JP6226990B2 - セキュリティ脆弱性に対するサーバ側アプリケーションの保証 - Google Patents
セキュリティ脆弱性に対するサーバ側アプリケーションの保証 Download PDFInfo
- Publication number
- JP6226990B2 JP6226990B2 JP2015532171A JP2015532171A JP6226990B2 JP 6226990 B2 JP6226990 B2 JP 6226990B2 JP 2015532171 A JP2015532171 A JP 2015532171A JP 2015532171 A JP2015532171 A JP 2015532171A JP 6226990 B2 JP6226990 B2 JP 6226990B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- report
- vulnerabilities
- security
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Description
Claims (20)
- サーバと通信可能なクライアントが実行するサーバ・セキュリティ検証の方法であって、
一つ以上の脆弱性の各々に対する脆弱性の存在に関する指摘を含みサーバで生成された受信レポートに関連付けられた公開鍵を取得するステップと、
前記公開鍵を用いて前記受信レポートを解読するステップと、
前記解読されたレポートに基づいてサーバ側セキュリティのレベルを判定するステップと、
前記判定されたサーバ側セキュリティのレベルに対応して、前記クライアントでブラウザを再設定するステップと、
を含む方法。 - 前記判定されたサーバ側セキュリティのレベルに基づいて特定の脆弱性のスキャンを強化または軽減するように、前記クライアントでスキャニング・モジュールを設定するステップと、
前記スキャニング・モジュールを用い、前記サーバの脆弱性をスキャンするステップと、
をさらに含む、請求項1に記載の方法。 - 前記レポートで前記サーバに存在しないと指摘された脆弱性のスキャンを省略し、前記レポートで前記サーバに存在すると指摘された脆弱性のスキャンを増加するように、前記スキャニング・モジュールを設定するステップをさらに含む、請求項2に記載の方法。
- サーバ側セキュリティのレベルを判定する前記ステップが、
前記解読されたレポート中に開示された各脆弱性に関連付けられた重大度スコアを合計するステップと、
前記合計された重大度スコアを、最大許容脆弱性重大度を表す閾値と比較するステップと、
をさらに含む、請求項1〜3のいずれかに記載の方法。 - サーバ側セキュリティのレベルを判定する前記ステップが、
前記解読されたレポート中に開示された脆弱性の数をカウントするステップと、
前記脆弱性の数を、最大許容脆弱性カウントを表す閾値と比較するステップと、
をさらに含む、請求項1〜4のいずれかに記載の方法。 - 互いに通信可能なサーバとクライアントとが実行するサーバ・セキュリティ検証の方法であって、
前記サーバに位置するスキャニング・モジュールを用い、前記サーバの一つ以上の脆弱性をスキャンするステップと、
前記スキャンの結果に基づいて、前記一つ以上の脆弱性の各々に対する脆弱性の存在に関する指摘を含む、サーバ側セキュリティの暗号化レポートを生成するステップであって、前記暗号化は秘密鍵を用いて実施される、前記生成するステップと、
公開鍵を用い、要求している前記クライアントで前記暗号化レポートのコピーを解読するステップと、
前記クライアントが、前記解読されたレポートに基づいてサーバ側セキュリティのレベルを判定するステップと、
前記クライアントに位置するスキャニング・モジュールを用いて前記サーバの脆弱性をスキャンするステップと、
を含む方法。 - 前記判定されたサーバ側セキュリティのレベルに基づいて特定の脆弱性のスキャンを増加または軽減するように、前記クライアントに位置する前記スキャニング・モジュールを設定するステップをさらに含む、請求項6に記載の方法。
- 前記レポートで前記サーバに存在しないと指摘された脆弱性のスキャンを省略し、前記レポートで前記サーバに存在すると指摘された脆弱性のスキャンを増加するように、前記スキャニング・モジュールを設定するステップをさらに含む、請求項7に記載の方法。
- サーバ側セキュリティのレベルを判定する前記ステップが、
前記解読されたレポート中に開示された各脆弱性に関連付けられた重大度スコアを合計するステップと、
前記合計された重大度スコアを、最大許容脆弱性重大度を表す閾値と比較するステップと、
をさらに含む、請求項6〜8のいずれかに記載の方法。 - サーバ側セキュリティのレベルを判定する前記ステップが、
前記解読されたレポート中に開示された脆弱性の数をカウントするステップと、
前記脆弱性の数を、最大許容脆弱性カウントを表す閾値と比較するステップと、
をさらに含む、請求項6〜9のいずれかに記載の方法。 - サーバと通信可能なクライアントが備えるクライアント・セキュリティ・モジュールであり、
サーバで生成された受信レポートに関連付けられた公開鍵を取得し、前記公開鍵を用いて前記受信レポートを解読し、前記解読されたレポートに基づいてサーバ側セキュリティのレベルを判定するよう構成されたレポート確認モジュールと、
前記判定されたサーバ側セキュリティのレベルに対応して、ブラウザを再設定するよう構成されたプロセッサと、
を含むクライアント・セキュリティ・モジュール。 - 前記受信レポートに基づいて前記サーバの脆弱性をスキャンするよう構成され、前記判定されたサーバ側セキュリティのレベルに基づいて特定の脆弱性のスキャンを強化または軽減するようさらに構成されたスキャニング・モジュールをさらに含む、請求項11に記載のクライアント・セキュリティ・モジュール。
- 前記スキャニング・モジュールが、前記レポートで前記サーバに存在しないと指摘された脆弱性のスキャンを省略し、前記レポートで前記サーバに存在すると指摘された脆弱性のスキャンを増加するようさらに構成される、請求項12に記載のクライアント・セキュリティ・モジュール。
- 前記レポート確認モジュールが、前記解読されたレポート中に開示された各脆弱性に関連付けられた重大度スコアを合計し、前記合計された重大度スコアを、最大許容脆弱性重大度を表す閾値と比較するようさらに構成される、請求項11〜13のいずれかに記載のクライアント・セキュリティ・モジュール。
- 前記レポート確認モジュールが、前記解読されたレポート中に開示された脆弱性の数をカウントし、前記脆弱性の数を、最大許容脆弱性カウントを表す閾値と比較するようさらに構成される、請求項11〜14のいずれかに記載のクライアント・セキュリティ・モジュール。
- 互いに通信可能なサーバ・セキュリティ・モジュール及びクライアント・セキュリティ・モジュールを備えるセキュリティ検証システムであり、
前記サーバ・セキュリティ・モジュールは、
サーバの一つ以上の脆弱性をスキャンするよう構成されたスキャナと、
前記スキャナによって提供された結果に基づいて、サーバ側セキュリティの暗号化レポートを生成するよう構成されたレポート・ゼネレータと、
前記暗号化レポートを、要求しているクライアントに送信するよう構成されたトランスミッタと、
を備え、
前記クライアント・セキュリティ・モジュールは、
サーバで生成された受信レポートを解読し、プロセッサを用い、前記解読されたレポートに基づいてサーバ側セキュリティのレベルを判定するよう構成されたレポート確認モジュールと、
前記サーバの脆弱性をスキャンするよう構成されたスキャニング・モジュールであって、前記スキャニングは、前記判定されたサーバ側セキュリティのレベルに基づいて特定の脆弱性のスキャンを強化または軽減するよう構成される、前記スキャニング・モジュールと、
を備える、
セキュリティ検証システム。 - 前記スキャニング・モジュールが、前記レポートで前記サーバに存在しないと指摘された脆弱性のスキャンを省略するようさらに構成される、請求項16に記載のセキュリティ検証システム。
- 前記スキャニング・モジュールが、前記レポートで前記サーバに存在すると指摘された脆弱性のスキャンを増加するようさらに構成される、請求項16に記載のセキュリティ検証システム。
- 前記レポート確認モジュールが、前記解読されたレポート中に開示された各脆弱性に関連付けられた重大度スコアを合計し、前記合計された重大度スコアを、最大許容脆弱性重大度を表す閾値と比較するようさらに構成される、請求項16〜18のいずれかに記載のセキュリティ検証システム。
- 前記レポート確認モジュールが、前記解読されたレポート中に開示された脆弱性の数をカウントし、前記脆弱性の数を、最大許容脆弱性カウントを表す閾値と比較するようさらに構成される、請求項16〜19のいずれかに記載のセキュリティ検証システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/622,161 US8949995B2 (en) | 2012-09-18 | 2012-09-18 | Certifying server side web applications against security vulnerabilities |
US13/622,161 | 2012-09-18 | ||
PCT/US2013/060360 WO2014047147A1 (en) | 2012-09-18 | 2013-09-18 | Certifying server side web applications against security vulnerabilities |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015534681A JP2015534681A (ja) | 2015-12-03 |
JP6226990B2 true JP6226990B2 (ja) | 2017-11-08 |
Family
ID=50275928
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015532171A Active JP6226990B2 (ja) | 2012-09-18 | 2013-09-18 | セキュリティ脆弱性に対するサーバ側アプリケーションの保証 |
Country Status (4)
Country | Link |
---|---|
US (2) | US8949995B2 (ja) |
JP (1) | JP6226990B2 (ja) |
CN (1) | CN104620225B (ja) |
WO (1) | WO2014047147A1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9471787B2 (en) * | 2011-08-25 | 2016-10-18 | International Business Machines Corporation | Detecting stored cross-site scripting vulnerabilities in web applications |
US9027141B2 (en) | 2012-04-12 | 2015-05-05 | Netflix, Inc. | Method and system for improving security and reliability in a networked application environment |
US9774617B2 (en) | 2012-10-12 | 2017-09-26 | Trustwave Holdings, Inc. | Distributed client side user monitoring and attack system |
CN104253714B (zh) * | 2013-06-27 | 2019-02-15 | 腾讯科技(深圳)有限公司 | 监控方法、系统、浏览器及服务器 |
US10275604B2 (en) * | 2014-10-31 | 2019-04-30 | Hewlett Packard Enterprise Development Lp | Security record transfer in a computing system |
US10503909B2 (en) | 2014-10-31 | 2019-12-10 | Hewlett Packard Enterprise Development Lp | System and method for vulnerability remediation verification |
US11044266B2 (en) | 2016-02-26 | 2021-06-22 | Micro Focus Llc | Scan adaptation during scan execution |
US10038717B2 (en) * | 2016-02-29 | 2018-07-31 | Red Hat, Inc. | Secure performance monitoring of remote application servers |
JP6690346B2 (ja) * | 2016-03-25 | 2020-04-28 | 日本電気株式会社 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
CN106130966B (zh) * | 2016-06-20 | 2019-07-09 | 北京奇虎科技有限公司 | 一种漏洞挖掘检测方法、服务器、装置和系统 |
US10616263B1 (en) | 2017-09-13 | 2020-04-07 | Wells Fargo Bank, N.A. | Systems and methods of web application security control governance |
US11201896B1 (en) | 2019-05-07 | 2021-12-14 | Rapid7, Inc. | Vulnerability validation using lightweight offensive payloads |
US11983277B2 (en) | 2019-07-16 | 2024-05-14 | Hewlett Packard Enterprise Development Lp | Identifying a security vulnerability in a computer system |
US11290480B2 (en) * | 2020-05-26 | 2022-03-29 | Bank Of America Corporation | Network vulnerability assessment tool |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6530022B1 (en) * | 1998-12-17 | 2003-03-04 | International Business Machines Corporation | Permission-based scanning of a web site |
ATE414943T1 (de) | 2000-03-03 | 2008-12-15 | Ibm | System zur bestimmung von schwächen von web- anwendungen |
US7340776B2 (en) * | 2001-01-31 | 2008-03-04 | International Business Machines Corporation | Method and system for configuring and scheduling security audits of a computer network |
US20030028803A1 (en) | 2001-05-18 | 2003-02-06 | Bunker Nelson Waldo | Network vulnerability assessment system and method |
US20030056116A1 (en) | 2001-05-18 | 2003-03-20 | Bunker Nelson Waldo | Reporter |
US7328344B2 (en) | 2001-09-28 | 2008-02-05 | Imagitas, Inc. | Authority-neutral certification for multiple-authority PKI environments |
US7451488B2 (en) | 2003-04-29 | 2008-11-11 | Securify, Inc. | Policy-based vulnerability assessment |
US8136163B2 (en) * | 2004-01-16 | 2012-03-13 | International Business Machines Corporation | Method, apparatus and program storage device for providing automated tracking of security vulnerabilities |
US7761918B2 (en) | 2004-04-13 | 2010-07-20 | Tenable Network Security, Inc. | System and method for scanning a network |
JP2006107387A (ja) * | 2004-10-08 | 2006-04-20 | Sanwa Comtec Kk | オンラインサービスのリアルタイムセキュリティ証明のための方法および装置 |
US8281401B2 (en) | 2005-01-25 | 2012-10-02 | Whitehat Security, Inc. | System for detecting vulnerabilities in web applications using client-side application interfaces |
CN1835507A (zh) | 2005-03-17 | 2006-09-20 | 国际商业机器公司 | 用于用户与web浏览器交互的服务器端处理的方法与系统 |
US8448241B1 (en) * | 2006-02-16 | 2013-05-21 | Oracle America, Inc. | Browser extension for checking website susceptibility to cross site scripting |
US20070233854A1 (en) * | 2006-03-31 | 2007-10-04 | Microsoft Corporation | Management status summaries |
US8738786B2 (en) | 2006-05-18 | 2014-05-27 | Sanggyu Lee | Method for protecting client and server |
US8850587B2 (en) | 2007-05-04 | 2014-09-30 | Wipro Limited | Network security scanner for enterprise protection |
US8510828B1 (en) * | 2007-12-31 | 2013-08-13 | Symantec Corporation | Enforcing the execution exception to prevent packers from evading the scanning of dynamically created code |
US8996658B2 (en) * | 2008-09-03 | 2015-03-31 | Oracle International Corporation | System and method for integration of browser-based thin client applications within desktop rich client architecture |
US8261354B2 (en) * | 2008-09-17 | 2012-09-04 | International Business Machines Corporation | System, method and program product for dynamically performing an audit and security compliance validation in an operating environment |
US20100107257A1 (en) * | 2008-10-29 | 2010-04-29 | International Business Machines Corporation | System, method and program product for detecting presence of malicious software running on a computer system |
US8676966B2 (en) | 2009-12-28 | 2014-03-18 | International Business Machines Corporation | Detecting and monitoring server side states during web application scanning |
CN102111385A (zh) * | 2009-12-28 | 2011-06-29 | 北京安码科技有限公司 | 一种网页安全信任评分方法 |
US8910288B2 (en) | 2010-02-05 | 2014-12-09 | Leidos, Inc | Network managed antivirus appliance |
JP5499805B2 (ja) * | 2010-03-19 | 2014-05-21 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法並びに情報処理プログラム |
US8694779B2 (en) | 2010-08-13 | 2014-04-08 | Bmc Software, Inc. | Monitoring based on client perspective |
CN102404281B (zh) * | 2010-09-09 | 2014-08-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种网站扫描设备和方法 |
-
2012
- 2012-09-18 US US13/622,161 patent/US8949995B2/en active Active
- 2012-10-12 US US13/650,831 patent/US8943599B2/en active Active
-
2013
- 2013-09-18 JP JP2015532171A patent/JP6226990B2/ja active Active
- 2013-09-18 WO PCT/US2013/060360 patent/WO2014047147A1/en active Application Filing
- 2013-09-18 CN CN201380047234.5A patent/CN104620225B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN104620225A (zh) | 2015-05-13 |
US20140082734A1 (en) | 2014-03-20 |
US8943599B2 (en) | 2015-01-27 |
US20140082736A1 (en) | 2014-03-20 |
WO2014047147A1 (en) | 2014-03-27 |
CN104620225B (zh) | 2018-01-23 |
JP2015534681A (ja) | 2015-12-03 |
US8949995B2 (en) | 2015-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6226990B2 (ja) | セキュリティ脆弱性に対するサーバ側アプリケーションの保証 | |
US10452853B2 (en) | Disarming malware in digitally signed content | |
US11038876B2 (en) | Managing access to services based on fingerprint matching | |
US20220188425A1 (en) | Quarantine of software by an evaluation server based on authenticity analysis of user device data | |
US9495539B2 (en) | Method and system for protection against information stealing software | |
EP2550601B1 (en) | Executable code validation in a web browser | |
US10453017B1 (en) | Computer systems and methods to protect user credential against phishing | |
US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
CN102246490A (zh) | 对不需要的软件或恶意软件进行分类的系统和方法 | |
KR20120004536A (ko) | 코드 및 데이터 서명을 개선하기 위한 방법 및 장치 | |
US20090300749A1 (en) | Method and system for defeating the man in the middle computer hacking technique | |
US11822660B2 (en) | Disarming malware in protected content | |
Cinar et al. | The current state and future of mobile security in the light of the recent mobile security threat reports | |
Sharma et al. | Smartphone security and forensic analysis | |
Anand et al. | Comparative study of ransomwares | |
Liu | Ethical Hacking of a Smart Video Doorbell | |
Alkhairi et al. | Securing Sensitive Data in Fintech: A Case Study of eKopz with SDS Security Model Implementation | |
Cunha | Cybersecurity Threats for a Web Development | |
US20240048569A1 (en) | Digital certificate malicious activity detection | |
KR101825699B1 (ko) | Cng를 사용한 프로그램에서 보안 개선 방법 및 이러한 방법을 수행하는 장치 | |
Hedemalm | An empirical comparison of the market-leading IDS's | |
Rahman et al. | Vulnerability Assessment of Mobile Financial Service Applications In Bangladesh | |
Rizvi et al. | A Hybrid Framework for Detecting Repackaged Applications on the Android Market | |
CN117195235A (zh) | 一种用户终端的接入可信计算认证系统及方法 | |
CN114157503A (zh) | 访问请求的认证方法及装置、api网关设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160824 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170830 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170919 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171010 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6226990 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |