提供了一种接口漏洞隐患排查,克服了上述现有技术之不足,其能有效解决现有人工手动进行应用系统数据接口API漏洞挖掘排查的方式存在的多依靠经验,漏洞排查准确度低,修复时效性低的问题。
本发明的技术方案是通过以下措施来实现的:一种应用系统数据接口漏洞隐患排查系统,包括应用工具单元、漏洞扫描处理单元和结果分析单元;
应用工具单元,用于录入任务信息及存储漏洞验证处理工具,其中漏洞验证处理工具包括漏洞验证工具集和漏洞补丁加固工具集;
漏洞扫描处理单元,调用应用工具单元对接口进行判定及抓取,对漏洞进行扫描验证,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果;
结果分析单元,用于导入漏洞排查结果,并进行分析。
下面是对上述发明技术方案的进一步优化或/和改进:
上述应用工具单元包括漏洞验证工具集和漏洞补丁加固工具集;
漏洞验证工具集包括接口漏洞验证库、漏洞验证库管理模块和第三方验证工具;接口漏洞验证库录入任务信息及存储漏洞验证处理工具,漏洞验证库管理模块对接口漏洞验证库进行更新,第三方验证工具存储第三方漏洞验证工具;
漏洞补丁加固工具集包括漏洞补丁加固知识库和漏洞补丁加固工具库;漏洞补丁加固知识库存储漏洞补丁加固整改方案,漏洞补丁加固工具库存储漏洞补丁加固工具。
上述漏洞扫描处理单元包括目标信息收集模块、接口判定扫描模块和漏洞验证整改模块;目标信息收集模块收集目标信息,其中目标信息包括接口信息,接口判定扫描模块判定接口的开启状态,并抓取对接口扫描结果的返回值,漏洞验证整改模块调用应用工具单元,完成对漏洞的状态判定,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果。
上述结果分析单元包括扫描结果库和数据分析模块;扫描结果库导入及存储漏洞排查结果,数据分析模块对漏洞排查结果进行分析,其中分析包括合分析、趋势分析和报表合并。
上述还包括系统升级单元和可视化单元;
系统升级单元,用于通过自动或手动方式对系统进行升级;
可视化单元,用于和用户交互,配合用户请求完成管理工作。
上述可视化单元包括任务管理模块、报表模块、策略参数模块和漏洞管理模块;
任务管理模块,用于对用户评估任务进行管理工作;
报表模块,用于根据漏洞排查结果及其分析结果,生成扫描报表;
策略参数模块,用于导入用户评估任务所需的参数;
漏洞管理模块,用于对漏洞管理工作流程支持。
本发明通过汇总应用系统Webservice等API的漏洞相关信息,形成漏洞验证工具集,并预先存储有漏洞补丁加固工具集,从而自动根据任务信息完成漏洞扫描验证,并实现漏洞补丁加固整改方案的输出,给工作人员以整改提示,从而实现应用系统接口漏洞的及时发现以及及时修复,避免关键业务系统因漏洞出现敏感信息泄露、越权违规操作、业务逻辑风险等高危安全风险,提升应用系统的整体风险管控能力。同时本发明可出具包括漏洞排查结果的报告,使得运维人员可以结合报告以人工测试的方式进行漏洞验证。
附图说明
附图1为本发明实施例1的系统结构示意图。
附图2为本发明实施例2中应用工具单元的结构示意图。
附图3为本发明实施例3中漏洞扫描处理单元的结构示意图。
附图4为本发明实施例4中结果分析单元的结构示意图。
附图5为本发明实施例5的系统结构示意图。
具体实施方式
本发明不受下述实施例的限制,可根据本发明的技术方案与实际情况来确定具体的实施方式。
下面结合实施例及附图对本发明作进一步描述:
实施例1:如附图1所示,本实施例公开了一种应用系统数据接口漏洞隐患排查系统,包括应用工具单元、漏洞扫描处理单元和结果分析单元;
应用工具单元,用于录入任务信息及存储漏洞验证处理工具,其中漏洞验证处理工具包括漏洞验证工具集和漏洞补丁加固工具集;
漏洞扫描处理单元,调用应用工具单元对接口进行判定及抓取,对漏洞进行扫描验证,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果;
结果分析单元,用于导入漏洞排查结果,并进行分析。
上述技术方案中,应用工具单元用于录入任务信息及存储漏洞验证处理工具。
其中,录入的任务信息包括任务名称、任务对应的目标地址、扫描任务;
其中,存储在漏洞验证工具集中的漏洞验证工具用于根据任务信息进行调用,对漏洞进行扫描验证,且包含的漏洞验证处理工具均是根据应用系统数据接口(API)中已发现所有的框架、容器以及数据传输协议中存在的高危漏洞,形成的接口漏洞验证工具;这里框架类为与API相关的常用开发框架,包括Spring、Hibernate、Struts等,在首发漏洞中出现过针对Hibernate的框架注入漏洞、针对Struts的Struts2远程代码执行漏洞等;容器类为与API相关的常用容器,包括Tomcat、Weblogic、Websphere、IIS、Apache、Nginx等,在首发漏洞中出现过针对Weblogic容器的反序列化漏洞、ssrf漏洞、XSS跨站脚本攻击漏洞、反序列化RCE漏洞等,针对Apache的提权漏洞等;数据类为针对Oracle等数据库所使用的数据接口,出现过诸如SQL注入漏洞、未授权操作漏洞、数据信息泄露等。
其中,存储在漏洞补丁加固工具集中的漏洞补丁加固工具用于在扫描验证获得漏洞后,与漏洞编码进行匹配,获得对应的漏洞补丁加固整改方案。
上述技术方案中,漏洞扫描处理单元用于调用应用工具单元,获得任务信息,并根据任务信息自动进行对应范围内的漏洞扫描验证,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果,形成报告,给整改人员提供整改方案。
综上,本发明实施例公开了一种应用系统数据接口漏洞隐患排查系统,通过汇总应用系统Webservice等API的漏洞相关信息,形成漏洞验证工具集,并预先存储有漏洞补丁加固工具集,从而自动根据任务信息完成漏洞扫描验证,并实现对应漏洞补丁加固整改方案的输出,给工作人员以整改提示,从而实现应用系统接口漏洞的及时发现以及及时修复,避免关键业务系统因漏洞出现敏感信息泄露、越权违规操作、业务逻辑风险等高危安全风险,提升应用系统的整体风险管控能力。
实施例2:如附图2所示,本实施例公开了一种应用系统数据接口漏洞隐患排查系统,其中应用工具单元进一步包括漏洞验证工具集和漏洞补丁加固工具集。
漏洞验证工具集包括接口漏洞验证库、漏洞验证库管理模块和第三方验证工具;
其中,接口漏洞验证库录入任务信息及存储漏洞验证处理工具;漏洞验证库管理模块对接口漏洞验证库进行更新,这里对接口漏洞验证库可采用开放式管理,即一方面对既有接口漏洞验证库中的内容进行更新升级,另一方面对验证过程中发现的未知漏洞,通过自定义方式,上传可验证的漏洞POC,实现对各类漏洞的扩展性验证,提升工具的漏洞发现能力;第三方验证工具存储第三方漏洞验证工具,即可自行上传一些便捷式工具的安装包或者下载路径,运维人员可以自行下载使用,运维人员可根据需要再加第三方工具进行漏洞复验,便于运维人员使用统一、标准、绿色、安全、有效的第三方开源工具,完成漏洞验证,同时,提供了开放性的管理功能,管理员可自行上传经过验证的有效工具,以充实完善工具集,在大范围推广中,避免使用来源不明的第三方验证工具集所带来的未知风险。
漏洞补丁加固工具集包括漏洞补丁加固知识库和漏洞补丁加固工具库;
其中,漏洞补丁加固知识库存储漏洞补丁加固整改方案,漏洞补丁加固整改方案一方面为管理人员提供的加固知识经验,另一方面使用人员可自行回馈新的漏洞加固整改方案,存储至漏洞补丁加固知识库中,从而形成良性的知识积累闭环。
其中,漏洞补丁加固工具库存储漏洞补丁加固工具,这里针对应用系统存在的漏洞,提供漏洞补丁加固工具,运维人员可将需要加固的漏洞补丁、软件新版本、或者整改建议方式方法文档、或者整改建议连接等上传至漏洞补丁加固工具库中,使用人员可自行通过系统下载漏洞补丁加固工,并进行补丁或版本升级操作,以充实完善工具库,从而便于运维管理人员使用安全、有效的加固工具,完成风险整改。
实施例3:如附图3所示,本实施例公开了一种应用系统数据接口漏洞隐患排查系统,其中漏洞扫描处理单元进一步包括目标信息收集模块、接口判定扫描模块和漏洞验证整改模块。
其中,目标信息收集模块收集目标信息,其中目标信息包括接口信息;接口判定扫描模块判定接口的开启状态,并抓取对接口扫描结果的返回值,这里在判定接口的开启状态时通过采用标准的接口判定方式,判定接口的开启状态,并通过标准的放回方式,抓取对接口扫描结果的返回值,并将返回值打印到报告中。
其中,漏洞验证整改模块调用应用工具单元,完成对漏洞的状态判定,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果。具体为1、通过手动启动扫描任务,同过调用漏洞验证工具集(漏洞验证工具即漏洞编码对应的脚本文件),对任务目标进行扫描验证,获取扫描结果,将结果信息自动打印到报告文档中,形成包括任务信息和结果信息的扫描报告,并标注出该扫描结果的危险程度高中低,完成漏洞验证并提供可下载的制式漏洞验证报告;这里在对已知漏洞进行扫描时,采用专项指定方式进行精准扫描,直接录入指定的目标地址和需要验证的漏洞编码,后端自动调用脚本进行漏洞的验证;针对未知漏洞,采用全量漏洞库对指定的目标进行扫描,验证是否存在未知的漏洞信息。2、将漏洞补丁加固工具集与漏洞验证工具集进行有效关联,将漏洞补丁加固工具与漏洞验证工具进行一一对应,在进行漏洞扫描后,形成的扫描报告结果,自动通过漏洞验证工具,获得对应的漏洞补丁加固整改方案,打印至报告文档中,形成漏洞排查结果。
实施例4:如附图4所示,本实施例公开了一种应用系统数据接口漏洞隐患排查系统,其中结果分析单元进一步包括扫描结果库和数据分析模块;扫描结果库导入及存储漏洞排查结果,数据分析模块对漏洞排查结果进行分析,其中分析包括合分析、趋势分析和报表合并。这里扫描结果库为查询和分析结果的数据来源。
实施例5:如附图5所示,本实施例公开了一种应用系统数据接口漏洞隐患排查系统,其中还包括系统升级单元和可视化单元;
系统升级单元,用于通过自动或手动方式对系统进行升级;
可视化单元,用于和用户交互,配合用户请求完成管理工作。这里可视化单元可为WEB可视化界面,使用人员在使用本实施例的系统时,可使用浏览器通过SSL加密通道和系统WEB可视化界面进行交互。
其中可视化单元包括任务管理模块、报表模块、策略参数模块和漏洞管理模块;
任务管理模块,用于对用户评估任务进行管理工作;
报表模块,用于读取扫描结果库,根据漏洞排查结果及其分析结果,生成扫描报表;
策略参数模块,用于导入用户评估任务所需的参数;参数包括需要扫描的具体漏洞模板的添加、具体漏洞的选取、模板修改和删除;同时策略参数模块可以进行口令字典管理、报表输出模板管理、智能端口挖掘等工作;
漏洞管理模块,用于对漏洞管理工作流程支持,提供与其他安全产品、网络管理平台和安全管理平台的接口。
以上技术特征构成了本发明的最佳实施例,其具有较强的适应性和最佳实施效果,可根据实际需要增减非必要的技术特征,来满足不同情况的需求。
Claims (10)
1.一种应用系统数据接口漏洞隐患排查系统,其特征在于,包括应用工具单元、漏洞扫描处理单元和结果分析单元;
应用工具单元,用于录入任务信息及存储漏洞验证处理工具,其中漏洞验证处理工具包括漏洞验证工具集和漏洞补丁加固工具集;
漏洞扫描处理单元,调用应用工具单元对接口进行判定及抓取,对漏洞进行扫描验证,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果;
结果分析单元,用于导入漏洞排查结果,并进行分析。
2.根据权利要求1所述的应用系统数据接口漏洞隐患排查系统,其特征在于,所述应用工具单元包括漏洞验证工具集和漏洞补丁加固工具集;
漏洞验证工具集包括接口漏洞验证库、漏洞验证库管理模块和第三方验证工具;接口漏洞验证库录入任务信息及存储漏洞验证处理工具,漏洞验证库管理模块对接口漏洞验证库进行更新,第三方验证工具存储第三方漏洞验证工具;
漏洞补丁加固工具集包括漏洞补丁加固知识库和漏洞补丁加固工具库;漏洞补丁加固知识库存储漏洞补丁加固整改方案,漏洞补丁加固工具库存储漏洞补丁加固工具。
3.根据权利要求1或2所述的应用系统数据接口漏洞隐患排查系统,其特征在于,所述漏洞扫描处理单元包括目标信息收集模块、接口判定扫描模块和漏洞验证整改模块;目标信息收集模块收集目标信息,其中目标信息包括接口信息,接口判定扫描模块判定接口的开启状态,并抓取对接口扫描结果的返回值,漏洞验证整改模块调用应用工具单元,完成对漏洞的状态判定,并获得对应的漏洞补丁加固整改方案,生成漏洞排查结果。
4.根据权利要求1或2所述的应用系统数据接口漏洞隐患排查系统,其特征在于,所述结果分析单元包括扫描结果库和数据分析模块;扫描结果库导入及存储漏洞排查结果,数据分析模块对漏洞排查结果进行分析,其中分析包括合分析、趋势分析和报表合并。
5.根据权利要求3所述的应用系统数据接口漏洞隐患排查系统,其特征在于,所述结果分析单元包括扫描结果库和数据分析模块;扫描结果库导入及存储漏洞排查结果,数据分析模块对漏洞排查结果进行分析,其中分析包括合分析、趋势分析和报表合并。
6.根据权利要求1或2或5所述的应用系统数据接口漏洞隐患排查系统,其特征在于,还包括系统升级单元和可视化单元;
系统升级单元,用于通过自动或手动方式对系统进行升级;
可视化单元,用于和用户交互,配合用户请求完成管理工作。
7.根据权利要求3所述的应用系统数据接口漏洞隐患排查系统,其特征在于,还包括系统升级单元和可视化单元;
系统升级单元,用于通过自动或手动方式对系统进行升级;
可视化单元,用于和用户交互,配合用户请求完成管理工作。
8.根据权利要求4所述的应用系统数据接口漏洞隐患排查系统,其特征在于,还包括系统升级单元和可视化单元;
系统升级单元,用于通过自动或手动方式对系统进行升级;
可视化单元,用于和用户交互,配合用户请求完成管理工作。
9.根据权利要求6所述的应用系统数据接口漏洞隐患排查系统,其特征在于,所述可视化单元包括任务管理模块、报表模块、策略参数模块和漏洞管理模块;
任务管理模块,用于对用户评估任务进行管理工作;
报表模块,用于根据漏洞排查结果及其分析结果,生成扫描报表;
策略参数模块,用于导入用户评估任务所需的参数;
漏洞管理模块,用于对漏洞管理工作流程支持。
10.根据权利要求7或8所述的应用系统数据接口漏洞隐患排查系统,其特征在于,所述可视化单元包括任务管理模块、报表模块、策略参数模块和漏洞管理模块;
任务管理模块,用于对用户评估任务进行管理工作;
报表模块,用于根据漏洞排查结果及其分析结果,生成扫描报表;
策略参数模块,用于导入用户评估任务所需的参数;
漏洞管理模块,用于对漏洞管理工作流程支持。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110083433.8A CN112580060B (zh) | 2021-01-21 | 2021-01-21 | 应用系统数据接口漏洞隐患排查系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110083433.8A CN112580060B (zh) | 2021-01-21 | 2021-01-21 | 应用系统数据接口漏洞隐患排查系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112580060A true CN112580060A (zh) | 2021-03-30 |
CN112580060B CN112580060B (zh) | 2024-06-21 |
Family
ID=75145143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110083433.8A Active CN112580060B (zh) | 2021-01-21 | 2021-01-21 | 应用系统数据接口漏洞隐患排查系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112580060B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
US20150248559A1 (en) * | 2012-08-29 | 2015-09-03 | Matias Madou | Security scan based on dynamic taint |
CN106295353A (zh) * | 2016-08-08 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 一种引擎漏洞检测的方法以及检测装置 |
US20180255089A1 (en) * | 2017-03-01 | 2018-09-06 | Tinfoil Security, Inc. | Determining Security Vulnerabilities in Application Programming Interfaces |
CN109327471A (zh) * | 2018-11-29 | 2019-02-12 | 广东电网有限责任公司信息中心 | 一种漏洞发现与应急验证实现方法 |
CN111193699A (zh) * | 2019-08-23 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 用于检测ZigBee设备安全漏洞的方法和装置 |
CN111552969A (zh) * | 2020-04-21 | 2020-08-18 | 中国电力科学研究院有限公司 | 基于神经网络的嵌入式终端软件代码漏洞检测方法及装置 |
CN111753296A (zh) * | 2020-05-28 | 2020-10-09 | 苏州浪潮智能科技有限公司 | 一种系统组件漏洞的修复方法及装置 |
CN111865927A (zh) * | 2020-06-24 | 2020-10-30 | 平安普惠企业管理有限公司 | 基于系统的漏洞处理方法、装置、计算机设备和存储介质 |
CN112069508A (zh) * | 2020-09-21 | 2020-12-11 | 西安交通大学 | 机器学习框架漏洞api参数定位方法、系统、设备及介质 |
-
2021
- 2021-01-21 CN CN202110083433.8A patent/CN112580060B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150248559A1 (en) * | 2012-08-29 | 2015-09-03 | Matias Madou | Security scan based on dynamic taint |
CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
CN106295353A (zh) * | 2016-08-08 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 一种引擎漏洞检测的方法以及检测装置 |
US20180255089A1 (en) * | 2017-03-01 | 2018-09-06 | Tinfoil Security, Inc. | Determining Security Vulnerabilities in Application Programming Interfaces |
CN109327471A (zh) * | 2018-11-29 | 2019-02-12 | 广东电网有限责任公司信息中心 | 一种漏洞发现与应急验证实现方法 |
CN111193699A (zh) * | 2019-08-23 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 用于检测ZigBee设备安全漏洞的方法和装置 |
CN111552969A (zh) * | 2020-04-21 | 2020-08-18 | 中国电力科学研究院有限公司 | 基于神经网络的嵌入式终端软件代码漏洞检测方法及装置 |
CN111753296A (zh) * | 2020-05-28 | 2020-10-09 | 苏州浪潮智能科技有限公司 | 一种系统组件漏洞的修复方法及装置 |
CN111865927A (zh) * | 2020-06-24 | 2020-10-30 | 平安普惠企业管理有限公司 | 基于系统的漏洞处理方法、装置、计算机设备和存储介质 |
CN112069508A (zh) * | 2020-09-21 | 2020-12-11 | 西安交通大学 | 机器学习框架漏洞api参数定位方法、系统、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112580060B (zh) | 2024-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104077531B (zh) | 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统 | |
CN102468985B (zh) | 针对网络安全设备进行渗透测试的方法和系统 | |
Plate et al. | Impact assessment for vulnerabilities in open-source software libraries | |
CN112182588B (zh) | 基于威胁情报的操作系统漏洞分析检测方法及系统 | |
CA2803241C (en) | Automated security assessment of business-critical systems and applications | |
US20170208093A1 (en) | Detection of Vulnerabilities in Computer Systems | |
CN113779585B (zh) | 越权漏洞检测方法和装置 | |
CN106982194A (zh) | 漏洞扫描方法及装置 | |
CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
CN110162980B (zh) | 一种软件开发过程中一站式安全测试和管理的方法 | |
CN112818352B (zh) | 数据库的检测方法及装置、存储介质及电子装置 | |
CN114666104A (zh) | 一种渗透测试方法、系统、计算机设备以及存储介质 | |
CN108345796A (zh) | 一种漏洞修复及主机加固方法及系统 | |
CN110753047B (zh) | 一种减少漏洞扫描误报的方法 | |
CN116383833A (zh) | 软件程序代码的测试方法及其装置、电子设备、存储介质 | |
CN115168847A (zh) | 应用补丁生成方法、装置、计算机设备及可读存储介质 | |
CN107392033B (zh) | 一种安卓设备渗透测试系统及其自动化渗透测试方法 | |
CN112580060A (zh) | 应用系统数据接口漏洞隐患排查系统 | |
CN115913756A (zh) | 一种基于已知漏洞条目的网络设备漏洞验证方法 | |
CN111796857B (zh) | 热补丁发布方法、装置、设备及存储介质 | |
CN113886837A (zh) | 一种漏洞检测工具可信度验证方法和系统 | |
CN112995143A (zh) | 一种基于邮件系统的安全通报方法、装置、设备及介质 | |
CN111770004A (zh) | 一种基于Fiddler的HTTP(S)流量内容自动化校验方法及存储介质 | |
CN114448721B (zh) | 一种漏洞无感缓解装置及方法 | |
CN118133291B (zh) | 安全管理系统的漏洞修复方法、装置和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |