JP5978368B2 - アプリケーションのセキュリティ検査 - Google Patents
アプリケーションのセキュリティ検査 Download PDFInfo
- Publication number
- JP5978368B2 JP5978368B2 JP2015166360A JP2015166360A JP5978368B2 JP 5978368 B2 JP5978368 B2 JP 5978368B2 JP 2015166360 A JP2015166360 A JP 2015166360A JP 2015166360 A JP2015166360 A JP 2015166360A JP 5978368 B2 JP5978368 B2 JP 5978368B2
- Authority
- JP
- Japan
- Prior art keywords
- aut
- observer
- request
- application
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
AUT124は、スキャナ128とAUT124との間のネットワーク122を介した通信を可能にするネットワークインタフェイス202を含む。該ネットワークインタフェイス202は、AUT124のアタックサーフェスを露呈させるものであり、該AUT124を一般的な用途に利用可能とする場合に該AUT124へのアクセスを提供するために最終的に使用されることになるものと同じインタフェイスである。スキャナ128とAUT124との間のネットワークインタフェイス202を介した通信は、スキャナ128からAUT124へ発行されるHTTPリクエスト及びAUT124からスキャナ128へ発行されるHTTPレスポンスを介して行われる。AUT124をターゲットとしたリクエストはアプリケーションリクエストと称することが可能であり、AUT124から受信するレスポンスはアプリケーションレスポンスと称することが可能である。スキャナ128により生成されるアプリケーションリクエストは、AUT124の潜在的な脆弱性を露呈させるべく構成することが可能である。
・リクエスト毎ヘッダ
リクエスト毎ヘッダは、カスタムHTTPヘッダであり、オブザーバ126及びスキャナ128によって理解されるカスタムフィールド名とそれに続く1つ以上のフィールド値とを含むことが可能である。該カスタムHTTPヘッダは、AUT124によって無視される。本書で説明するフィールド名は、特定の一実施形態で使用することができるフィールド名の単なる一例として使用したものであり、本発明の範囲を制限することを意図したものではない、ということが理解されよう。
このバージョンヘッダの一例では、プレフィクス"X-WIPP"は、オブザーバ126により使用されるカスタムヘッダとしてのヘッダを識別するものである。フィールド名"X-WIPP-VERSION"は、バージョンヘッダとしてのカスタムヘッダを一意に識別する文字列である。フィールド値<language>は、アプリケーションリクエストを処理するためにAUT124により使用されるランタイム環境の名称(特にJava又は.NETなど)とすることが可能である。場合によっては、AUT124は、2つ以上のプロセスを実行することが可能であり、かかるプロセスを異なるランタイムインスタンスにより取り扱うことが可能である。例えば、AUT124は、アプリケーションリクエストを処理するためにロードバランサその他の作業分散構成を使用することが可能である。スキャナ128は、フィールド値<vm_id>を使用して、アプリケーションリクエストを取り扱うAUT124内のプロセスを識別することが可能である。例えば、フィールド値<vm_id>は、特定のJVMインスタンス(JAVAの場合)、CLRインスタンス(.NETの場合)、又はその他のタイプのランタイムインスタンスといった、アプリケーションリクエストを処理したランタイムインスタンスを一意に識別する名称とすることが可能である。フィールド値<version>は、オブザーバ126のバージョンを識別する数字又は文字列とすることが可能である。スキャナ128は、識別されたオブザーバ126のバージョンを使用して、オブザーバソフトウェアのバージョンによってオブザーバのインタフェイス208が変化する場合に該オブザーバ126との対話を適切に調整することが可能である。
このようにして、AUT124により提供されるHTTPレスポンスにかかわらずスキャナ128にファイル不発見エラーを報告することができる。
以下で更に説明するように、「サービスリクエスト」と題する章で、スキャナ128は、アプリケーションリクエストに応じてオブザーバ126により収集されたが未だアプリケーションレスポンスで報告されていない追加情報をリクエストすることが可能である。該追加情報は、本書で「トレース」と称するデータ構造内に含めることが可能である。該トレース内に含まれる情報は、特定のアプリケーションリクエストによりトリガされたAUT124の動作を記述するものである。該トレースリクエストサービスをサポートするために、オブザーバ126は、スキャナ128がリクエストされたトレースを該リクエストされたトレースに対応する特定のアプリケーションレスポンスに関連付けることを可能とすべく、各アプリケーションレスポンスにリクエストIDヘッダを追加することが可能である。一実施形態では、フィールド値<request_id>は、スキャナ128により割り当てられてアプリケーションリクエスト内に含められる。次いで、オブザーバ126が、対応するアプリケーションレスポンスに追加されるリクエストIDヘッダ内にそれと同一のrequest_id値を使用することが可能である。一実施形態では、スキャナ128はアプリケーションリクエストにリクエストIDヘッダを追加せず、この場合、オブザーバ126は、request_idのための一意の値を生成して、該request_idを、アプリケーションレスポンスに追加されるリクエストIDヘッダ内に含めることが可能である。何れの場合も、同一のrequest_id値をスキャナ128により使用して、それに対応するオブザーバ126からのトレースをリクエストすることが可能である。
該<service_name_list>値は、コンマで区切ったサービス名のリストとすることが可能であり、その各サービス名は、AUT124における変化の結果として新たな情報を提供し得るオブザーバ126により提供されるサービスを称するものである。AUT124に関する新たな情報が利用可能になると、オブザーバ126は、アプリケーションレスポンスにアップデートヘッダを追加することによりスキャナ128への通知を行うことが可能である。このようにして、アップデートヘッダは、AUT124に関する新たな情報が利用可能になったこと、及び該情報を取得するためにリクエストすべきサービスをスキャナ128に通知する。例えば、オブザーバ126が、AUT124のセキュリティ検査中に生成された追加のURLを検出した場合、該オブザーバ126は、スキャナ128にアップデートヘッダを送信することが可能であり、この場合、<service_name_list>は「アタックサーフェス」に等しくなる。該アップデートヘッダを受信した際に、スキャナ128は、識別された1つ以上のサービスをリクエストするサービスリクエストをオブザーバ126へ送信することが可能である。オブザーバ126は、指定した1つ以上のサービスのためのサービスリクエストをスキャナ128が発行するまで、あらゆるアプリケーションレスポンスでアップデートヘッダを送り続けることが可能である。
・サービスリクエスト−トレース
アプリケーションリクエストに応じて、オブザーバ126は、例えば、AUT124により実行された特定のコード、AUT124によりアクセスされたファイル、AUT124により実行されたデータベースクエリ、又はその他の情報を判定することにより、アプリケーションリクエストの結果を判定することが可能である。オブザーバ126により収集されたデータは、本書で「トレース」と称するデータ構造に格納することが可能である。一実施形態では、各トレースは、バッファ210に格納することが可能である。各トレースは、該トレースに対応するアプリケーションリクエスト及びアプリケーションレスポンスのリクエストIDを含むことが可能である。スキャナ128は、対応するトレースをオブザーバ126から読み出すことによって特定のアプリケーションリクエストによりトリガされたAUT124の内部動作について学習することが可能である。トレースを読み出すために、スキャナ128は、特定のアプリケーションリクエスト又はレスポンスに対応するトレースのリクエストを示すよう構成されたヘッダフィールド名/値の対を含むサービスリクエストをオブザーバ126に対して発行することが可能である。例えば、トレースをリクエストするための該フィールド名/値の対は、次のように規定することが可能である。
該値<request_id>は、「リクエスト毎ヘッダ」と題する章に関して上述したように、リクエストされたトレースに関連するアプリケーションリクエスト及び/又はアプリケーションレスポンスに対応するスキャナ128又はオブザーバ126により割り当てられた値である。トレースサービスリクエストを受信すると、オブザーバ126は、AUT124をバイパスして、該リクエストされたトレースを含むサービスレスポンスを生成することが可能である。一実施形態では、該リクエストされたトレースは、オブザーバ126によりバッファ210から読み出されてサービスレスポンスのボディに追加されることが可能であり、次いで該サービスレスポンスをスキャナ128へ送信することが可能である。該サービスレスポンスのヘッダは、リクエストされたトレースのrequest_id値を含み、該サービスレスポンスのボディは、JSONオブジェクトとして規定することが可能である。
・サービスリクエスト−サーバ情報
オブザーバ126は、サーバ120に関する情報をスキャナ128に伝えるために使用されるサービス(本書では「サーバ情報サービス」と称す)を提供するよう構成することが可能である。サーバ情報を取り出すために、スキャナ128は、サーバ情報のリクエストを示すよう構成されたヘッダフィールド名(「サーバ」など)を含むサーバ情報サービスリクエストをオブザーバ126に対して発行することが可能である。該サーバ情報サービスリクエストを受信すると、オブザーバ126は、AUT124をバイパスして、リクエストされたサーバ情報をスキャナ128へ返すことが可能である。
・サービスリクエスト−アプリケーション情報
オブザーバ126は、AUT124に関する情報をスキャナ128に伝えるために使用されるサービス(本書では「アプリケーション情報サービス」と称す)を提供するよう構成することが可能である。アプリケーション情報を取り出すために、スキャナ128は、アプリケーション情報のリクエストを示すよう構成されたフィールド名(「アプリケーション」など)を含むアプリケーション情報サービスリクエストをオブザーバ126に対して発行することが可能である。該アプリケーション情報サービスリクエストを受信すると、オブザーバ126は、AUT124をバイパスして、リクエストされたアプリケーション情報をスキャナ128へ返すことが可能である。
・サービスリクエスト−アタックサーフェス
オブザーバ126は、単純なウェブクローラによって検出されない可能性のあるアタックサーフェスのコンポーネントを識別するために使用されるサービス(本書では「アタックサーフェスサービス」と称す)を提供するよう構成することが可能である。アタックサーフェス情報を取り出すために、スキャナ128は、アタックサーフェス情報のリクエストを示すよう構成されたヘッダフィールド名(「アタックサーフェス」など)を含むアタックサーフェスサービスリクエストを発行することが可能である。該アタックサーフェスサービスリクエストを受信すると、オブザーバ126は、AUT124をバイパスして、リクエストされたアタックサーフェス情報をスキャナ128へ返すことが可能である。該アタックサーフェス情報は、オブザーバ126により生成されるサービスレスポンスのボディで返すことが可能であり、例えばJSONオブジェクトとして規定することが可能である。送信するために利用可能なアタックサーフェス情報が存在しない場合には、サービスレスポンスのボディを空にすることが可能である。
・エラー処理
場合によっては、スキャナ128は、オブザーバ126によって遂行できないサービスリクエストを発行することが可能である。例えば、スキャナ128は、オブザーバ126によって認識されないサービスリクエスト又はオブザーバ126によって認識されないヘッダフィールド値内のサービスリクエスト(未知のリクエストIDを有するトレースリクエストなど)を発行することが可能である。オブザーバ126は、遂行できないサービスリクエストに遭遇した場合に、サービスレスポンス又はアプリケーションレスポンスのヘッダでスキャナ128にエラーを返すことが可能である。例えば、オブザーバ126は、以下のように規定したサービスレスポンスを発行することが可能である。
ヘッダフィールド値<error_text_string>は、遭遇したエラーの概略的な記述を提供する適当なテキストストリングとすることが可能である。該エラーを記述するテキストストリングは、ユーザが見ることができるエラーログにスキャナ128によって格納することが可能である。更に、オブザーバ126がエラーログを維持することが可能であり、この場合、各エラーログエントリは、問題の一層詳細な説明を含む。オブザーバ126により維持される該エラーログは、オブザーバ126の動作中に遭遇したあらゆるエラーを記録することが可能である。
1.検査対象となるアプリケーション(AUT)をホストするサーバと、
該AUTにより実行された命令を監視するよう構成されたオブザーバと、
該AUT及び該オブザーバに共通の通信チャネルを介して通信可能な状態で接続されたコンピューティング装置であって、プロセッサとコンピュータ読み取り可能命令を格納するための記憶装置とを備えている、コンピューティング装置と
を備えたシステムであって、前記コンピュータ読み取り可能命令が、
前記AUTの潜在的な脆弱性を露呈させるよう構成されたアプリケーションリクエストを該AUTへ送信し、
該AUTのプログラミングに従って該AUTからアプリケーションレスポンスを受信し、
前記オブザーバへサービスリクエストを送信し、
前記アプリケーションリクエストに起因して前記AUTにより実行された命令に対応する情報、該AUTに関する情報、又は該AUTをホストするサーバに関する情報を含むサービスレスポンスを前記オブザーバから受信する、
という各ステップを前記プロセッサに実行させるよう構成されている、システム。
2.前記オブザーバが、前記アプリケーションリクエストの結果として前記AUTにより実行された命令を識別するトレースを生成し、該トレースを前記サービスレスポンスのボディで前記コンピューティング装置へ送信するよう構成されている、前項1に記載のシステム。
3.前記オブザーバが、前記アプリケーションレスポンスにカスタムヘッダを追加することにより少なくとも部分的に前記コンピューティング装置と通信するよう構成されている、前項1に記載のシステム。
4.前記記憶装置が、前記オブザーバからトレース情報を受信するよう前記プロセッサに指示するよう構成されたコンピュータ読み取り可能命令を含み、該トレース情報が、複数の脆弱性トレースノードを含み、その各脆弱性トレースノードが、前記オブザーバにより検出された脆弱性に対応するコード場所を含む、前項1に記載のシステム。
5.前記記憶装置が、同一のコード場所を含む脆弱性トレースノードに基づく複数の脆弱性トレースノードのグループ化の実行を前記プロセッサに指示するよう構成されたコンピュータ読み取り可能命令を含む、前項4に記載のシステム。
6.前記オブザーバが、AUTを監視して該AUTの実行時に動的に生成される新しいURL(Uniform Resource Locator)を識別し及びアプリケーションレスポンスのヘッダでアップデートフィールドを返すよう構成されており、該アップデートフィールドが、該AUTのアタックサーフェスが変化したことを前記コンピューティング装置に通知するよう構成されている、前項1に記載のシステム。
7.前記オブザーバが、
前記コンピューティング装置からリクエストを受信して該リクエストのヘッダを解析し、
該ヘッダの解析に基づいて該リクエストをアプリケーションリクエスト又はサービスリクエストとして識別し、
該アプリケーションリクエストを前記AUTへ渡し、
該サービスリクエストを該AUTへ渡すことなく該サービスリクエストを処理する、
という各ステップを実行するよう構成されている、前項1に記載のシステム。
8.検査対象となるアプリケーション(AUT)の潜在的な脆弱性を露呈させるよう構成されたアプリケーションリクエストを該AUTへ送信し、
該AUTのプログラミングに従って該AUTからアプリケーションレスポンスを受信し、
該AUTにより実行される命令を監視するオブザーバへサービスリクエストを送信し、
前記アプリケーションリクエストに起因して該AUTにより実行された命令に対応する情報、該AUTに関する情報、又は該AUTをホストするサーバに関する情報を含むサービスレスポンスを前記オブザーバから受信する、
という各ステップからなり、前記アプリケーションリクエスト、前記アプリケーションレスポンス、前記サービスリクエスト、及び前記サービスレスポンスが、同一のネットワークチャネルを介して通信される、方法。
9.前記AUTにより生成されたファイル不発見エラーを示すために前記オブザーバにより前記アプリケーションレスポンスに追加されたファイル不発見ヘッダを該アプリケーションレスポンスで受信するステップを含む、前項8に記載の方法。
10.前記サービスリクエストがトレースサービスリクエストであり、前記オブザーバから受信したサービスレスポンスのボディでスタックトレースを受信するステップを含む、前項8に記載の方法。
11.前記オブザーバにより検出された脆弱性を識別する脆弱性トレースノードを前記サービスレスポンスのボディで受信するステップを含む、前項8に記載の方法。
12.前記サービスリクエストがアタックサーフェスサービスリクエストであり、前記AUTのアタックサーフェスに関する情報を前記サービスレスポンスのボディで受信し、該アタックサーフェスが、該AUTにより実行時に生成される静的URL及び動的URLからなる、前項8に記載の方法。
13.検査対象となるアプリケーション(AUT)の潜在的な脆弱性を露呈させるよう構成されたアプリケーションリクエストを該AUTへ送信し、
該AUTのプログラミングに従って該AUTからアプリケーションレスポンスを受信し、
該AUTにより実行される命令を監視するオブザーバへサービスリクエストを送信し、
前記アプリケーションリクエストに起因して該AUTにより実行された命令に対応する情報、該AUTに関する情報、又は該AUTをホストするサーバに関する情報を含むサービスレスポンスを前記オブザーバから受信する、
という各ステップの実行をプロセッサに指示するよう構成されたコードを含む、持続性コンピュータ読み取り可能媒体であって、
前記アプリケーションリクエスト、前記アプリケーションレスポンス、前記サービスリクエスト、及び前記サービスレスポンスが同一のネットワークチャネルを介して通信される、持続性コンピュータ読み取り可能媒体。
14.前記アプリケーションリクエストを一意に識別するリクエストIDを該アプリケーションリクエストのヘッダに追加するステップの実行を前記プロセッサに指示するよう構成されたコードを含み、前記オブザーバから受信した前記サービスレスポンスが該リクエストIDを含む、前項13に記載の持続性コンピュータ読み取り可能媒体。
15.前記サービスレスポンスが、前記アプリケーションリクエストの結果として前記AUTにより実行されたデータベースクエリに対応する情報を含むデータベーストレースノードを含む、前項13に記載の持続性コンピュータ読み取り可能媒体。
Claims (12)
- 検査対象となるアプリケーション(AUT)をホストするサーバと、
該AUTにより実行された命令を監視するよう構成されたオブザーバと、
該AUT及び該オブザーバに共通の通信チャネルを介して通信可能な状態で接続されたコンピューティング装置であって、プロセッサとコンピュータ読み取り可能命令を格納するための記憶装置とを備えている、コンピューティング装置と
を備えたシステムであって、前記コンピュータ読み取り可能命令が、
前記AUTの潜在的な脆弱性を露呈させるよう構成されたアプリケーションリクエストを該AUTへ送信し、
該AUTのプログラミングに従って該AUTからアプリケーションレスポンスを受信し、
前記オブザーバへサービスリクエストを送信し、
前記アプリケーションリクエストに起因して前記AUTにより実行された命令に対応する情報、該AUTに関する情報、又は該AUTをホストするサーバに関する情報を含むサービスレスポンスを前記オブザーバから受信する、
という各ステップを前記プロセッサに実行させるよう構成されており、
前記オブザーバが、前記AUTを監視して該AUTの実行時に動的に生成される新しいURL(Uniform Resource Locator)を識別し及びアプリケーションレスポンスのヘッダでアップデートフィールドを返すよう構成されており、該アップデートフィールドが、該AUTのアタックサーフェスが変化したことを前記コンピューティング装置に通知するよう構成されている、システム。 - 前記オブザーバが、前記アプリケーションリクエストの結果として前記AUTにより実行された命令を識別するトレースを生成し、該トレースを前記サービスレスポンスのボディで前記コンピューティング装置へ送信するよう構成されている、請求項1に記載のシステム。
- 前記オブザーバが、前記アプリケーションレスポンスにカスタムヘッダを追加することにより少なくとも部分的に前記コンピューティング装置と通信するよう構成されている、請求項1又は請求項2に記載のシステム。
- 前記記憶装置が、前記オブザーバからトレース情報を受信するよう前記プロセッサに指示するよう構成されたコンピュータ読み取り可能命令を含み、該トレース情報が、複数のスタックトレースを含み、その各スタックトレースが、前記オブザーバにより検出された脆弱性に対応するコード場所を含む、請求項1ないし請求項3の何れか一項に記載のシステム。
- 前記記憶装置が、同一のコード場所を含むスタックトレースに基づく複数のスタックトレースのグループ化の実行を前記プロセッサに指示するよう構成されたコンピュータ読み取り可能命令を含む、請求項4に記載のシステム。
- 検査対象となるアプリケーション(AUT)の潜在的な脆弱性を露呈させるよう構成されたアプリケーションリクエストを該AUTへ送信し、
該AUTのプログラミングに従って該AUTからアプリケーションレスポンスを受信し、
該AUTにより実行される命令を監視するオブザーバへサービスリクエストを送信し、
前記アプリケーションリクエストに起因して該AUTにより実行された命令に対応する情報、該AUTに関する情報、又は該AUTをホストするサーバに関する情報を含むサービスレスポンスを前記オブザーバから受信する、
という各ステップからなり、前記アプリケーションリクエスト、前記アプリケーションレスポンス、前記サービスリクエスト、及び前記サービスレスポンスが、同一のネットワークチャネルを介して通信され、
前記サービスリクエストがアタックサーフェスサービスリクエストであり、前記AUTのアタックサーフェスに関する情報を前記サービスレスポンスのボディで受信し、該アタックサーフェスが、該AUTにより実行時に生成される静的URL及び動的URLからなる、方法。 - 前記AUTにより生成されたファイル不発見エラーを示すために前記オブザーバにより前記アプリケーションレスポンスに追加されたファイル不発見ヘッダを該アプリケーションレスポンスで受信するステップを含む、請求項6に記載の方法。
- 前記サービスリクエストがトレースサービスリクエストであり、前記オブザーバから受信したサービスレスポンスのボディでスタックトレースを受信するステップを含む、請求項6又は請求項7に記載の方法。
- 前記オブザーバにより検出された脆弱性を識別するスタックトレースを前記サービスレスポンスのボディで受信するステップを含む、請求項6又は請求項7に記載の方法。
- 検査対象となるアプリケーション(AUT)の潜在的な脆弱性を露呈させるよう構成されたアプリケーションリクエストを該AUTへ送信し、
該AUTのプログラミングに従って該AUTからアプリケーションレスポンスを受信し、
該AUTにより実行される命令を監視するオブザーバへサービスリクエストを送信し、
前記アプリケーションリクエストに起因して該AUTにより実行された命令に対応する情報、該AUTに関する情報、又は該AUTをホストするサーバに関する情報を含むサービスレスポンスを前記オブザーバから受信する、
という各ステップの実行をプロセッサに指示するよう構成されたコードを含む、持続性コンピュータ読み取り可能媒体であって、
前記アプリケーションリクエスト、前記アプリケーションレスポンス、前記サービスリクエスト、及び前記サービスレスポンスが同一のネットワークチャネルを介して通信され、
前記サービスリクエストがアタックサーフェスサービスリクエストであり、前記AUTのアタックサーフェスに関する情報を前記サービスレスポンスのボディで受信し、該アタックサーフェスが、該AUTにより実行時に生成される静的URL及び動的URLからなる、持続性コンピュータ読み取り可能媒体。 - 前記アプリケーションリクエストを一意に識別するリクエストIDを該アプリケーションリクエストのヘッダに追加するステップの実行を前記プロセッサに指示するよう構成されたコードを含み、前記オブザーバから受信した前記サービスレスポンスが該リクエストIDを含む、請求項10に記載の持続性コンピュータ読み取り可能媒体。
- 前記サービスレスポンスが、前記アプリケーションリクエストの結果として前記AUTにより実行されたデータベースクエリに対応する情報を含む、請求項10又は請求項11に記載の持続性コンピュータ読み取り可能媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015166360A JP5978368B2 (ja) | 2015-08-26 | 2015-08-26 | アプリケーションのセキュリティ検査 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015166360A JP5978368B2 (ja) | 2015-08-26 | 2015-08-26 | アプリケーションのセキュリティ検査 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014511332A Division JP5801953B2 (ja) | 2011-05-31 | 2011-05-31 | アプリケーションのセキュリティ検査 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016001494A JP2016001494A (ja) | 2016-01-07 |
JP5978368B2 true JP5978368B2 (ja) | 2016-08-24 |
Family
ID=55077022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015166360A Active JP5978368B2 (ja) | 2015-08-26 | 2015-08-26 | アプリケーションのセキュリティ検査 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5978368B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108108175B (zh) * | 2016-11-24 | 2021-05-25 | 百度在线网络技术(北京)有限公司 | 一种用于灰度发布的方法和装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007241906A (ja) * | 2006-03-11 | 2007-09-20 | Hitachi Software Eng Co Ltd | Webアプリケーション脆弱性動的検査方法およびシステム |
JP4940791B2 (ja) * | 2006-07-04 | 2012-05-30 | 富士通株式会社 | テスト支援プログラム、テスト支援装置、およびテスト支援方法 |
JP4193196B1 (ja) * | 2007-05-30 | 2008-12-10 | 株式会社ファイブドライブ | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
JP2010033543A (ja) * | 2008-06-24 | 2010-02-12 | Smg Kk | ソフトウエア動作監視システム、そのクライアントコンピュータおよびサーバコンピュータ、並びに、そのプログラム |
US8141158B2 (en) * | 2008-12-31 | 2012-03-20 | International Business Machines Corporation | Measuring coverage of application inputs for advanced web application security testing |
JP2010267266A (ja) * | 2009-05-18 | 2010-11-25 | Nst:Kk | 試験支援装置および試験支援方法 |
-
2015
- 2015-08-26 JP JP2015166360A patent/JP5978368B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016001494A (ja) | 2016-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5801953B2 (ja) | アプリケーションのセキュリティ検査 | |
US9501650B2 (en) | Application security testing | |
US11722514B1 (en) | Dynamic vulnerability correlation | |
US9043924B2 (en) | Method and system of runtime analysis | |
TWI575397B (zh) | 利用運行期代理器及動態安全分析之應用程式逐點保護技術 | |
US20130160130A1 (en) | Application security testing | |
US9846781B2 (en) | Unused parameters of application under test | |
TW201633747A (zh) | 利用運行期代理器及網路探查器判定漏洞之技術 | |
US9201769B2 (en) | Progressive black-box testing of computer software applications | |
TWI574173B (zh) | 決定受測應用程式安全活動之技術 | |
Huang et al. | UChecker: Automatically detecting php-based unrestricted file upload vulnerabilities | |
Alenezi et al. | Open source web application security: A static analysis approach | |
US9953169B2 (en) | Modify execution of application under test so user is power user | |
Kim et al. | {FuzzOrigin}: Detecting {UXSS} vulnerabilities in browsers through origin fuzzing | |
US10242199B2 (en) | Application test using attack suggestions | |
JP5978368B2 (ja) | アプリケーションのセキュリティ検査 | |
US20170063915A1 (en) | Leveraging persistent identities in website testing | |
CA3204750A1 (en) | Web attack simulator | |
KOLÁČEK | AUTOMATED WEB APPLICATION VULNERABILITY DETECTION |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160609 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160705 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160725 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5978368 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D02 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |