公开(公告)号：DE112012002718T5

公开(公告)日：2014-04-10

申请号：DE112012002718

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L9/32 ,  G06F21/00 ,  H04L12/16 ,  H04L12/26 ,  H04L29/06

Abstract: Verfahren zum Erkennen von Sicherheitsschwachstellen, das beinhaltet: Zusammenwirken mit einer Web-Anwendung während ihrer Ausführung, um eine Webseite zu identifizieren, die durch die Web-Anwendung zugänglich gemacht wird; statisches Analysieren der Webseite, um in der Webseite ein Parameter zu identifizieren, der durch eine clientseitige Prüfmaßnahme vorgegeben wird und der an die Web-Anwendung gesendet werden soll; Festlegen einer serverseitigen Prüfmaßnahme, die auf den Parameter angewendet werden soll im Hinblick auf die Vorgabe, die durch die clientseitige Prüfmaßnahme an dem Parameter ausgeführt wird; statisches Analysieren der Web-Anwendung, um eine Stelle in der Web-Anwendung zu identifizieren, an der der Parameter in die Web-Anwendung eingegeben wird; Ermitteln, ob der Parameter durch die serverseitige Prüfmaßnahme vorgegeben wird, bevor der Parameter in einer sicherheitssensiblen Operation verwendet wird; und Identifizieren des Parameters als eine Sicherheitsschwachstelle.

公开(公告)号：GB2505623A

公开(公告)日：2014-03-05

申请号：GB201400029

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L29/06 ,  G06F21/57

Abstract: Method to detect security vulnerabilities includes: interacting with a web application during its execution to identify a web page exposed by the web application; statically analyzing the web page to identify a parameter within the web page that is constrained by a client-side validation measure and that is to be sent to the web application; determining a server-side validation measure to be applied to the parameter in view of the constraint placed upon the parameter by the client-side validation measure; statically analyzing the web application to identify a location within the web application where the parameter is input into the web application; determining whether the parameter is constrained by the server-side validation measure prior to the parameter being used in a security-sensitive operation; and identifying the parameter as a security vulnerability.

公开(公告)号：GB2499353B

公开(公告)日：2013-10-16

申请号：GB201310455

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00 ,  G06F11/36 ,  G06F21/50

公开(公告)号：DE102012218704A1

公开(公告)日：2013-05-02

申请号：DE102012218704

申请日：2012-10-15

Applicant: IBM

Inventor： AMIT YAIR ,  HAVIV YINNON ,  KALMAN DANIEL ,  TRIPP OMER ,  WEISMAN OMRI

IPC: G06F21/52 ,  G06F9/44

Abstract: Prüfen einer web-basierten Anwendung auf Sicherheitsschwachstellen. Wenigstens eine Client-Anforderung, die Nutzdaten mit einer eindeutigen Kennung enthält, kann zu einer web-basierten Anwendung übertragen werden. Eine HTML-Antwort und ein zugehöriges Dokumentenobjektmodell-(DOM-)Objekt kann von der web-basierten Anwendung empfangen werden. Inhalt, der den Nutzdaten entspricht, kann in dem DOM-Objekt über die eindeutige Kennung identifiziert werden. Ein Abschnitt des DOM-Objekts, der die Nutzdaten enthält, kann als nicht vertrauenswürdig identifiziert werden.

公开(公告)号：GB2495377A

公开(公告)日：2013-04-10

申请号：GB201216847

申请日：2012-09-21

Applicant: IBM

Inventor： TRIPP OMER ,  BESKROVNY EVGENY

IPC: G06F11/36 ,  G06F21/33

Abstract: A non-functional assessment of the authentication layer of a software component, where the authentication policy is claims-based and the component may be a web application, comprises: selecting an authorization algorithm of the component 205 and performing a static code analysis to identify and select a conditional statement within the algorithm 210; evaluating the statement using a value associated with a claim set of the policy and an authentication criteria specified within the algorithm using dynamic code analysis 225, and deriving the outcome 230; and, based on the outcome, determining an execution path associated with the outcome 245 and meeting a code coverage criterion for the statement. This may be repeated for each value in the statement 235, and each statement in the algorithm 240. The assessment may also generate a decision tree for the algorithm and display it to a user 245. This allows the system to perform a complete test of the algorithm without having to calculate every possible value.