TW201629767A

TW201629767A - 爲符合準則之資料決定保護性措施之技術

Info

Publication number: TW201629767A
Application number: TW104129161A
Authority: TW
Inventors: 沙西慕瑟拉賈; 馬帝亞斯馬道; 羅納德Ｊ希契曼; 傑瑞米布魯克斯
Original assignee: 惠普發展公司有限責任合夥企業
Priority date: 2014-09-04
Filing date: 2015-09-03
Publication date: 2016-08-16
Also published as: US10650148B2; WO2016036368A1; US20170220804A1

Abstract

此處揭示之具體實施例係有關於決定在資料上是否已經執行符合準則的一保護性措施。一受試應用程式(AUT)之執行經監視。該AUT之一欄位須視為敏感的一訊息經接收。資料經決定為欲載入該欄位內。於該AUT之執行期間，資料經監視以決定在該資料上是否已經執行符合該等準則的該保護性措施。

Description

為符合準則之資料決定保護性措施之技術

本發明係有關於為符合準則之資料決定保護性措施之技術。

發明背景

軟體安全性測試係用以辨識應用程式諸如網路應用程式中之脆弱點。傳統針對以網路為基礎之軟體的黑箱安全性測試係藉一安全性測試應用程式俗稱掃描器工作，掃描器假扮為攻擊者。於黑箱辦法中，藉由進行超文字傳輸協定(HTTP)請求及評估HTTP回應以便找到其中該AUT接受輸入的全部URL，該掃描器探勘一受試應用程式(AUT)。其中該AUT接受輸入的URL可稱作AUT的攻擊表面。然後掃描器基於該攻擊表面及可能的脆弱點分類而產生攻擊。掃描器施加該等攻擊藉由評估程式的HTTP回應而診斷脆弱點的是否存在。

依據本發明之一實施例，係特地提出一種儲存指令的非暫態機器可讀取儲存媒體，該等指令若由一裝置之至少一個處理器執行時，使得該裝置用以：監視一受試應用程式(AUT)之執行用以在一伺服器上執行；自經由一通用通訊通道連結的一安全性測試，接收一訊息指示該AUT之一欄位須被視為敏感；決定載入該AUT之該欄位的資料；於該AUT之執行期間，監視該資料用以輔助決定在該資料上是否執行符合準則的一保護性措施。

100、200‧‧‧系統

110、400、600‧‧‧計算裝置

120‧‧‧安全性測試引擎

122、250‧‧‧徐行引擎

124‧‧‧追蹤引擎

126‧‧‧攻擊引擎

128‧‧‧準則

140‧‧‧伺服器

142、240‧‧‧受試應用程式(AUT)

144‧‧‧執行時間代理器

146‧‧‧欲探索之方法之列表

150‧‧‧輸出

210‧‧‧掃描器

215‧‧‧掃描器儲存裝置

255‧‧‧資料庫

260‧‧‧稽核引擎

300、500‧‧‧方法

302-308、502-508‧‧‧方塊

410、610‧‧‧處理器

420、620‧‧‧機器可讀取儲存媒體

422、622‧‧‧通訊指令

424‧‧‧監視指令

426‧‧‧保護性措施指令

624‧‧‧安全性測試指令

626‧‧‧徐行指令

後文詳細說明部分參考附圖，附圖中：圖1為依據一個實施例，能夠追蹤一受試應用程式之執行用以決定在載入一敏感欄位的資料上是否執行一適當保護性措施之一系統之方塊圖；圖2為依據一個實施例，能夠追蹤受試應用程式之執行用以決定在載入一敏感性欄位的資料上是否執行一適當保護性措施之一系統之方塊圖；圖3為依據一個實施例，一種用以決定是否在敏感資料上執行一適當保護性措施之方法之流程圖；圖4為依據一個實施例，一種能夠決定是否在敏感資料上執行一適當保護性措施的計算裝置之方塊圖；圖5為一種用於決定一欄位是否須被視為敏感且請求載入該欄位的資料追蹤用以決定該資料是否經適當保護之方法之流程圖；及圖6為一種能夠決定一欄位是否須被視為敏感且請求載入該欄位的資料追蹤用以決定該資料是否經適當保護之計算裝置之方塊圖。

較佳實施例之詳細說明

一網路應用程式脆弱點掃描器為用於辨識一網路應用程式中之脆弱點的辦法。一掃描器始於徐行該受試應用程式(AUT)用以識別攻擊表面。一執行時間代理器或觀察者可安裝於應用程式伺服器上用以更準確地協助識別攻擊表面。如此處描述，此處稱作觀察者或執行時間代理器的一軟體程式係用以觀看由該AUT從事的內部操作。執行時間代理器使得掃描器能決定AUT之操作，及回應於攻擊AUT如何表現。執行時間代理器也使得掃描器能決定AUT回應於正常應用程式請求的表現，掃描器可使用該請求以決定發送哪些類型的攻擊。掃描器持續傳遞攻擊給AUT，掃描器接收來自執行時間代理器之AUT內部工作的知識。藉此方式，掃描器可找到更多脆弱點及產生更佳的脆弱點報告，藉此提供以網路為基礎之應用程式更全面更詳盡的軟體安全性測試。

檢測涉及敏感資訊之處理的伺服器端漏洞或瑕疵對自動化動態掃描器而言可能為一項挑戰。掃描器可偵測洩漏給客端的資料，但在伺服器上自動檢測資訊之不安全儲存乃更具挑戰性的工作。雖然儲存私密或敏感資訊本身不成問題，原因在於不直接洩漏給客端，但攻擊者將槓桿操作應用程式內的其它問題而到達經脆弱保護的資料。成功資料提取的影響可能如同敏感資訊遭竊的大部分其它破口般嚴重。因此，較佳能夠檢測與修補應用程式內的此等問題。

網路應用程式須安全地儲存敏感資訊。一項挑戰係偵測出何時一應用程式沒有使用適當保護(例如，強力密碼技術、安全雜湊等)以儲存敏感資訊。許多常見漏洞及瑕疵包括不加密敏感資訊、使用微弱程序、或誤用該等程序。

典型統計分析可識別密碼常式之不存在，但沒有該資料之任何脈絡。使用動態測試，敏感資料可經識別，但後端操作變不透明。

據此，此處描述之各種實施例係有關於能夠自客端識別敏感資料，及可靠地驗證此種資料在該應用程式中之處理方式。一動態掃描器及安裝於該應用程式伺服器內部的一執行時間代理器能用以追蹤應用程式中之敏感資訊。動態掃描器可在資訊作為客端時識別資訊且遞交數值給伺服器。該伺服器內部的執行時間代理器在數值到達資料儲存裝置之前追蹤此等數值，且可尋找沿執行路徑之眾所周知的可靠的密碼函式調用。若檢測得無調用或調用弱密碼函式，則此項資訊通訊返回掃描器且加旗標為一潛在脆弱點。

執行時間代理器可負責識別密碼應用程式規劃介面(API)的使用，而掃描器檢測攻擊表面，識別潛在敏感資訊，及對由代理器回送的結果進行分析。

圖1為依據一個實施例，能夠追蹤一受試應用程式之執行用以決定在載入一敏感欄位的資料上是否執行一適當保護性措施之一系統之方塊圖。計算裝置110及伺服器140包括可運用以從事安全性測試之組件。個別裝置110、 140可以是筆記型電腦、桌上型電腦、伺服器、工作站、或能執行所引述功能的任何其它計算裝置。於某些實施例中，一伺服器為一系統其能透過電腦網路回應請求而提供或協助提供一網路服務。又，於某些實施例中，計算裝置110可包括一安全性測試引擎120，其可進一步包括一徐行引擎122、一追蹤引擎124、及一攻擊引擎126。又，伺服器140可包括一受試應用程式142、一執行時間代理器144、及一欲探索之方法之列表146。計算裝置110與伺服器140間之通訊可使用請求-回應協定諸如超文字傳輸協定(HTTP)進行。

安全性測試引擎120可在該AUT例如，掃描上執行安全性測試。如所記，計算裝置110可透過一通用通訊通道而通訊式耦接至AUT 142。於徐行階段中，徐行引擎122徐行該AUT 142，其允許安全性測試引擎120能夠識別一攻擊表面。此點可藉自伺服器端執行時間代理器144提取攻擊表面資訊、遵循鏈路、執行腳本等而予完成。攻擊表面之一或多個部分可包括AUT 142欄位。該等欄位可包括可視為敏感的欄位。此等欄位可包括能被驗證的資訊，諸如密碼、符記、個人識別號碼等及/或儲存的諸如社會安全號碼、信用卡號碼、可組配資訊等。於若干實施例中，安全性測試引擎120可決定欄位中之一或多者須考慮為敏感。此點可基於輸入、上下文(例如，基於連同該欄位呈示的一頁面之一字元搜尋)等。

當安全性測試引擎120遭遇要求遞交敏感資訊的應用程式區段時，該特定資訊被加註記號使得執行時間代理器可檢測之且作用其上。如所記，敏感資訊可指稱用戶憑證、社會安全號碼、信用卡號碼、或一使用者視為「敏感」的任何事物。追蹤引擎124可發送一訊息給執行時間代理器144，指示該欄位須視為敏感及/或來自該欄位的特定資料須視為敏感/被追蹤。

於一攻擊階段期間，攻擊引擎126可被AUT 142上執行攻擊向量且可將資料載入該欄位。當安全性測試引擎120識別敏感資訊的遞交時，可特別將該資訊加旗標，透過訊息而指示代理器須觀察注意此等值。此點可使用客戶請求標頭實施以載明關注值及/或欲監視的欄位值。

此項請求可藉給該代理器的一追蹤請求追蹤，該追蹤請求可含有使用該加旗標值呼叫的密碼API及/或儲存API之細節。如此將允許掃描器基於此項資訊而給一脆弱點加旗標。可探索的若干情況如下：敏感資訊被寫至一資料儲存裝置而無任何加密或雜湊；在使用一弱密碼函式之後，敏感資訊被寫至一資料儲存裝置；敏感資訊經加密或雜湊而無攙假(salting)。

執行時間代理器144可接收訊息，且監視或追蹤載入該欄位的資料。如此，該資料可藉執行時間代理器144監視用以決定是否基於列表146在資料上執行保護性措施。於某些實施例中，該項監視可回應於資料的接收、註記該資料為敏感的資訊之接收、欄位之監視等。此點可用以協助決定使用的保護性措施是否符合準則128。

於一個實施例中，執行時間代理器144可決定資料的類型。該類型可基於接收自安全性測試引擎120的訊息。該訊息可藉由說明該敏感欄位或資料為何敏感而指示類型。此點可合併入來自安全性測試引擎120的訊息，該欄位為敏感及/或作為另一通訊的一部分。

該類型可用以選擇準則128。於一個實施例中，資料的類型可用以決定針對該資料之一推薦保護性措施列表。又，該列表可基於資料的輸出150。輸出150可自AUT 142輸出(例如，至一日誌，至一儲存裝置，至另一應用程式等)及/或至AUT 142內部的其它模組。

為符合準則128之資料決定是否執行一保護性措施可使用法則、詢查表、列表、其它資料結構等實施。可使用白名單(whitelist)辦法。舉例言之，已知之或假設安全的演算法及/或攙假(salting)函式可標記為適當保護性措施。開發者可使用客端演算法。此等演算法可如假設安全而相加或不相加。若不相加，則此等演算法可被加旗標為開發者可能想要考慮以使得AUT 142更加安全的事物。

於某些實施例中，可有兩型敏感資料，亦即使用者遞交的且經驗證的資料(例如，密碼)及應需取回AUT 142的資料(例如，自動每月扣款的信用卡號碼、社會安全號碼等)。於一個實施例中，欲被驗證的資料之準則146可包括雜湊處理。又，於若干實施例中，攙假(salted)雜湊處理可含括作為考慮為用於此類型資料的適當保護性措施。於另一個實施例中，欲被取回的資料之準則128可包括加密法。加密法可包括特定密碼函式及/或API。於若干實施例中，執行時間代理器144可決定保護性措施是否符合該項準則。於其它實施例中，執行時間代理器144將資訊發送回安全性測試引擎120以做決定。

此處描述之引擎、模組、及部件可分布於一或多個裝置間。引擎120、122、124、126包括硬體及/或硬體與程式設計之組合用以執行此處提供之功能。再者，模組可包括欲藉如此處提供的硬體執行的程式設計功能及/或程式設計功能之組合。當討論引擎及模組時，發現歸因於引擎的功能也可歸因於相對應的模組，及反之亦然。再者，歸因於特定模組及/或引擎的功能也可使用其它模組及/或引擎實現。模組及引擎之實例包括安全性測試引擎120、徐行引擎122、追蹤引擎124、攻擊引擎126、受試應用程式142、及執行時間代理器144。

適用於指令及/或電子電路之取回與執行的處理器諸如中央處理單元(CPU)或微處理器可經組配以執行此處描述之引擎及/或模組中之任一者的功能。於某些景況下，指令及/或其它資訊，諸如法則或準則可含括於記憶體內。輸入/輸出介面可由裝置額外提供。舉例言之，輸入裝置諸如鍵盤、感測器、觸控介面、滑鼠、麥克風等可運用以接收來自裝置周圍的環境之輸入。又，輸出裝置諸如顯示器可用以呈現資訊給使用者。輸出裝置之例包括揚聲器、顯示裝置、放大器等。再者，於某些實施例中，有些組件可用以實現此處描述之其它組件的功能。輸入/輸出裝置諸如通訊裝置，例如網路通訊裝置或無線裝置也可考慮為能夠使用輸入/輸出介面的裝置。

引擎/模組中之各者可包括例如，硬體裝置包括用以實現此處描述之功能的電子電路。此外或另外，各個模組可被實現在編碼在計算裝置之機器可讀取儲存媒體上的且由處理器可執行的一串列指令。須注意於若干實施例中，有些模組被實施為硬體裝置，而其它模組被實施為可執行指令。

圖2為依據一個實施例，能夠追蹤受試應用程式之執行用以決定在載入一敏感性欄位的資料上是否執行一適當保護性措施之一系統之方塊圖。系統200可包括掃描器210、AUT 240、及執行時間代理器250。一資料庫255可用以儲存由AUT 240使用的資訊。又，掃描器儲存裝置215可用以儲存資訊(例如，脆弱點、組態資訊、攻擊向量等)。AUT 240可以任何合宜以網路為基礎的電腦語言編碼，諸如JAVA或.NET等。AUT 240可在合宜軟體框架內部操作，諸如框架(Struts)、框架2、ASP.NET MVC、甲骨文(Oracle)網路邏輯(WebLogic)、及春泉(Spring)MVC等。軟體架構包括一集合之通用代碼模組，其提供通用功能，其可由使用者代碼選擇性地凌駕或特化以提供特定功能。AUT 240可經組配以執行爪哇虛擬機(JVM)、共同語言執行時間(CLR)、用以處理來自掃描器210的請求之其它執行時間環境中之一或多者。由軟體架構或執行時間環境的通用代碼模組提供的程式設計指令可稱作容器代碼。AUT 240特定的客端程式設計指令可稱作用戶代碼。

AUT 240可包括一網路介面用以使得掃描器210與AUT 240間能夠經由一網路通訊。網路介面暴露AUT 240的攻擊表面，可以是當AUT 240可供通用時最終用以提供存取AUT 240的相同介面。掃描器210與AUT 240間透過網路介面之通訊可經由自掃描器210簽發給AUT 240的HTTP請求及自AUT 240簽發給掃描器210的HTTP回應進行。靶定於AUT 240的請求可稱作應用程式請求，及接收自AUT 240的回應可稱作應用程式回應。由掃描器210所產生的應用程式請求可經組配以暴露出AUT 240的潛在脆弱點。

AUT 240可耦合至檔案系統、資料庫255、及由AUT 240使用的其它資源。資料庫255可包括多種用戶資訊，諸如用以核可存取例如AUT 240的各種資源的用戶名稱及密碼之一表。檔案系統可包括由AUT 240使用的資料及程式，以及可由一用戶請求的資料，諸如HTTP頁面、軟體程式、媒體檔案等。資料庫255可以是包括AUT 240的系統之部分及/或外接於系統。

執行時間代理器250可在AUT 240之執行環境內部操作且存取由AUT 240從事的內部操作。舉例言之，於某些實施例中，執行時間代理器250藉由在各個程式點插入額外代碼，諸如JAVA種類而修改AUT 240的位元組代碼。插入的代碼作為監視器觀察AUT 240。插入的監視器代碼可位在AUT 240中的策略性程式點，例如，應用程式規劃介面(API)調用其執行特定操作諸如讀取一URL參數或寫至檔案系統。每當在AUT 240中的此種程式點執行時，監視器調用由執行時間代理器250提供的服務用以紀錄由AUT 240提供的操作。執行時間代理器250可耦接至一緩衝器用以儲存有關AUT 240的內部操作已經被收集的資訊。緩衝器可用以儲存已經被收集的但尚未報告給掃描器210的資料。緩衝器可儲存於非依電性儲存媒體，諸如硬碟、固態驅動裝置等。

執行時間代理器250可包括一額外網路介面用以使得執行時間代理器250與掃描器210間能夠經由網路通訊。如前記，網路介面兩者皆可使用相同通訊通道，例如相同HTTP通道。掃描器210與執行時間代理器250間之通訊可透過客端請求及回應標頭而予實施。客端標頭可由掃描器210加至應用程式請求，及客端標頭可由執行時間代理器250加至應用程式回應。藉此方式，掃描器210與執行時間代理器250間之通訊中之至少部分可酬載於與AUT 240的正常通訊上。

掃描器210可將一或多個客端標頭加至各個應用程式請求，其中該等客端標頭包括執行時間代理器250可用以診斷與進行中的一攻擊相關的一脆弱點。該客端標頭之資訊可包括AUT 240之一特定欄位須標記為敏感的資訊，及載入該欄位的資料須被追蹤的資訊，及回報的該資料是否經充分保護的資訊。此外，於若干實施例中，AUT客端標頭可包括載入一欄位的一特定資料須被追蹤的資訊，及回報有關該資料是否經充分保護的資訊。如前記，如此可呈一指示該欄位須由執行時間代理器視為敏感的欄位。

掃描器210也可使用客端請求標頭以產生靶定於執行時間代理器250的請求用以獲得有關由AUT 240執行的內部處理之額外資訊，或有關AUT 240、伺服器、或執行時間代理器250的資訊。靶定於執行時間代理器250的請求可稱作為服務請求，及接收自執行時間代理器250的回應可稱作為服務回應。由執行時間代理器250簽發的服務回應可包括服務回應之主體中的補充資訊，容後詳述。

於各種實施例中，執行時間代理器250係經組配以接收自掃描器210發送給AUT 240的應用程式請求及服務請求。然後，執行時間代理器250可分析標頭資訊用以決定該請求是否為一應用程式請求或一服務請求。當接收一應用程式請求時，執行時間代理器250可分析標頭資訊用以獲得有關該特定應用程式請求由執行時間代理器250所使用的資料。然後，應用程式請求可由執行時間代理器250遞送給AUT 240用以由AUT 240根據AUT的程式設計處理。當AUT 240產生應用程式回應時，執行時間代理器250可將一或多個客端標頭加至該應用程式回應用以回送額外資訊回掃描器210。

於若干實施例中，每個請求(per-request)標頭可以是客端HTTP標頭，其包括一客戶欄位名稱接著為執行時間代理器250及掃描器210瞭解的一或多個欄位值。於此等實施例中，客端HTTP標頭被AUT 240忽略。須瞭解此處描述的欄位名稱只用作為可用於一特定實施例的欄位名稱實例，而非意圖限制申請專利範圍各項之範圍。

於某些實施例中，由掃描器210載入該欄位的資料可視為一探針。執行時間代理器250可觀察由該探針執行的API。執行時間代理器250可知曉基於一每個請求標頭的探針。舉例言之，每個請求標頭可包括一備忘錄標頭用以協調掃描器210與執行時間代理器250間之互動。於若干實施例中，掃描器210可加入一備忘錄標頭探針及/或追蹤請求。執行時間代理器250可使用該備忘錄標頭用以識別與該探針相關聯的一攻擊執行緒。舉例言之，備忘錄標頭可格式化如下：X-Scan-Memo：<AttackString>/<Otherlnformation>

回應於針對一探針/追蹤之一應用程式請求，藉由決定例如，由AUT 240執行的特定代碼行、已由AUT 240存取的檔案、由AUT 240執行的資料庫查詢、或其它資訊，執行時間代理器250可決定應用程式請求的效果。更明確言之，載入該欄位的資料可經監視以決定其去處。此點可用以決定是否已在其上使用足夠的保護性措施。舉例言之，若資料不離開AUT 240，則可能不需採取保護性措施。另一方面，若一密碼儲存於資料庫，攙假雜湊法可設定為針對適當保護性措施的準則。又，社會安全號碼、醫療紀錄等可與用於安全加密法之準則相關聯。

各個追蹤可包括該追蹤相對應的應用程式請求及應用程式回應之請求ID。掃描器210可藉自執行時間代理器250取回該相對應追蹤而知曉由一特定應用程式請求所觸發的該AUT 240之內部操作。為了取回一追蹤，掃描器210可簽發一服務請求給執行時間代理器250，該服務請求包括一標頭欄位名稱/值對，經組配以指示例如，針對特定探針或探針集合的一特定應用程式請求或回應的相對應追蹤之請求。舉例言之，用以請求一追蹤的欄位名稱/值對可格式化如下：Trace=<request_id>

值<request_id>為由掃描器210或執行時間代理器250指定的相對應於與該被請求的追蹤相關聯之應用程式請求及/或應用程式回應的值。當接收到追蹤服務請求時，執行時間代理器250可繞過AUT 240，及產生包括所請求的追蹤之一服務回應。於某些實施例中，所請求的追蹤事由執行時間代理器250自緩衝器取回及加到服務回應的主體，然後可發送給掃描器210。又，於若干實施例中，服務回應標頭包括所請求的追蹤之request_id值，及服務回應的主體可格式化為JSON對象。

執行時間代理器250可監視由AUT 240執行的出現在一應用程式請求之情境外部的處理，諸如由執行時間代理器250插入的額外監視器代碼起始的處理。為了避免遭致無法接受的效能額外負擔程度，執行時間代理器250可經組配以最小化與應用程式請求無關的監視過程之效能額外負擔。舉例言之，藉將監視器代碼插入選擇性監視器特定API調用及AUT的用戶代碼相關部分(例如，密碼調用相關聯的區域、雜湊、輸入/輸出等)可最小化效能額外負擔。

如前述，徐行AUT 240使得掃描器210能夠辨識攻擊表面。此點可藉自伺服器端代理器提取攻擊表面、遵循鏈路、執行腳本等而予完成。若對該應用程式的請求含有任何敏感資訊，則可經由請求標頭通訊給執行時間代理器250。各個徐行請求可接著一個追蹤請求給執行時間代理器250，請求由執行時間代理器250在該應用程式請求執行期間所收集的資訊。緩衝器可用以移轉資訊群組。然後，收集的資訊儲存於掃描器的儲存裝置讓其可供稍後使用。

於一個實施例中，在該掃描器210中負責識別脆弱點的該組件稱作為一稽核引擎260。多個稽核引擎260可存在於掃描器210，各個引擎將負責執行一給定類型的任務/攻擊。舉例言之，密碼引擎可負責分析來自執行時間代理器250的回應，及若有所需，給一脆弱點加旗標。密碼引擎可讀取自掃描器儲存裝置，檢視帶有敏感資訊的請求及其相對應追蹤回應。若一追蹤回應含有有關該應用程式中一密碼函式存在/不存在的資訊，則該引擎執行進一步分析以決定一脆弱點。

因執行時間代理器250係架設在應用程式伺服器，故對應用程式的表現有能見度。若掃描器210發送有備註觀察一給定執行緒的一請求，則執行時間代理器250可注視特定功能調用以知曉該執行緒是否以給定方式使用。

於此種情況下，執行時間代理器250可監視眾所周知的推薦的密碼API，觀察該給定執行緒(例如，敏感資訊)在此等點是否正確使用。於一個實施例中，若未調用密碼函式，則該代理器不發送任何訊息給掃描器，掃描器瞭解該資訊的使用不安全。否則，執行時間代理器250將觀察已知的推薦的密碼函式之執行，且在一接續追蹤請求上發送細節給掃描器210。於若干實施例中，AUT 240是否使用另一API輸出(例如，透過通訊發送，發送給資料庫，發送給日誌等)該資訊也可用以決定其是否適當經保護。

連同密碼API，執行時間代理器250也可觀察其它應用程式表現以瞭解完整工作流程。舉例言之，若由掃描器210遞交的一密碼執行緒通過一SQL查詢而不通過密碼調用，則如此可能潛在表示該密碼的儲存不安全。此點可加旗標。執行時間代理器250無需追蹤單獨來自掃描器210的敏感資訊。也可識別在伺服器本身中不正確讀取與處理的資訊。舉例言之，一應用程式自資料庫讀取一信用卡號碼，解密該值(讓該號碼安全儲存於第一位置)，及然後以明文將其寫入一日誌內。此表現並不涉及自掃描器210發送的資訊，反而係另一種形式的資訊洩漏，其可由執行時間代理器250偵測及發送給掃描器210用於處理。

圖3為依據一個實施例，一種用以決定是否在敏感資料上執行一適當保護性措施之方法之流程圖。圖4為依據一個實施例，一種能夠決定是否在敏感資料上執行一適當保護性措施的計算裝置之方塊圖。雖然方法300的執行於後文中係參考計算裝置400描述，但也可利用用於方法300的執行之其它合宜組件(例如，計算系統100及/或200)。此外，執行方法300之組件可分布於多個裝置間。方法300可以儲存在機器可讀取儲存媒體諸如儲存媒體420上的可執行指令形式實施，及/或以電子電路形式實施。

計算裝置400包括例如一處理器410，及一機器可讀取儲存媒體420包括指令422、424、426用以輔助在AUT上的安全性測試。計算裝置400例如可以是筆記型電腦、桌上型電腦、工作站、伺服器、平板電腦、或能從事此處描述之功能的任何其它計算裝置。

處理器410可包括至少一個中央處理單元(CPU)、至少一個以半導體為基礎之微處理器、至少一個圖形處理單元(GPU)、適用以取回與執行儲存於機器可讀取儲存媒體420中之指令的其它硬體裝置、或其組合。舉例言之，處理器410可包括在一晶片上的多個核心，包括跨多個晶片之多個核心、跨多個裝置之多個核心(例如，若計算裝置400包括多個節點裝置)、或其組合。處理器410可提取、解碼、及執行指令422、424、426用以具體實施方法300。至於取回與執行指令之替代或除外，處理器410可包括至少一個積體電路(IC)、其它控制邏輯、其它電子電路、或其組合其包括用以執行指令422、424、426之功能的多個電子組件。

機器可讀取儲存媒體420可以是含有或儲存可執行指令的任何電子、磁學、光學、或其它實體儲存裝置。如此，機器可讀取儲存媒體例如可以是隨機存取記憶體(RAM)、可電氣抹除可規劃唯讀記憶體(EEPROM)、儲存裝置驅動裝置、光碟-唯讀記憶體(CD-ROM)等。因此機器可讀取儲存媒體可以是非暫態。容此處詳述，機器可讀取儲存媒體420可以一串列之可執行指令編碼用以基於攻擊提示而從事一安全性測試。

計算裝置400可主持一受試應用程式。執行時間代理器可執行監視指令424以監視AUT的執行(302)。掃描器或其它安全性測試引擎可在AUT上從事安全性測試。通訊指令422可由處理器410執行以與安全性測試通訊。掃描器可徐行該AUT及進行攻擊向量。於一個實施例中，掃描器可決定該AUT之一欄位係與敏感資訊相關聯(例如，該欄位請求掃描器因某個理由判定為敏感的資訊(例如，基於名稱，基於輸入等))。掃描器可發送識別該欄位的一訊息給該執行時間代理器。又，於若干實施例中，掃描器可提供額外資訊，諸如敏感資訊的類型/上下文及/或有關載入該欲追蹤欄位的資料之資訊。

於304，計算裝置400自透過一通用通訊通道連結的該安全性測試，接收該AUT之一欄位須視為敏感的一訊息。通訊指令422可經執行以處理訊息。於306，監視指令424可由處理器410執行以決定載入AUT之該欄位中之資料。該項決定可基於來自安全性測試的通訊(例如，透過識別資料之一訊息)及/或基於由執行時間代理器監視該欄位。此外，資料的類型可基於來自安全性測試的通訊。

於308，執行時間代理器可執行監視指令424用以於AUT執行期間監視資料。保護性措施指令426可執行以決定在資料上是否執行保護性措施。於若干實施例中，為符合準則之資料決定是否在資料上執行保護性措施。於其它實施例中，資訊發送回安全性測試，其可做決定。準則為判定標準及用於評估保護性措施的法則或原則。該準則中可含括一或多個標準。於若干實施例中，執行時間代理器可尋找特定保護性措施(被視為適當及不適當的兩項措施)，及提供該項資訊給安全性測試。

於一個實施例中，計算裝置400可決定自AUT的資料輸出。該輸出可以是例如資料庫、AUT外部通訊、日誌等。基於輸出、類型、其組合等，可決定針對該資料的推薦保護性措施之一列表。舉例言之，該列表可包括與資料類型X及輸出Y相關聯的推薦函式。一資料結構能夠保有類型、輸出、及/或其它資訊的多個不同類型。執行時間代理器可追蹤該資料至使用的密碼函式。若資料被輸出而無密碼函式，則執行時間代理器可發送該資訊及/或不符合準則的一訊息給該安全性測試。於其它實施例中，執行時間代理器可以無聲，安全性測試可經規劃以假設無聲表示不符合準則。若使用列表上的一處理，執行時間代理器可提供該資訊給安全性測試。於若干實施例中，若使用的方法係在列表上，則執行時間代理器可決定保護性措施(密碼處理)符合準則。

如前記，於一個實施例中，資料類型為欲被驗證的資料。於此種景況下，該列表可包括一集合之保護性措施，諸如攙假雜湊法。若一集合之特定攙假雜湊法中之一者用在資料上，則可符合準則。此類型資料之實施例可包括密碼、其它憑證等。

於另一個實施例中，資料類型為欲被但儲存的及取回的資料。此處，該準則可包括至少一個安全密碼函式。各種型別可經決定及客製化而與特定保護性措施(例如，加密法、攙假雜湊函式等)相關聯。如前記，可使用白列表辦法。

可提供回授給安全性測試，有關是否已經採行符合準則的保護性措施。於若干實施例中，安全性測試可進行判定決定該保護性措施是否符合準則，同時執行時間代理器提供有關在資料上將進行什麼處理的資訊(例如，任何密碼函式、輸出函式等)。

圖5為一種用於決定一欄位是否須被視為敏感且請求載入該欄位的資料追蹤用以決定該資料是否經適當保護之方法之流程圖。圖6為一種能夠決定一欄位是否須被視為敏感且請求載入該欄位的資料追蹤用以決定該資料是否經適當保護之計算裝置之方塊圖。雖然後文中係參考計算裝置600描述方法500之執行，但可利用其它適當組件用以執行方法500(例如，計算裝置100及/或200)。此外，用以執行方法500之組件可分布於多個裝置間。方法500可以儲存於機器可讀取儲存媒體諸如儲存媒體620上的可執行指令之形式實現，及/或以電子電路形式實現。

計算裝置600包括例如，一處理器610，及包括指令622、624、626用以在一AUT上執行安全性測試的機器可讀取儲存媒體620。計算裝置600例如可以是筆記型電腦、桌上型電腦、工作站、伺服器、或能執行所描述之功能的任何其它計算裝置。

處理器610可以是至少一個中央處理單元(CPU)、至少一個以半導體為基礎之微處理器、至少一個圖形處理單元(GPU)、適用以取回與執行儲存於機器可讀取儲存媒體620中之指令的其它硬體裝置、或其組合。舉例言之，處理器610可包括在一晶片上的多個核心，包括跨多個晶片之多個核心、跨多個裝置之多個核心(例如，若計算裝置600包括多個節點裝置)、或其組合。處理器610可提取、解碼、及執行指令622、624、626用以具體實施方法500。至於取回與執行指令之替代或除外，處理器610可包括至少一個積體電路(IC)、其它控制邏輯、其它電子電路、或其組合其包括用以執行指令622、624、626之功能的多個電子組件。

機器可讀取儲存媒體620可以是含有或儲存可執行指令的任何電子、磁學、光學、或其它實體儲存裝置。如此，機器可讀取儲存媒體例如可以是隨機存取記憶體(RAM)、可電氣抹除可規劃唯讀記憶體(EEPROM)、儲存裝置驅動裝置、光碟-唯讀記憶體(CD-ROM)等。因此機器可讀取儲存媒體可以是非暫態。容此處詳述，機器可讀取儲存媒體620可以一串列之可執行指令編碼用以基於攻擊提示而從事一安全性測試。

一伺服器可主持受試應用程式。計算裝置600可在該AUT上從事安全性測試。徐行指令626可經執行以徐行 AUT用以決定該AUT之一攻擊表面。通訊指令622可經執行與AUT通訊而執行徐行(例如，透過一網路介面卡或其它通訊裝置)。

於502，計算裝置可決定須被視為敏感的該AUT之一欄位。此點可自動完成及/或透過來自一使用者的輸入達成。於一個實施例中，計算裝置600可剖析網路應用程式之資訊用以決定接近該欄位的關鍵字(例如，用戶名稱、密碼、社會安全號碼、電話號碼、地址、生日等)用以決定該欄位是否須被視為敏感。於另一個實施例中，該計算裝置可接收有關一特定欄位是否須被視為敏感的輸入。於又一個實施例中，計算裝置可基於徐行頁面的分析而給一欄位加旗標，及提供該項資訊給一使用者用於確認。

於504，通訊指令622可經執行以發送一訊息給與該受試應用程式相關聯的一執行時間代理器指示該欄位被視為敏感。於506，安全性測試指令624可經執行以將資料載入該欄位。於若干實施例中，其它資訊可提供給執行時間代理器(例如，敏感資訊類型、上下文等)。然後執行時間代理器可追蹤資料用以決定該資料是否已經輸出及/或是否具有在資料上執行的一保護性措施。執行時間代理器可回送一指示，指示該資料是否已由計算裝置600可接收的一適當保護性措施保護(508)。

於若干實施例中，執行時間代理器追蹤該資料，給計算裝置600提供以資訊有關該資料是否已由一方法保護，及/或提供在資料上已經實施的各種方法。於此等實施例中，計算裝置600可決定保護性方法是否適當。如前述，若符合設定的準則(例如，基於特定類型的敏感資料，使用特定類型之方法)，則保護性方法可視為適當。

100‧‧‧系統

110‧‧‧計算裝置