公开(公告)号：DE112013000387B4

公开(公告)日：2020-08-27

申请号：DE112013000387

申请日：2013-01-11

Applicant: IBM

Inventor： SEGAL ORI ,  BACHAR RONEN ,  SALTZMANN ROI ,  NORDAN RON ,  KREICHMAN IGAL ,  AMIT YAIR ,  LOTEM GUY

IPC: H04L12/26 ,  G06F21/54 ,  G06F21/55

Abstract: Verfahren zum dynamischen Abtasten einer Webanwendung für eine Sicherheitsanalyse der Webanwendung, wobei das Verfahren aufweist:Erfassen der Protokolldateidaten, die mit Information von einer vorherigen HTTP-Anfrage übereinstimmt, die zum Erzeugen einer nachfolgenden HTTP-Anfrage führte, unter Verwendung von zustandsbehaftetem Parsen zum Identifizieren von Information über wenigstens eine HTML-Parameterart durch Markieren eines bestimmten Parameters der vorherigen HTTP-Anfrage als Parameter, der aus einem Formular oder von einem Hyperlink stammt;Eingeben von Daten aus den erfassten Protokolldateidaten in wenigstens eine Datendatei;Abtasten der wenigstens einen Datendatei zum Identifizieren von Information mit Bedeutung für eine Sicherheitsüberprüfung;Erfassen von Protokolldateidaten aus mindestens einer Protokolldatei;Erzeugen mindestens einer HTTP-Anfrage aus den erfassten Protokolldateidaten unter Verwendung eines Prozessors, um eine Webanwendung zu betreiben, um eine Sicherheitsanalyse der Webanwendung durchzuführen, wobei die erste HTTP-Anfrage einer zweiten HTTP-Anfrage entspricht, welche durch vorherige Verwendung oder Entwicklung der Webanwendung erzeugt wurde und in der Protokolldatei enthalten war, wobei die erste HTTP-Anfrage Formulardaten enthält, die sich von Formulardaten in der zweiten HTTP-Anfrage unterscheiden, und eingerichtet für einen spezifischen Text von Sicherheitslücken bei der Webanwendung;Übermitteln der HTTP-Anfrage an die Webanwendung;Empfangen mindestens einer HTTP-Antwort auf die erste HTTP-Anfrage;Analysieren der HTTP-Antwort unter Verwendung des Prozessors, um eine Überprüfung der Webanwendung durchzuführen; undAusgeben von Ergebnissen der Überprüfung.

公开(公告)号：DE112013000387T5

公开(公告)日：2014-09-04

申请号：DE112013000387

申请日：2013-01-11

Applicant: IBM

Inventor： SALTZMANN ROI ,  LOTEM GUY ,  SEGAL ORI ,  BACHAR RONEN ,  NORDAN RON ,  KREICHMAN IGAL ,  AMIT YAIR

IPC: H04L12/26

Abstract: Erfassen von Protokolldateidaten von mindestens einer Protokolldatei. Aus den erfassten Protokolldateidaten kann mindestens eine HTTP-Anfrage erzeugt werden, um eine Webanwendung zu betreiben, um eine Sicherheitsanalyse der Webanwendung durchzuführen. Die HTTP-Anfrage kann der Webanwendung übermittelt werden. Mindestens eine HTTP-Antwort auf die HTTP-Anfrage kann empfangen werden. Die HTTP-Anfrage kann analysiert werden, um eine Überprüfung der Webanwendung durchzuführen. Ergebnisse der Überprüfung können ausgegeben werden.

公开(公告)号：GB2515663A

公开(公告)日：2014-12-31

申请号：GB201413442

申请日：2013-01-11

Applicant: IBM

Inventor： SEGAL ORI ,  BACHAR RONEN ,  SALTZMAN ROI ,  NORDAN RON ,  KREICHMAN IGAL ,  AMIT YAIR ,  LOTEM GUY

IPC: G06F21/55

Abstract: Collecting log file data from at least one log file. From the collected log file data, at least one HTTP request can be generated to exercise a web application to perform a security analysis of the web application. The HTTP request can be communicated to the web application. At least one HTTP response to the HTTP request can be received. The HTTP response can be analyzed to perform validation of the web application. Results of the validation can be output.