公开(公告)号：GB2512258A

公开(公告)日：2014-09-24

申请号：GB201412804

申请日：2013-01-17

Applicant: IBM

Inventor： TRIPP OMER ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F21/57

Abstract: Performing security analysis on a computer program under test (CPUT). The CPUT can be analyzed to identify data pertinent to potential security vulnerabilities of the CPUT. At least a first unit test configured to test a particular unit of program code within the CPUT can be automatically synthesized. The first unit test can be configured to initialize at least one parameter used by the particular unit of program code within the CPUT, and can be provided at least a first test payload configured to exploit at least one potential security vulnerability of the CPUT. The first unit test can be dynamically processed to communicate the first test payload to the particular unit of program code within the CPUT. Whether the first test payload exploits an actual security vulnerability of the CPUT can be determined, and a security analysis report can be output.

公开(公告)号：GB2511047A

公开(公告)日：2014-08-27

申请号：GB201302971

申请日：2013-02-20

Applicant: IBM

Inventor： WURTH EMMANUEL ,  BESKROVNY EVGENY ,  TRIPP OMER

IPC: G06F11/36

Abstract: Providing context in functional testing of web services by using semantic analysis of web method names to categorise them into predefine categories defining interaction flows on the web and creating a context for a web method according to its category in the form of a sequence of methods providing appropriate contexts for testing the web method. Categorising method names may include receiving a file having a plurality of methods, grouping the methods according to their suffixes. Semantically analysing the prefixes to classify them in one of the predefined categories defining interaction flows on the web may include determining a confidence score for the classifying of each prefix and removing the category with low confidence scores. The methods may be grouped according to their suffixes to optimise a minimal number of groups with the similarity between suffixes of each method being maximal.

公开(公告)号：GB2509451A

公开(公告)日：2014-07-02

申请号：GB201406638

申请日：2012-07-12

Applicant: IBM

Inventor： TRIPP OMER ,  TATEISHI TAKAAKI ,  PISTOIA MARCO

IPC: G06F17/30 ,  G06F21/57

Abstract: A method for dynamically selecting string analysis algorithms can begin with the training of the dynamic string analysis handler of a string analysis module to effectively handle a subset of string queries having contextual metadata received from a client application in an instructional environment. The effectiveness of the training module can be based upon feedback from the client application. Upon completion of the training, a string analysis algorithm selection policy can be synthesized. The string analysis algorithm selection policy can correlate a context of a string query in the subset to the usage of a string analysis algorithm. When in the operational environment, the dynamic string analysis handler can dynamically handle string queries having contextual metadata received from the client application in accordance with the string analysis algorithm selection policy. The string analysis algorithm to be used for a string query can be dynamically and independently determined.

公开(公告)号：GB2502099A

公开(公告)日：2013-11-20

申请号：GB201208598

申请日：2012-05-16

Applicant: IBM

Inventor： BESKROVNY EVGENY ,  TRIPP OMER ,  WURTH EMMANUEL ,  CORMIER BERTRAND ,  GOUT JEROME

IPC: G06F11/36

Abstract: Method and system are provided for performance testing of web components using identity information. The method begins by providing a web component for testing having business logic code and an associated authorisation layer code 601. Next branches are located in the authorisation layer code and business logic code which are dependent on identity information 602. Symbolic identities with claims or attributes having values corresponding to the branch options (true or false) of the located branches are created at step 603. At step 604 the symbolic identities are propagated downstream from the branch locations through the authorisation layer code and the business logic code which may be carried out by static program analysis. Performance related facts may be collected 605 and the performance of each symbolic identity is analysed 607. The analysis may involve the use of a cost model and/or statistical analysis to determine which aspects of identity affect the performance of the web components.

公开(公告)号：GB2529842A

公开(公告)日：2016-03-09

申请号：GB201415578

申请日：2014-09-03

Applicant: IBM

Inventor： TRIPP OMER ,  WURTH EMMANUEL

IPC: G06F11/36

Abstract: Method and system are provided for generating coverage metrics for black-box testing. The method includes performing static analysis of a program code 110 to be tested, wherein the static analysis includes identifying variables whose value depends on inputs of the program code, and inserting code blocks into the program code to be tested, wherein the code blocks insert vulnerabilities 111-114 into the code at locations where the variables are modified and wherein the code blocks violate one or more properties to be tested. A testing scan 120 is then applied to the program code and the number of vulnerabilities 113,114 located by the test is determined. A coverage metric is output based on the ratio of the located vulnerabilities to the total number of inserted vulnerabilities in the program code.

公开(公告)号：GB2527323A

公开(公告)日：2015-12-23

申请号：GB201410822

申请日：2014-06-18

Applicant: IBM

Inventor： TRIPP OMER ,  WURTH EMMANUEL

IPC: G06F21/50

Abstract: Protecting a runtime web service application by instrumenting the application to log its operation to allow recreation of its execution trace. Identifying trace point vulnerabilities using one or more data payloads; identifying candidate trace point operations associated with the trace point vulnerabilities; compute supplementary candidate operations based on the existing trace point operations and the one or more data payloads: and further instrumenting the Web service application with the one or more supplementary candidate operations. This ensures that vulnerabilities from transitions of data from trusted to untrusted can be identified and defenses to limit injection actions implemented. The trust boundaries are therefore analysed and can be corrected where security checks do not provide protection. A candidate trace point may be the operation for which a payload value has been rejected by a validator or sanitized.

公开(公告)号：GB2515778A

公开(公告)日：2015-01-07

申请号：GB201311909

申请日：2013-07-03

Applicant: IBM

Inventor： WURTH EMMANUEL ,  TRIPP OMER

IPC: H04L29/06

Abstract: The method includes: selecting a web service method for testing; selecting a request pattern for a test as the request pattern with the slowest response using the method from a series of request patterns including irregular requests having a payload aimed at destabilizing the web service; applying a test to the method, wherein the test uses the selected request pattern applied at an increasing frequency to the method; monitoring the response time of the request pattern by the method; determining the frequency of the applied request pattern when a threshold maximum time for response of the method to the request pattern is reached or when the method fails; and determining a metric for the method based on the frequency of the applied request pattern required to reach the threshold.

公开(公告)号：DE112012005528T5

公开(公告)日：2014-10-09

申请号：DE112012005528

申请日：2012-11-21

Applicant: IBM

Inventor： KREICHMAN IGAL ,  TRIPP OMER ,  SAKIN ARIEL

IPC: G06F17/30

Abstract: Eine interaktive Sitzung zwischen einem Bot-Programm für die Crawler-Suche und einer Website kann hergestellt werden. Das Bot-Programm für die Crawler-Suche kann einen Sitzungszustand, der für einen Benutzerzustand zum Interagieren mit einer oder mehreren Websites steht, einen Satz von Bedingungen und einen Satz von Szenarien definieren, die abhängig davon, ob der Satz von Bedingungen erfüllt ist, wahlweise aktiviert werden. Während der interaktiven Sitzung kann das Bot-Programm für die Crawler-Suche Inhalt von der Website empfangen. Das Bot-Programm für die Crawler-Suche kann den von der Website stammenden Inhalt analysieren und den analysierten Inhalt mit einem zuvor definierten Satz von Elementen vergleichen, um zu ermitteln, ob die Bedingung für die Inhaltsübereinstimmung erfüllt ist. Wenn die Bedingung für die Inhaltsübereinstimmung erfüllt ist und die Zustandsbedingung erfüllt ist, kann das Bot-Programm für die Crawler-Suche die von dem Bot-Programm für die Crawler-Suche definierten Szenarien aktivieren, was nicht der Fall ist, wenn die Bedingung für die Inhaltsübereinstimmung und die Zustandsbedingung nicht erfüllt sind.

公开(公告)号：DE112012003812T5

公开(公告)日：2014-07-24

申请号：DE112012003812

申请日：2012-07-12

Applicant: IBM

Inventor： TRIPP OMER ,  PISTOIA MARCO ,  TATEISHI TAKAAKI

IPC: G06F21/52 ,  H04L12/70

Abstract: Ein Verfahren zum dynamischen Auswählen von String-Analysealgorithmen kann mit dem Trainieren des Steuerungsprogramms zur dynamischen String-Analyse eines String-Analysemoduls beginnen, um eine Teilmenge von String-Abfragen wirkungsvoll zu bearbeiten, die kontextabhängige Metadaten aufweisen, die von einer Client-Anwendung in einer Befehlsumgebung empfangen werden. Die Wirksamkeit des Trainingsmoduls kann auf einer Rückmeldung von der Client-Anwendung beruhen. Bei Beendigung des Trainierens kann eine Auswahlrichtlinie des String-Analysealgorithmus synthetisiert werden. Die Auswahlrichtlinie des String-Analysealgorithmus kann einen Kontext einer String-Abfrage in der Teilmenge mit der Nutzung eines String-Analysealgorithmus korrelieren. In der Betriebsumgebung kann das Steuerungsprogramm zur dynamischen String-Analyse String-Abfragen, die kontextabhängige Metadaten aufweisen, die von der Client-Anwendung empfangen werden, gemäß der Auswahlrichtlinie des String-Analysealgorithmus dynamisch bearbeiten. Der String-Analysealgorithmus, der für eine String-Abfrage verwendet werden soll, kann dynamisch und unabhängig festgelegt werden.

公开(公告)号：DE112012000279T5

公开(公告)日：2013-10-10

申请号：DE112012000279

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00

Abstract: Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen, wobei zum Beispiel ein Befehlsklassifizierungsprogramm so konfiguriert wird, dass es zum Identifizieren eines möglichen zugriffsbeschränkten Bereichs der Befehle einer Computer-Software-Anwendung verwendet werden soll, und ein statisches Analyseprogramm so konfiguriert wird, dass es den möglichen zugriffsbeschränkten Bereich statisch analysiert, um zu ermitteln, ob eine bedingte Anweisung vorhanden ist, die einen Ausführungsablauf in den möglichen zugriffsbeschränkten Bereich steuert, dass es eine statische Analyse durchführt, um zu ermitteln, ob die bedingte Anweisung von einer Datenquelle innerhalb der Computer-Software-Anwendung abhängig ist, und dass es den möglichen zugriffsbeschränkten Bereich mangels entweder der bedingten Anweisung oder der Datenquelle als anfällig gegenüber Rechteausweitungsangriffen kennzeichnet.