公开(公告)号：GB2515663A

公开(公告)日：2014-12-31

申请号：GB201413442

申请日：2013-01-11

Applicant: IBM

Inventor： SEGAL ORI ,  BACHAR RONEN ,  SALTZMAN ROI ,  NORDAN RON ,  KREICHMAN IGAL ,  AMIT YAIR ,  LOTEM GUY

IPC: G06F21/55

Abstract: Collecting log file data from at least one log file. From the collected log file data, at least one HTTP request can be generated to exercise a web application to perform a security analysis of the web application. The HTTP request can be communicated to the web application. At least one HTTP response to the HTTP request can be received. The HTTP response can be analyzed to perform validation of the web application. Results of the validation can be output.

公开(公告)号：DE112012002718T5

公开(公告)日：2014-04-10

申请号：DE112012002718

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L9/32 ,  G06F21/00 ,  H04L12/16 ,  H04L12/26 ,  H04L29/06

Abstract: Verfahren zum Erkennen von Sicherheitsschwachstellen, das beinhaltet: Zusammenwirken mit einer Web-Anwendung während ihrer Ausführung, um eine Webseite zu identifizieren, die durch die Web-Anwendung zugänglich gemacht wird; statisches Analysieren der Webseite, um in der Webseite ein Parameter zu identifizieren, der durch eine clientseitige Prüfmaßnahme vorgegeben wird und der an die Web-Anwendung gesendet werden soll; Festlegen einer serverseitigen Prüfmaßnahme, die auf den Parameter angewendet werden soll im Hinblick auf die Vorgabe, die durch die clientseitige Prüfmaßnahme an dem Parameter ausgeführt wird; statisches Analysieren der Web-Anwendung, um eine Stelle in der Web-Anwendung zu identifizieren, an der der Parameter in die Web-Anwendung eingegeben wird; Ermitteln, ob der Parameter durch die serverseitige Prüfmaßnahme vorgegeben wird, bevor der Parameter in einer sicherheitssensiblen Operation verwendet wird; und Identifizieren des Parameters als eine Sicherheitsschwachstelle.

公开(公告)号：GB2505623A

公开(公告)日：2014-03-05

申请号：GB201400029

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L29/06 ,  G06F21/57

Abstract: Method to detect security vulnerabilities includes: interacting with a web application during its execution to identify a web page exposed by the web application; statically analyzing the web page to identify a parameter within the web page that is constrained by a client-side validation measure and that is to be sent to the web application; determining a server-side validation measure to be applied to the parameter in view of the constraint placed upon the parameter by the client-side validation measure; statically analyzing the web application to identify a location within the web application where the parameter is input into the web application; determining whether the parameter is constrained by the server-side validation measure prior to the parameter being used in a security-sensitive operation; and identifying the parameter as a security vulnerability.

公开(公告)号：GB2499353B

公开(公告)日：2013-10-16

申请号：GB201310455

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00 ,  G06F11/36 ,  G06F21/50