JP5466476B2 - ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするデータ処理システム、方法、およびコンピュータ・プログラム - Google Patents
ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするデータ処理システム、方法、およびコンピュータ・プログラム Download PDFInfo
- Publication number
- JP5466476B2 JP5466476B2 JP2009243103A JP2009243103A JP5466476B2 JP 5466476 B2 JP5466476 B2 JP 5466476B2 JP 2009243103 A JP2009243103 A JP 2009243103A JP 2009243103 A JP2009243103 A JP 2009243103A JP 5466476 B2 JP5466476 B2 JP 5466476B2
- Authority
- JP
- Japan
- Prior art keywords
- web application
- black box
- feedback control
- test
- executed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Description
102 ネットワーク
104、106 サーバー
108 ストレージ・ユニット
110、112、114 クライアント
200 データ処理システム
202 通信ファブリック
204 プロセッサ・ユニット
206 メモリ
208 恒久ストレージ
210 通信ユニット
212 I/Oユニット
214 ディスプレイ
216 プログラム・コード
218 コンピュータ可読媒体
220 コンピュータ・プログラム製品
310 データ処理システム
312 ウエブ・サーバー
314 ウエブ・アプリケーション
318 ブラックボックス走査器
320 ランタイム・アナライザ
322 フィードバック制御
Claims (11)
- ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするための方法であって、コンピュータが、
ウエブ・アプリケーションの複数のウエブ・アプリケーション入力にテストが送られて、前記ウエブ・アプリケーションのブラックボックス走査を開始するステップと、
前記ウエブ・アプリケーションの前記ブラックボックス走査のランタイム解析を行うステップと、
前記テストからデータを受け取る、実行されたウエブ・アプリケーション入力を、前記ウエブ・アプリケーションの前記ブラックボックス走査の前記ランタイム解析を行うステップに応答して、前記複数のウエブ・アプリケーション入力から識別するステップ
前記ブラックボックス走査の前記ランタイム解析に基づき前記ブラックボックス走査を修正して、前記テストからデータを受取らなかった、実行されないウエブ・アプリケーション入力が前記ウエブ・アプリケーションの後続のブラックボックス走査により実行されるようにするステップと
を実行する、前記方法。 - 前記コンピュータが、
前記複数のウエブ・アプリケーション入力のカバレッジの情報であって、実行される前記複数のウエブ・アプリケーション入力の割合、および実行されない前記複数のウエブ・アプリケーション入力の割合を含む前記情報を用意するステップ
を更に実行する、請求項1に記載の方法。 - 前記コンピュータが、
前記複数のウエブ・アプリケーション入力の前記カバレッジの情報を用意するステップに応答して、フィードバック制御に前記情報をフォワードするステップ
を更に実行し、
前記修正するステップは、
前記テストからのデータを受け取らなかった、前記実行されないウエブ・アプリケーション入力が前記ウエブ・アプリケーションの前記後続のブラックボックス走査により実行されるように、前記フィードバック制御に前記情報をフォワードするステップに応答して、前記ブラックボックス走査を前記フィードバック制御でもって修正するステップを含む、
請求項2に記載の方法。 - 前記コンピュータが、
前記複数のウエブ・アプリケーション入力の前記カバレッジの情報を用意するステップに応答して、フィードバック制御に前記情報をフォワードするステップ
を更に実行し、
前記フィードバック制御がフィードバック制御ループであり、
前記修正するステップは、
前記テストからデータを受け取らなかった、前記実行されないウエブ・アプリケーション入力が前記ウエブ・アプリケーションの前記後続のブラックボックス走査により実行されるように、前記フィードバック制御に前記情報をフォワードするのに応答して、前記ブラックボックス走査をランタイム中前記フィードバック制御でもって修正するステップを含む、
請求項2に記載の方法。 - 前記テストが複数のウエブ・アプリケーション入力に送られる前記ウエブ・アプリケーションのブラックボックス走査を開始するステップにおいて、前記テストはクロスサイト・スクリプティング、SQLインジェクション、ディレクトリ横断、間違い構成、および遠隔コマンド実行脆弱性よりなるグループから選択される、
請求項1〜4のいずれか一項に記載の方法。 - データ処理システムであって、
バスと、
前記バスに接続され、ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするためのコンピュータ使用可能コードを含むストレージ装置と、
前記バスに接続された通信ユニットと、
前記バスに接続された処理ユニットであって、
ウエブ・アプリケーションの複数のウエブ・アプリケーション入力にテストが送られて、前記ウエブ・アプリケーションのブラックボックス走査を開始すること、
前記ウエブ・アプリケーションの前記ブラックボックス走査のランタイム解析を行うこと、
前記テストからデータを受け取る、実行されたウエブ・アプリケーション入力を、前記ウエブ・アプリケーションの前記ブラックボックス走査の前記ランタイム解析を行うステップに応答して、前記複数のウエブ・アプリケーション入力から識別すること、
前記ブラックボックス走査の前記ランタイム解析に基づき前記ブラックボックス走査を修正して、前記テストからデータを受取らなかった、実行されないウエブ・アプリケーション入力が前記ウエブ・アプリケーションの後続のブラックボックス走査により実行されるようにすること、
を含む前記コンピュータ使用可能コードを実行する、前記処理ユニットと
を含む、前記データ処理システム。 - 前記処理ユニットが、
前記複数のウエブ・アプリケーション入力のカバレッジの情報であって、実行される前記複数のウエブ・アプリケーション入力の割合、および実行されない前記複数のウエブ・アプリケーション入力の割合を含む前記情報を用意すること、
を含む前記コンピュータ使用可能コードを実行する、
請求項6に記載のデータ処理システム。 - 前記複数のウエブ・アプリケーション入力の前記カバレッジの情報を用意するのに応答して、フィードバック制御に前記情報をフォワードすること、
を含む前記コンピュータ使用可能コードを実行し、
前記修正することは、
前記テストからのデータを受け取らなかった、前記実行されないウエブ・アプリケーション入力が前記ウエブ・アプリケーションの前記後続のブラックボックス走査により実行されるように、前記フィードバック制御に前記情報をフォワードするのに応答して、前記ブラックボックス走査を前記フィードバック制御でもって修正することを含む、
請求項7に記載のデータ処理システム。 - 前記複数のウエブ・アプリケーション入力の前記カバレッジの情報を用意するのに応答して、フィードバック制御に前記情報をフォワードすること、
を含む前記コンピュータ使用可能コードを実行し、
前記フィードバック制御がフィードバック制御ループであり、
前記修正することは、
前記テストからデータを受け取らなかった、前記実行されないウエブ・アプリケーション入力が前記ウエブ・アプリケーションの前記後続のブラックボックス走査により実行されるように、前記フィードバック制御に前記情報をフォワードするのに応答して、前記ブラックボックス走査をランタイム中前記フィードバック制御でもって修正することを含む、
請求項7に記載のデータ処理システム。 - 前記ウエブ・アプリケーションの前記複数のウエブ・アプリケーション入力に送られるテストが、
クロスサイト・スクリプティング、SQLインジェクション、ディレクトリ横断、間違い構成、および遠隔コマンド実行脆弱性よりなるグループから選択されるテストである、
請求項6〜9のいずれか一項に記載のデータ処理システム。 - ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするためのコンピュータ・プログラムであって、コンピュータに、請求項1〜5のいずれか一項に記載の方法の各ステップを実行させる、前記コンピュータ・プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/347,093 US8141158B2 (en) | 2008-12-31 | 2008-12-31 | Measuring coverage of application inputs for advanced web application security testing |
US12/347093 | 2008-12-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010157211A JP2010157211A (ja) | 2010-07-15 |
JP5466476B2 true JP5466476B2 (ja) | 2014-04-09 |
Family
ID=42286558
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009243103A Active JP5466476B2 (ja) | 2008-12-31 | 2009-10-22 | ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするデータ処理システム、方法、およびコンピュータ・プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8141158B2 (ja) |
JP (1) | JP5466476B2 (ja) |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110307940A1 (en) * | 2010-06-09 | 2011-12-15 | Joseph Wong | Integrated web application security framework |
US9747187B2 (en) | 2010-10-27 | 2017-08-29 | International Business Machines Corporation | Simulating black box test results using information from white box testing |
JP5767471B2 (ja) * | 2010-12-24 | 2015-08-19 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | テストの網羅性を評価する装置及び方法 |
US8627442B2 (en) | 2011-05-24 | 2014-01-07 | International Business Machines Corporation | Hierarchical rule development and binding for web application server firewall |
JP5801953B2 (ja) * | 2011-05-31 | 2015-10-28 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | アプリケーションのセキュリティ検査 |
US9501650B2 (en) | 2011-05-31 | 2016-11-22 | Hewlett Packard Enterprise Development Lp | Application security testing |
US9032528B2 (en) | 2011-06-28 | 2015-05-12 | International Business Machines Corporation | Black-box testing of web applications with client-side code evaluation |
US8695098B2 (en) * | 2011-06-30 | 2014-04-08 | International Business Machines Corporation | Detecting security vulnerabilities in web applications |
US10701097B2 (en) * | 2011-12-20 | 2020-06-30 | Micro Focus Llc | Application security testing |
US10586049B2 (en) | 2011-12-22 | 2020-03-10 | International Business Machines Corporation | Detection of second order vulnerabilities in web services |
US9971896B2 (en) | 2011-12-30 | 2018-05-15 | International Business Machines Corporation | Targeted security testing |
CN104995630B (zh) * | 2012-08-29 | 2018-10-12 | 安提特软件有限责任公司 | 用于安全性测试的计算系统和方法 |
US9256511B2 (en) | 2012-09-04 | 2016-02-09 | International Business Machines Corporation | Computer software application self-testing |
US10841327B2 (en) | 2012-09-19 | 2020-11-17 | International Business Machines Corporation | Mining attack vectors for black-box security testing |
US9430640B2 (en) | 2012-09-28 | 2016-08-30 | Intel Corporation | Cloud-assisted method and service for application security verification |
EP2901346A4 (en) | 2012-09-28 | 2016-06-08 | Hewlett Packard Development Co | SAFETY TESTING OF AN APPLICATION |
US8943589B2 (en) | 2012-12-04 | 2015-01-27 | International Business Machines Corporation | Application testing system and method |
US8918837B2 (en) | 2012-12-28 | 2014-12-23 | Intel Corporation | Web application container for client-level runtime control |
US9904786B2 (en) | 2013-01-17 | 2018-02-27 | International Business Machines Corporation | Identifying stored security vulnerabilities in computer software applications |
US10699017B2 (en) * | 2013-02-28 | 2020-06-30 | Micro Focus Llc | Determining coverage of dynamic security scans using runtime and static code analyses |
US9195570B2 (en) | 2013-09-27 | 2015-11-24 | International Business Machines Corporation | Progressive black-box testing of computer software applications |
US9262309B2 (en) | 2013-09-30 | 2016-02-16 | International Business Machines Corporation | Optimizing test data payload selection for testing computer software applications that employ data sanitizers and data validators |
US9323649B2 (en) * | 2013-09-30 | 2016-04-26 | International Business Machines Corporation | Detecting error states when interacting with web applications |
GB2519159A (en) | 2013-10-14 | 2015-04-15 | Ibm | Security testing of web applications with specialised payloads |
US9462011B2 (en) * | 2014-05-30 | 2016-10-04 | Ca, Inc. | Determining trustworthiness of API requests based on source computer applications' responses to attack messages |
EP3170115A4 (en) * | 2014-07-18 | 2018-02-28 | EntIT Software LLC | Determining terms for security test |
US9356969B2 (en) | 2014-09-23 | 2016-05-31 | Intel Corporation | Technologies for multi-factor security analysis and runtime control |
US10310962B2 (en) | 2014-09-24 | 2019-06-04 | Entit Software Llc | Infrastructure rule generation |
JP5978368B2 (ja) * | 2015-08-26 | 2016-08-24 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | アプリケーションのセキュリティ検査 |
US9703683B2 (en) | 2015-11-24 | 2017-07-11 | International Business Machines Corporation | Software testing coverage |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002157221A (ja) * | 2000-11-20 | 2002-05-31 | Nec Fielding Ltd | セキュリティ脆弱点の対策設定自動化システム |
US20050246390A1 (en) * | 2001-08-24 | 2005-11-03 | House Richard W | Enterprise test data management system utilizing automatically created test data structures and related methods |
WO2003067405A2 (en) * | 2002-02-07 | 2003-08-14 | Empirix Inc. | Automated security threat testing of web pages |
JP4079801B2 (ja) * | 2003-03-04 | 2008-04-23 | 富士通株式会社 | テスト支援プログラムおよびテスト支援方法 |
US7761918B2 (en) * | 2004-04-13 | 2010-07-20 | Tenable Network Security, Inc. | System and method for scanning a network |
US20050268326A1 (en) * | 2004-05-04 | 2005-12-01 | Microsoft Corporation | Checking the security of web services configurations |
US7207065B2 (en) * | 2004-06-04 | 2007-04-17 | Fortify Software, Inc. | Apparatus and method for developing secure software |
JP2006119922A (ja) * | 2004-10-21 | 2006-05-11 | Canon Inc | 機能検証システム、制御方法、及びプログラム |
JP4869581B2 (ja) * | 2004-11-22 | 2012-02-08 | 株式会社エヌ・ティ・ティ・データ | カバレッジ計測システム及びそのプログラム |
US7571482B2 (en) * | 2005-06-28 | 2009-08-04 | Microsoft Corporation | Automated rootkit detector |
JP2007047884A (ja) * | 2005-08-05 | 2007-02-22 | Recruit Co Ltd | 情報処理システム |
KR100805834B1 (ko) * | 2006-01-09 | 2008-02-21 | 삼성전자주식회사 | 수광소자의 테스트 장치 및 그 방법 |
US7774459B2 (en) * | 2006-03-01 | 2010-08-10 | Microsoft Corporation | Honey monkey network exploration |
-
2008
- 2008-12-31 US US12/347,093 patent/US8141158B2/en not_active Expired - Fee Related
-
2009
- 2009-10-22 JP JP2009243103A patent/JP5466476B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20100169974A1 (en) | 2010-07-01 |
JP2010157211A (ja) | 2010-07-15 |
US8141158B2 (en) | 2012-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5466476B2 (ja) | ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするデータ処理システム、方法、およびコンピュータ・プログラム | |
Alhuzali et al. | {NAVEX}: Precise and scalable exploit generation for dynamic web applications | |
JP5497173B2 (ja) | Xss検出方法および装置 | |
JP5425699B2 (ja) | 情報処理装置、テストケース生成方法、プログラムおよび記録媒体 | |
JP5801953B2 (ja) | アプリケーションのセキュリティ検査 | |
US9208309B2 (en) | Dynamically scanning a web application through use of web traffic information | |
US8607351B1 (en) | Modeling cyberspace attacks | |
US9501650B2 (en) | Application security testing | |
US10158660B1 (en) | Dynamic vulnerability correlation | |
Mohammadi et al. | Detecting cross-site scripting vulnerabilities through automated unit testing | |
US20130247204A1 (en) | System and method for application security assessment | |
CN106663171B (zh) | 浏览器模拟器装置、构建装置、浏览器模拟方法以及构建方法 | |
US20220198025A1 (en) | Web Attack Simulator | |
US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
Rathaus et al. | Open source fuzzing tools | |
JP6400794B2 (ja) | インタプリタによるコード実行のシステム及び方法 | |
Drakonakis et al. | ReScan: A Middleware Framework for Realistic and Robust Black-box Web Application Scanning | |
AU2022207189A1 (en) | Web attack simulator | |
Karthik et al. | W3-Scrape-A windows based reconnaissance tool for web application fingerprinting | |
Rehim | Effective python penetration testing | |
CN112685285A (zh) | 用户界面测试用例生成方法和装置 | |
Kim | Burp suite: Automating web vulnerability scanning | |
JP5978368B2 (ja) | アプリケーションのセキュリティ検査 | |
US11386209B2 (en) | Static source code scanner | |
Lohanathan et al. | Live Response Training Range mit Velociraptor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120511 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131009 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131023 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20131023 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20131023 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20131028 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140108 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20140108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140124 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5466476 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |