公开(公告)号：GB2507458A

公开(公告)日：2014-04-30

申请号：GB201404418

申请日：2012-07-27

Applicant: IBM

Inventor： TRIPP OMER ,  TEILHET STEPHEN DARWIN ,  TATEISHI TAKAAKI ,  PISTOIA MARCO

IPC: G06F21/57 ,  G06F9/45 ,  G06F21/00

Abstract: Mechanisms for evaluating downgrader code in application code with regard to a target deployment environment. Downgrader code in the application code is identified. Based on an input string, an output string that the downgrader code outputs in response to receiving the input string is identified. One or more sets of illegal string patterns are retrieved. Each of the one or more sets of illegal string patterns is associated with a corresponding deployment environment. The illegal string patterns are string patterns that a downgrader identifies in the information flow for security purposes. A determination is made as to whether the downgrader code is compatible with the target deployment environment based on the one or more sets of illegal string patterns and the output string. An output indicative of the results of the determining is generated.

公开(公告)号：DE112012002718T5

公开(公告)日：2014-04-10

申请号：DE112012002718

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L9/32 ,  G06F21/00 ,  H04L12/16 ,  H04L12/26 ,  H04L29/06

Abstract: Verfahren zum Erkennen von Sicherheitsschwachstellen, das beinhaltet: Zusammenwirken mit einer Web-Anwendung während ihrer Ausführung, um eine Webseite zu identifizieren, die durch die Web-Anwendung zugänglich gemacht wird; statisches Analysieren der Webseite, um in der Webseite ein Parameter zu identifizieren, der durch eine clientseitige Prüfmaßnahme vorgegeben wird und der an die Web-Anwendung gesendet werden soll; Festlegen einer serverseitigen Prüfmaßnahme, die auf den Parameter angewendet werden soll im Hinblick auf die Vorgabe, die durch die clientseitige Prüfmaßnahme an dem Parameter ausgeführt wird; statisches Analysieren der Web-Anwendung, um eine Stelle in der Web-Anwendung zu identifizieren, an der der Parameter in die Web-Anwendung eingegeben wird; Ermitteln, ob der Parameter durch die serverseitige Prüfmaßnahme vorgegeben wird, bevor der Parameter in einer sicherheitssensiblen Operation verwendet wird; und Identifizieren des Parameters als eine Sicherheitsschwachstelle.

公开(公告)号：GB2505623A

公开(公告)日：2014-03-05

申请号：GB201400029

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L29/06 ,  G06F21/57

Abstract: Method to detect security vulnerabilities includes: interacting with a web application during its execution to identify a web page exposed by the web application; statically analyzing the web page to identify a parameter within the web page that is constrained by a client-side validation measure and that is to be sent to the web application; determining a server-side validation measure to be applied to the parameter in view of the constraint placed upon the parameter by the client-side validation measure; statically analyzing the web application to identify a location within the web application where the parameter is input into the web application; determining whether the parameter is constrained by the server-side validation measure prior to the parameter being used in a security-sensitive operation; and identifying the parameter as a security vulnerability.

公开(公告)号：GB2499353B

公开(公告)日：2013-10-16

申请号：GB201310455

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00 ,  G06F11/36 ,  G06F21/50

公开(公告)号：DE112011103406T5

公开(公告)日：2013-08-22

申请号：DE112011103406

申请日：2011-10-11

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  PISTOIA MARCO ,  MALKIN PETER K

IPC: G06F9/44 ,  G06F9/45

Abstract: Ein Verfahren beinhaltet, unter Verwenden einer statischen Analyse, die an Code ausgeführt wird, Analysieren des Codes zum Ermitteln eines Satzes von nicht geänderten Objekten und Modifizieren des Codes, um eine Singleton-Muster-Technik für ein oder mehrere Mitglieder des Satzes von nicht geänderten Objekten anzuwenden. Das Verfahren enthält auch Ausgeben des modifizierten Codes. Vorrichtungen und Programmprodukte werden ebenfalls offenbart. Ein weiteres Verfahren beinhaltet Zugreifen auf Code von einem Client aus und in Reaktion darauf, dass der gesamte Code Quellcode ist, Kompilieren des Quellcodes in Objektcode, bis der gesamte Code von dem Client Objektcode aufweist. Das Verfahren beinhaltet des Weiteren, unter Verwenden einer statischen Analyse, die an dem Objektcode ausgeführt wird, Analysieren des Objektcodes zum Ermitteln eines Satzes von nicht geänderten Objekten und Modifizieren des Objektcodes, um eine Singleton-Muster-Technik für ein oder mehrere Mitglieder des Satzes von nicht geänderten Objekten anzuwenden. Das Verfahren beinhaltet außerdem Zurückgeben des modifizierten Objektcodes an den Client.

公开(公告)号：CA2353008A1

公开(公告)日：2002-03-22

申请号：CA2353008

申请日：2001-07-12

Applicant: IBM

Inventor： PACIFICI GIOVANNI ,  MOURAD MAGDA M ,  NADEEM TAMER ,  PISTOIA MARCO ,  YOUSSEF ALAA S ,  MUNSON JONATHAN P

IPC: G06F1/00 ,  G06F21/00 ,  H04L12/22 ,  H04L9/32

Abstract: A digital rights management system for controlling the distribution of digit al content to player applications, the system comprises a verification system, a trusted content handler, and a user interface control. The verification system is provided to validate the integrity of the player applications; and the trusted content handler is used to decrypt content and to transmit the decrypted content to the player applications, and to enforce usage rights associated with the content. The user interface control module is provided to ensure that users of the player applications are not exposed to actions that violate the usage rights. The preferred embodiment of the present invention provides a system that enables existing content viewers, such as Web browsers, docume nt viewers, and Java Virtual Machines running content-viewing applications, with digital rights management capabilities, in a manner that is transparent to the viewer. Extending content viewers wit h such capabilities enables and facilitates the free exchange of digital content over open networks, such as the Internet, while protecting the rights of content owners, authors, and distributors. Th is protection is achieved by controlling access to the content and constraining it according to the rights and privileges granted to the user duringthe content acquisition phase.