CN115203060B - 一种基于iast的安全测试方法及装置 - Google Patents
一种基于iast的安全测试方法及装置 Download PDFInfo
- Publication number
- CN115203060B CN115203060B CN202211112895.9A CN202211112895A CN115203060B CN 115203060 B CN115203060 B CN 115203060B CN 202211112895 A CN202211112895 A CN 202211112895A CN 115203060 B CN115203060 B CN 115203060B
- Authority
- CN
- China
- Prior art keywords
- jsp
- attribute
- page
- param
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/957—Browsing optimisation, e.g. caching or content distillation
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开一种基于IAST的安全测试方法及装置,其中方法包括:S1、利用插桩工具将检测逻辑织入被测应用程序,所述检测逻辑能够获取所述被测应用程序的每一个请求执行过程的上下文;S2、获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性;S3、利用存储模块存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性;S4、在检测到请求时,实时确定所述存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据。本申请可以有效降低JSP页面内置跳转导致的IAST误报。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种基于IAST的安全测试方法及装置。
背景技术
JSP(全称JavaServer Pages)是由Sun Microsystems公司主导创建的一种动态网页技术标准。JSP部署于网络服务器上,可以响应客户端发送的请求,并根据请求内容动态地生成HTML、XML或其他格式文档的Web网页,然后返回给请求者。
JSP动作元素用来控制JSP的行为,执行一些常用的JSP页面动作。通过动作元素可以实现使用多行Java代码能够实现的效果,如包含页面文件、实现请求转发等。在JSP页面中,为了把其他资源的输出内容插入到当前JSP页面的输出内容中,JSP技术提供了<jsp:include>动作元素,并且可以通过使用<jsp:param>动作标记向这个程序传递参数信息。其语法格式如下:
<jsp:include page="relativeURL | <%=expression%>">
<jsp:param name="pName1" value="pValue1 | <%=expression1%>" />
<jsp:param name="pName2" value="pValue2 | <%=expression2%>" />
...
</jsp:include>
说明:<jsp:param>动作的name属性用于指定参数名,value属性用于指定参数值。在<jsp:include>动作标记中,可以使用多个<jsp:param>传递参数。另外,<jsp:forward>和<jsp:plugin>动作标记中都可以利用<jsp:param>传递参数。
<jsp:include>等动作元素会导致基于IAST基于跟踪污点数据时,误把<jsp:param>传递的信息认为是外界输入,当作污点数据跟踪,引起不必要的误报,目前业界解决的方案有两点:人工二次审核:花费时间长,人力成本较高,jsp页面多或者层级复杂时,会加剧人力,时间成本的消耗。程序判断污点数据是否存在恶意字符,匹配恶意字符容易出现匹配不上或者匹配错误的问题,准确率不高。
发明内容
本申请的目的在于提供一种基于IAST的安全测试方法、装置、电子设备及计算机可读存储介质,可以有效降低JSP页面内置跳转导致的IAST误报,提高准确性,而且能够减少人工审核,有利于提高效率,降低成本。
为实现上述目的,本申请提供了一种基于IAST的安全测试方法,包括如下步骤:
S1、利用插桩工具将检测逻辑织入被测应用程序,所述检测逻辑能够获取所述被测应用程序的每一个请求执行过程的上下文;
S2、获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性;
S3、利用存储模块存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性;
S4、在检测到请求时,实时确定所述存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据。
可选地,所述jsp跳转动作元素包括<jsp:include>和<jsp:forward>。
可选地,所述获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性,包括:
在所述jsp页面加载到内存并返回到页面之前,利用所述检测逻辑获取所述jsp页面的内容;
通过词法分析技术解析所述jsp页面的内容来获取所述jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性。
可选地,所述存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性,包括:
存储以所述jsp跳转动作元素中的page属性作为key,所述对应的<jsp:param>中的name属性和value属性作为value的映射关系。
可选地,步骤S4包括:
S41、根据获取到的该请求的uri,判断所述存储模块中是否存在相一致的page属性,如果存在,则通过该相一致的page属性获取到所述存储模块中对应的<jsp:param>中的name属性和value属性并进入步骤S42;
S42、判断该请求的参数中是否存在与所述相一致的page属性对应的<jsp:param>中的name属性和value属性相同的参数,如果存在,则认为该请求的参数为来自所述jsp页面中的参数。
可选地,步骤S4中,如果确定结果为不存在,则继续跟踪该请求的数据流。
可选地,步骤S4中,该请求的数据为数据流跟踪的输入阶段时获取到的数据。
为实现上述目的,本申请还提供了一种基于IAST的安全测试装置,包括:
织入模块,其用于利用插桩工具将检测逻辑织入被测应用程序,所述检测逻辑用于获取所述被测应用程序的每一个请求执行过程的上下文;
获取模块,其用于获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性;
存储模块,其用于存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性;
确定模块,其用于在检测到请求时,实时确定所述存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据。
为实现上述目的,本申请还提供了一种电子设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行如前所述的基于IAST的安全测试方法。
为实现上述目的,本申请还提供了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时实现如前所述的基于IAST的安全测试方法。
本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行如上所述的基于IAST的安全测试方法。
本申请能够基于检测逻辑获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性并利用存储模块进行存储,之后在利用检测逻辑检测到请求时,实时确定存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据,进而不会将其作为污点数据进行跟踪,可以有效降低JSP页面内置跳转导致的IAST误报,提高准确性,而且能够减少人工审核,有利于提高效率,降低成本。
附图说明
图1是本申请实施例基于IAST的安全测试方法的流程图。
图2是本申请实施例基于IAST的安全测试方法的步骤104的流程图。
图3是本申请实施例基于IAST的安全测试装置的示意框图。
图4是本申请实施例电子设备的示意框图。
具体实施方式
为了详细说明本申请的技术内容、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。
实施例一
请参阅图1,本申请公开了一种基于IAST的安全测试方法,包括如下步骤:
101、利用插桩工具将检测逻辑织入被测应用程序,检测逻辑能够获取被测应用程序的每一个请求执行过程的上下文。
具体地,利用IAST技术将检测逻辑的组件织入到被测应用程序中,其中检测逻辑的组件是与被测应用程序处于同一个容器的agent进程。
IAST是交互式应用程序安全测试(Interactive application securitytesting),是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理和在服务端部署的Agent程序,收集、监控Web应用程序运行时请求数据、函数执行,并与扫描器端进行实时交互,高效、准确的识别安全漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。
在检测到被测应用程序的请求时,检测逻辑即开始跟踪该请求的数据流。关于如何利用插桩工具将检测逻辑织入被测应用程序以及检测逻辑如何跟踪被测应用程序的每一个请求执行过程并获取其上下文为本领域技术人员所知悉,这里不作详述。
102、获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性(参数名)和value属性(参数值)。
其中,jsp跳转动作元素中的page属性一般指的是某个uri或jsp地址。uri为统一资源标识符(Uniform Resource Identifier)。
具体地,jsp跳转动作元素主要包括<jsp:include>和<jsp:forward>,但并不局限于此。<jsp:include>动作标记和<jsp:forward>动作标记均使用<jsp:param>传递参数。
需要注意的是,这里获取jsp页面中jsp跳转动作元素的page属性和对应的<jsp:param>中的name属性和value属性,并不限制为获取jsp页面中包含的全部jsp跳转动作元素的page属性及其对应的<jsp:param>中的name属性和value属性,比如,可以只获取主要的jsp跳转动作元素<jsp:include>和<jsp:forward>的page属性及其对应的<jsp:param>中的name属性和value属性。
具体地,获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性,包括:
在jsp页面加载到内存并返回到页面之前,利用检测逻辑获取jsp页面的内容;
通过词法分析技术解析jsp页面的内容来获取jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性。
103、利用存储模块存储jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性。
具体地,存储jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性,包括:
存储以jsp跳转动作元素中的page属性作为key,对应的<jsp:param>中的name属性和value属性作为value的映射关系。
104、在检测到请求时,实时确定存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自jsp页面中的数据。由于该请求的数据为来自jsp页面中的数据,并非污点数据,则不需要继续跟踪该请求的数据流。
具体地,步骤104中,该请求的数据为数据流跟踪的输入阶段时通过检测逻辑获取到的数据,进而可以及时对该请求进行判断,且可以可靠地获取到该请求的数据。
此处“数据流跟踪”:是指跟踪请求中污点数据的输入阶段等阶段,判断污点数据是否经历了完整的各阶段并且没有经过任何安全方法,如果判断结果为是,即会认为该污点数据存在漏洞,通常利用其检测SQL注入,命令行注入等。而<jsp:include>动作元素会导致基于IAST进行污点数据的数据流跟踪时,出现误把<jsp:param>传递的信息认为是外界输入,当作污点数据跟踪并会在数据流跟踪的输入阶段时获取到相关数据。
具体地,步骤104中,确定结果如果为不存在,则继续跟踪该请求的数据流。
请参阅图2,具体地,步骤104包括:
1041、根据获取到的该请求的uri,判断存储模块中是否存在相一致的page属性,如果存在,则通过该相一致的page属性获取到存储模块中对应的<jsp:param>中的name属性和value属性并进入步骤1042。
具体地,如果步骤1041中的判断结果为不存在,则继续跟踪该请求的数据流。
具体地,由于存储模块中存储的是以jsp跳转动作元素中的page属性作为key,对应的<jsp:param>中的name属性和value属性作为value的映射关系,步骤1041中判断存储模块中是否存在相一致的page属性即为判断存储模块中是否存在相一致的key,如果存在,则获取该key在存储模块中对应的value,即对应的<jsp:param>中的name属性和value属性。
进一步地,“根据获取到的该请求的uri,判断存储模块中是否存在相一致的的key”可以先通过简单的字符串匹配,如果匹配不上,则进一步根据key和uri的相似度来分析是否相关,因为key存储的是uri的相对地址或绝对地址。
1042、判断该请求的参数中是否存在与相一致的page属性对应的<jsp:param>中的name属性和value属性相同的参数(即判断请求的参数中是否存在参数名与<jsp:param>中的name属性相同,参数值与<jsp:param>中的value属性相同的参数),如果存在,则认为该请求的参数为来自jsp页面中的参数(硬编码数据),并非用户输入的污点数据,不需要进行跟踪。
具体地,如果步骤1042中的判断结果为不存在,则继续跟踪该请求的数据流。
本申请能够基于检测逻辑获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性并利用存储模块进行存储,之后在利用检测逻辑检测到请求时,实时确定存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自jsp页面中的数据,进而不会将其作为污点数据进行跟踪,可以有效降低JSP页面内置跳转导致的IAST误报,提高准确性,而且能够减少人工审核,有利于提高效率,降低成本。
实施例二
请结合图3,本申请公开了一种基于IAST的安全测试装置,包括:
织入模块201,其用于利用插桩工具将检测逻辑织入被测应用程序,所述检测逻辑用于获取所述被测应用程序的每一个请求执行过程的上下文;
获取模块202,其用于获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性;
存储模块203,其用于存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性;
确定模块204,其用于在检测到请求时,实时确定所述存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据。
本申请能够基于检测逻辑获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性并利用存储模块进行存储,之后在利用检测逻辑检测到请求时,实时确定存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自jsp页面中的数据,进而不会将其作为污点数据进行跟踪,可以有效降低JSP页面内置跳转导致的IAST误报,提高准确性,而且能够减少人工审核,有利于提高效率,降低成本。
实施例三
请结合图4,本申请公开了一种电子设备,包括:
处理器30;
存储器40,其中存储有处理器30的可执行指令;
其中,处理器30配置为经由执行可执行指令来执行如实施例一所述的基于IAST的安全测试方法。
实施例四
本申请公开了一种计算机可读存储介质,其上存储有程序,程序被处理器执行时实现如实施例一所述的基于IAST的安全测试方法。
实施例五
本申请实施例公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行如实施例一所述的基于IAST的安全测试方法。
应当理解,在本申请实施例中,所称处理器可以是中央处理模块(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application SpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序指令相关的硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上所揭露的仅为本申请的较佳实例而已,不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,均属于本申请所涵盖的范围。
Claims (8)
1.一种基于IAST的安全测试方法,其特征在于,包括如下步骤:
S1、利用插桩工具将检测逻辑织入被测应用程序,所述检测逻辑能够获取所述被测应用程序的每一个请求执行过程的上下文;
S2、获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性;
S3、利用存储模块存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性;
S4、在检测到请求时,实时确定所述存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据,如果不存在,则继续跟踪该请求的数据流;
步骤S4包括:
S41、根据获取到的该请求的uri,判断所述存储模块中是否存在相一致的page属性,如果存在,则通过该相一致的page属性获取到所述存储模块中对应的<jsp:param>中的name属性和value属性并进入步骤S42;
S42、判断该请求的参数中是否存在与所述相一致的page属性对应的<jsp:param>中的name属性和value属性相同的参数,如果存在,则认为该请求的参数为来自所述jsp页面中的参数。
2.如权利要求1所述的基于IAST的安全测试方法,其特征在于,所述jsp跳转动作元素包括<jsp:include>和<jsp:forward>。
3.如权利要求1所述的基于IAST的安全测试方法,其特征在于,
所述获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性,包括:
在所述jsp页面加载到内存并返回到页面之前,利用所述检测逻辑获取所述jsp页面的内容;
通过词法分析技术解析所述jsp页面的内容来获取所述jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性。
4.如权利要求1所述的基于IAST的安全测试方法,其特征在于,所述存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性,包括:
存储以所述jsp跳转动作元素中的page属性作为key,所述对应的<jsp:param>中的name属性和value属性作为value的映射关系。
5.如权利要求1所述的基于IAST的安全测试方法,其特征在于,步骤S4中,该请求的数据为数据流跟踪的输入阶段时获取到的数据。
6.一种基于IAST的安全测试装置,其特征在于,包括:
织入模块,其用于利用插桩工具将检测逻辑织入被测应用程序,所述检测逻辑用于获取所述被测应用程序的每一个请求执行过程的上下文;
获取模块,其用于获取jsp页面中jsp跳转动作元素中的page属性和对应的<jsp:param>中的name属性和value属性;
存储模块,其用于存储所述jsp跳转动作元素中的page属性和所述对应的<jsp:param>中的name属性和value属性;
确定模块,其用于在检测到请求时,实时确定所述存储模块存储的数据中是否存在与该请求的数据具有一致性的数据,如果存在,则认为该请求的数据为来自所述jsp页面中的数据,如果不存在,则继续跟踪该请求的数据流;
所述确定模块用于根据获取到的该请求的uri,判断所述存储模块中是否存在相一致的page属性;
如果存在,则通过该相一致的page属性获取到所述存储模块中对应的<jsp:param>中的name属性和value属性并判断该请求的参数中是否存在与所述相一致的page属性对应的<jsp:param>中的name属性和value属性相同的参数,如果存在,则认为该请求的参数为来自所述jsp页面中的参数。
7.一种电子设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至5任一项所述的基于IAST的安全测试方法。
8.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1至5任一项所述的基于IAST的安全测试方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211112895.9A CN115203060B (zh) | 2022-09-14 | 2022-09-14 | 一种基于iast的安全测试方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211112895.9A CN115203060B (zh) | 2022-09-14 | 2022-09-14 | 一种基于iast的安全测试方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115203060A CN115203060A (zh) | 2022-10-18 |
| CN115203060B true CN115203060B (zh) | 2022-12-13 |
Family
ID=83571763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211112895.9A Active CN115203060B (zh) | 2022-09-14 | 2022-09-14 | 一种基于iast的安全测试方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115203060B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095092A (zh) * | 2015-09-25 | 2015-11-25 | 南京大学 | 基于静态分析和动态运行的Web应用JavaScript代码原子性违反检测 |
| US10467419B1 (en) * | 2018-10-31 | 2019-11-05 | Capital One Services, Llc | Methods and systems for determining software risk scores |
| CN111327588A (zh) * | 2020-01-16 | 2020-06-23 | 深圳开源互联网安全技术有限公司 | 一种网络访问安全检测方法、系统、终端和可读存储介质 |
| CN111611590A (zh) * | 2020-05-22 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 涉及应用程序的数据安全的方法及装置 |
| CN113010898A (zh) * | 2021-03-25 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种应用程序安全测试方法和相关装置 |
| CN114647853A (zh) * | 2022-03-01 | 2022-06-21 | 深圳开源互联网安全技术有限公司 | 提高分布式应用程序漏洞检测准确性的方法及系统 |
-
2022
- 2022-09-14 CN CN202211112895.9A patent/CN115203060B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095092A (zh) * | 2015-09-25 | 2015-11-25 | 南京大学 | 基于静态分析和动态运行的Web应用JavaScript代码原子性违反检测 |
| US10467419B1 (en) * | 2018-10-31 | 2019-11-05 | Capital One Services, Llc | Methods and systems for determining software risk scores |
| CN111327588A (zh) * | 2020-01-16 | 2020-06-23 | 深圳开源互联网安全技术有限公司 | 一种网络访问安全检测方法、系统、终端和可读存储介质 |
| CN111611590A (zh) * | 2020-05-22 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 涉及应用程序的数据安全的方法及装置 |
| CN113010898A (zh) * | 2021-03-25 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种应用程序安全测试方法和相关装置 |
| CN114647853A (zh) * | 2022-03-01 | 2022-06-21 | 深圳开源互联网安全技术有限公司 | 提高分布式应用程序漏洞检测准确性的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Vulnerability Analysis Using The Interactive Application Security Testing (IAST) Approach For Government X Website Applications;Hermawan Setiawan等;《2020 3rd International Conference on Information and Communications Technology (ICOIACT)》;20210129;471-475 * |
| 交互式应用安全测试在等级测评中的实践;郭敏等;《2019中国网络安全等级保护和关键信息基础设施保护大会论文集》;20191029;60-63 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115203060A (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8539475B2 (en) | API backward compatibility checking | |
| CN111046396A (zh) | web应用测试数据流跟踪方法及系统 | |
| CN115186274A (zh) | 基于iast的安全测试方法及装置 | |
| US7913233B2 (en) | Performance analyzer | |
| CN111259399B (zh) | 用于web应用的动态检测漏洞攻击的方法及系统 | |
| US20200310952A1 (en) | Comparable user interface object identifications | |
| CN114528457A (zh) | Web指纹检测方法及相关设备 | |
| KR101696694B1 (ko) | 역추적을 이용한 소스 코드 취약점 분석 방법 및 장치 | |
| US20090006908A1 (en) | System and method for fault mapping of exceptions across programming models | |
| CN114647853A (zh) | 提高分布式应用程序漏洞检测准确性的方法及系统 | |
| CN114416481A (zh) | 日志分析方法、装置、设备及存储介质 | |
| CN115801455B (zh) | 一种基于网站指纹的仿冒网站检测方法及装置 | |
| Jaeger et al. | Normalizing security events with a hierarchical knowledge base | |
| CN117435480A (zh) | 一种二进制文件检测方法、装置、电子设备及存储介质 | |
| CN115203060B (zh) | 一种基于iast的安全测试方法及装置 | |
| CN115357899A (zh) | 基于iast技术检测存储型漏洞的方法及系统 | |
| KR101996358B1 (ko) | 웹 애플리케이션의 동적 분석을 위한 api 호출 정보 제공 방법 및 장치 | |
| US9830215B1 (en) | Computing system error analysis based on system dump data | |
| CN114201376A (zh) | 基于人工智能的日志解析方法、装置、终端设备及介质 | |
| CN112948478A (zh) | 基于链路的代码分析方法、装置、电子设备及存储介质 | |
| CN114416603B (zh) | Ui元素测试方法、装置、存储介质和设备 | |
| CN115357900A (zh) | 提升存储型漏洞检测效率的方法及系统 | |
| US11960560B1 (en) | Methods for analyzing recurring accessibility issues with dynamic web site behavior and devices thereof | |
| CN115587364B (zh) | 基于前后端关联性分析的固件漏洞输入点定位方法及装置 | |
| CN113296834B (zh) | 一种基于逆向工程的安卓闭源服务类型信息提取方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |