公开(公告)号：JP2011013810A

公开(公告)日：2011-01-20

申请号：JP2009155705

申请日：2009-06-30

Applicant: Internatl Business Mach Corp ,  インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation

Inventor： TATEISHI TAKAAKI ,  TABUCHI SUNAO ,  PISTOIA MARCO ,  HAVIV YINNON

IPC: G06F11/36 ,  G06F21/22

CPC classification number: G06F21/577 ,  G06F8/43 ,  G06F11/3604 ,  G06F21/563

Abstract: PROBLEM TO BE SOLVED: To determine the validity of a character string generated by a program written in a programming language without executing the program.SOLUTION: The method for determining the validity of a character string generated by a program includes: abstracting a constraint between variables extracted from a source code for a programming language, wherein the variables include a string declaration and the definition of each variable is unique, describing the constraint in M2L, giving a specification to determine whether the character string is safe or unsafe in M2L, and evaluating the validity of the character string on an M2L solver on the basis of the constraint on the variables and the specification to determine whether the string is safe or unsafe.

Abstract translation: 要解决的问题：确定由编程语言编写的程序生成的字符串的有效性，而不执行程序。解决方案：用于确定程序生成的字符串的有效性的方法包括：在变量之间抽象约束 从编程语言的源代码提取，其中变量包括字符串声明，并且每个变量的定义是唯一的，描述了M2L中的约束，给出了在M2L中确定字符串是安全还是不安全的规范，以及评估 在M2L求解器上的字符串的有效性基于对变量的约束和规范来确定字符串是否安全或不安全。

公开(公告)号：DE102012218704A1

公开(公告)日：2013-05-02

申请号：DE102012218704

申请日：2012-10-15

Applicant: IBM

Inventor： AMIT YAIR ,  HAVIV YINNON ,  KALMAN DANIEL ,  TRIPP OMER ,  WEISMAN OMRI

IPC: G06F21/52 ,  G06F9/44

Abstract: Prüfen einer web-basierten Anwendung auf Sicherheitsschwachstellen. Wenigstens eine Client-Anforderung, die Nutzdaten mit einer eindeutigen Kennung enthält, kann zu einer web-basierten Anwendung übertragen werden. Eine HTML-Antwort und ein zugehöriges Dokumentenobjektmodell-(DOM-)Objekt kann von der web-basierten Anwendung empfangen werden. Inhalt, der den Nutzdaten entspricht, kann in dem DOM-Objekt über die eindeutige Kennung identifiziert werden. Ein Abschnitt des DOM-Objekts, der die Nutzdaten enthält, kann als nicht vertrauenswürdig identifiziert werden.

公开(公告)号：GB2496730B

公开(公告)日：2015-01-14

申请号：GB201218726

申请日：2012-10-18

Applicant: IBM

Inventor： TRIPP OMER ,  KALMAN DANIEL ,  WEISMAN OMRI ,  HAVIV YINNON ,  AMIT YAIR

IPC: G06F21/57 ,  G06F21/00 ,  G06F21/52 ,  G06F21/56 ,  H04L29/06

公开(公告)号：GB2496730A

公开(公告)日：2013-05-22

申请号：GB201218726

申请日：2012-10-18

Applicant: IBM

Inventor： TRIPP OMER ,  AMIT YAIR ,  KALMAN DANIEL ,  WEISMAN OMRI ,  HAVIV YINNON

IPC: G06F21/57 ,  G06F21/00 ,  G06F21/56 ,  H04L29/06

Abstract: A client 120 request 130 comprising a payload 132 an injected script for example is communicated to a web-based application 112. The payload has a unique identifier. Response HTML 134 with an associated Document Object Model (DOM) object 136 is received from the web-based application and content corresponding to the payload is identified in the DOM object via its unique identifier. A section of the DOM object comprising the payload is then identified as un-trusted. A DOM abstraction 126 may be generated from the DOM object comprising a section of the DOM object containing the content corresponding to the payload whilst, preferably, excluding sections of the DOM object not comprising said content. The response HTML is then preferably rendered using the DOM abstraction in lieu of the DOM object. A static security analysis of the response HTML may be performed when rendering to identify whether any access to a DOM abstraction retrieves content corresponding to the payload and, if so, a flag is generated to indicate that a vulnerability exists within the web-based application.

公开(公告)号：DE112010003979T5

公开(公告)日：2013-04-25

申请号：DE112010003979

申请日：2010-07-30

Applicant: IBM

Inventor： HAY ROEE ,  PODJARNY GUY ,  SHARABANI ADI ,  TRIPP OMER ,  WEISMAN OMRI ,  HAVIV YINNON ,  PISTOIA MARCO ,  TATEISHI TAKAAKI

IPC: G06F9/44

Abstract: Ein System und ein Verfahren zum statischen Erkennen und Kategorisieren von Herabstufungseinrichtung des Informationsflusses enthalten das Transformieren (502) eines Programms, das in einer Speichereinheit gespeichert ist, durch statisches Analysieren von Programmvariablen, um eine einzige Zuweisung zu jeder Variable in einer Befehlsmenge zu erreichen. Die Befehlsmenge wird in Produktionsregeln mit Zeichenfolgenoperationen übersetzt (504). Eine kontextfreie Grammatik wird aus den Produktionsregeln erzeugt (508), um eine endliche Menge von Zeichenfolgen zu erkennen. Eine Funktion der Herabstufungseinrichtung des Informationsflusses wird durch Vergleichen der endlichen Menge von Zeichenfolgen mit einer oder mehreren Funktionsbeschreibungen erkannt (510).

公开(公告)号：GB2486864A

公开(公告)日：2012-06-27

申请号：GB201207223

申请日：2010-07-30

Applicant: IBM

Inventor： HAVIV YINNON ,  HAY ROEE ,  PISTOIA MARCO ,  PODJARNY GUY ,  SHARABANI ADI ,  TATEISHI TAKAAKI ,  OMER TRIPP ,  OMRI WEISMAN

IPC: G06F11/36 ,  G06F21/00

Abstract: A system and method for static detection and categorization of information-flow downgraders includes transforming (502) a program stored in a memory device by statically analyzing program variables to yield a single assignment to each variable in an instruction set. The instruction set is translated (504) to production rules with string operations. A context-free grammar is generated (508) from the production rules to identify a finite set of strings. An information-flow downgrader function is identified (510) by checking the finite set of strings against one or more function specifications.