公开(公告)号：CA2680609A1

公开(公告)日：2009-12-23

申请号：CA2680609

申请日：2009-10-19

Applicant: IBM CANADA

Inventor： IONESCU PAUL ,  SHARABANI ADI ,  MIRMOVITCH GIL ,  SAKIN ARIEL ,  SEGAL ORI ,  PODJARNY GUY

IPC: G06F11/30 ,  G06F21/00 ,  H04L9/32

Abstract: A method of configuring a login session is provided. The method includes performing on a processor, obtaining login sequence data; selectively removing pages from the login sequence data; selectively tracking at least one of parameters and cookies of the log in sequence data; and modifying a login configuration used in a login session based on the modifie d login sequence data.

公开(公告)号：GB2505623B

公开(公告)日：2014-06-11

申请号：GB201400029

申请日：2012-06-26

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: H04L29/06 ,  G06F21/57

Abstract: Method to detect security vulnerabilities includes: interacting with a web application during its execution to identify a web page exposed by the web application; statically analyzing the web page to identify a parameter within the web page that is constrained by a client-side validation measure and that is to be sent to the web application; determining a server-side validation measure to be applied to the parameter in view of the constraint placed upon the parameter by the client-side validation measure; statically analyzing the web application to identify a location within the web application where the parameter is input into the web application; determining whether the parameter is constrained by the server-side validation measure prior to the parameter being used in a security-sensitive operation; and identifying the parameter as a security vulnerability.

公开(公告)号：DE112013000387B4

公开(公告)日：2020-08-27

申请号：DE112013000387

申请日：2013-01-11

Applicant: IBM

Inventor： SEGAL ORI ,  BACHAR RONEN ,  SALTZMANN ROI ,  NORDAN RON ,  KREICHMAN IGAL ,  AMIT YAIR ,  LOTEM GUY

IPC: H04L12/26 ,  G06F21/54 ,  G06F21/55

Abstract: Verfahren zum dynamischen Abtasten einer Webanwendung für eine Sicherheitsanalyse der Webanwendung, wobei das Verfahren aufweist:Erfassen der Protokolldateidaten, die mit Information von einer vorherigen HTTP-Anfrage übereinstimmt, die zum Erzeugen einer nachfolgenden HTTP-Anfrage führte, unter Verwendung von zustandsbehaftetem Parsen zum Identifizieren von Information über wenigstens eine HTML-Parameterart durch Markieren eines bestimmten Parameters der vorherigen HTTP-Anfrage als Parameter, der aus einem Formular oder von einem Hyperlink stammt;Eingeben von Daten aus den erfassten Protokolldateidaten in wenigstens eine Datendatei;Abtasten der wenigstens einen Datendatei zum Identifizieren von Information mit Bedeutung für eine Sicherheitsüberprüfung;Erfassen von Protokolldateidaten aus mindestens einer Protokolldatei;Erzeugen mindestens einer HTTP-Anfrage aus den erfassten Protokolldateidaten unter Verwendung eines Prozessors, um eine Webanwendung zu betreiben, um eine Sicherheitsanalyse der Webanwendung durchzuführen, wobei die erste HTTP-Anfrage einer zweiten HTTP-Anfrage entspricht, welche durch vorherige Verwendung oder Entwicklung der Webanwendung erzeugt wurde und in der Protokolldatei enthalten war, wobei die erste HTTP-Anfrage Formulardaten enthält, die sich von Formulardaten in der zweiten HTTP-Anfrage unterscheiden, und eingerichtet für einen spezifischen Text von Sicherheitslücken bei der Webanwendung;Übermitteln der HTTP-Anfrage an die Webanwendung;Empfangen mindestens einer HTTP-Antwort auf die erste HTTP-Anfrage;Analysieren der HTTP-Antwort unter Verwendung des Prozessors, um eine Überprüfung der Webanwendung durchzuführen; undAusgeben von Ergebnissen der Überprüfung.

公开(公告)号：DE112013000485T5

公开(公告)日：2014-11-27

申请号：DE112013000485

申请日：2013-01-17

Applicant: IBM

Inventor： TRIPP OMER ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F9/44

Abstract: Durchführen einer Sicherheitsanalyse an einem im Test befindlichen Computerprogramm (CPUT). Das CPUT kann analysiert werden, um Daten zu identifizieren, die für potenzielle Sicherheitslücken des CPUT relevant sind. Zumindest ein erster Einheitentest, der dazu eingerichtet ist, eine bestimmte Einheit von Programmcode innerhalb des CPUT zu testen, kann automatisch synthetisiert werden. Der erste Einheitentest kann dazu eingerichtet sein, zumindest einen Parameter zu initialisieren, der durch die bestimmte Einheit des Programmcodes innerhalb des CPUT verwendet wird, und für ihn kann zumindest eine erste Testnutzdatenmenge bereitgestellt werden, die dazu eingerichtet ist, zumindest eine potenzielle Sicherheitslücke des CPUT auszunutzen. Der erste Einheitentest kann dynamisch verarbeitet werden, um die erste Testnutzdatenmenge an die bestimmte Einheit des Programmcodes innerhalb des CPUT zu übertragen. Es kann ermittelt werden, ob die erste Testnutzdatenmenge eine tatsächliche Sicherheitslücke des CPUT ausnutzt, und es kann ein Sicherheitsanalysebericht ausgegeben werden.

公开(公告)号：GB2512258A

公开(公告)日：2014-09-24

申请号：GB201412804

申请日：2013-01-17

Applicant: IBM

Inventor： TRIPP OMER ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F21/57

Abstract: Performing security analysis on a computer program under test (CPUT). The CPUT can be analyzed to identify data pertinent to potential security vulnerabilities of the CPUT. At least a first unit test configured to test a particular unit of program code within the CPUT can be automatically synthesized. The first unit test can be configured to initialize at least one parameter used by the particular unit of program code within the CPUT, and can be provided at least a first test payload configured to exploit at least one potential security vulnerability of the CPUT. The first unit test can be dynamically processed to communicate the first test payload to the particular unit of program code within the CPUT. Whether the first test payload exploits an actual security vulnerability of the CPUT can be determined, and a security analysis report can be output.

公开(公告)号：DE112013000387T5

公开(公告)日：2014-09-04

申请号：DE112013000387

申请日：2013-01-11

Applicant: IBM

Inventor： SALTZMANN ROI ,  LOTEM GUY ,  SEGAL ORI ,  BACHAR RONEN ,  NORDAN RON ,  KREICHMAN IGAL ,  AMIT YAIR

IPC: H04L12/26

Abstract: Erfassen von Protokolldateidaten von mindestens einer Protokolldatei. Aus den erfassten Protokolldateidaten kann mindestens eine HTTP-Anfrage erzeugt werden, um eine Webanwendung zu betreiben, um eine Sicherheitsanalyse der Webanwendung durchzuführen. Die HTTP-Anfrage kann der Webanwendung übermittelt werden. Mindestens eine HTTP-Antwort auf die HTTP-Anfrage kann empfangen werden. Die HTTP-Anfrage kann analysiert werden, um eine Überprüfung der Webanwendung durchzuführen. Ergebnisse der Überprüfung können ausgegeben werden.

公开(公告)号：DE112012005016T5

公开(公告)日：2014-09-04

申请号：DE112012005016

申请日：2012-12-03

Applicant: IBM

Inventor： AMIT YAIR ,  GUY LOTEM ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F21/00 ,  H04L9/32

Abstract: Der Quellcode einer Vielzahl von Webseiten, die Scriptcode enthalten, wird statisch analysiert. Eine Seite, die eine potenzielle Sicherheitslücke enthält, wird auf der Grundlage der statischen Analyse erkannt. Eine Seite, die keine potenzielle Sicherheitslücke enthält, wird auf der Grundlage der statischen Analyse erkannt. Die Webseite, die die potenzielle Sicherheitslücke enthält, wird unter Verwendung einer Reihe von Test-Nutzdaten dynamisch analysiert. Die Seite, die die potenzielle Sicherheitslücke nicht enthält, wird unter Verwendung einer Teilmenge der Reihe von Test-Nutzdaten dynamisch analysiert, wobei die Teilmenge weniger Test-Nutzdaten als die Reihe von Test-Nutzdaten beinhaltet.

公开(公告)号：GB2510756A

公开(公告)日：2014-08-13

申请号：GB201408612

申请日：2012-12-03

Applicant: IBM

Inventor： GUY LOTEM ,  KALMAN DANIEL ,  SEGAL ORI ,  WEISMAN OMRI ,  AMIT YAIR

IPC: G06F21/57

Abstract: Source code of a plurality of web pages including script code is statically analyzed. A page including a potential vulnerability is identified based on the static analysis. A page not including a potential vulnerability is identified based on the static analysis. The web page including the potential vulnerability is dynamically analyzed using a set of test payloads. The page not including the potential vulnerability is dynamically analyzed using a subset of the set of test payloads, the subset including fewer test payloads than the set of test payloads.

公开(公告)号：DE112012000279T5

公开(公告)日：2013-10-10

申请号：DE112012000279

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00

Abstract: Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen, wobei zum Beispiel ein Befehlsklassifizierungsprogramm so konfiguriert wird, dass es zum Identifizieren eines möglichen zugriffsbeschränkten Bereichs der Befehle einer Computer-Software-Anwendung verwendet werden soll, und ein statisches Analyseprogramm so konfiguriert wird, dass es den möglichen zugriffsbeschränkten Bereich statisch analysiert, um zu ermitteln, ob eine bedingte Anweisung vorhanden ist, die einen Ausführungsablauf in den möglichen zugriffsbeschränkten Bereich steuert, dass es eine statische Analyse durchführt, um zu ermitteln, ob die bedingte Anweisung von einer Datenquelle innerhalb der Computer-Software-Anwendung abhängig ist, und dass es den möglichen zugriffsbeschränkten Bereich mangels entweder der bedingten Anweisung oder der Datenquelle als anfällig gegenüber Rechteausweitungsangriffen kennzeichnet.

公开(公告)号：GB2499353A

公开(公告)日：2013-08-14

申请号：GB201310455

申请日：2012-01-30

Applicant: IBM

Inventor： PISTOIA MARCO ,  SEGAL ORI ,  TRIPP OMER

IPC: G06F21/00 ,  G06F11/36 ,  G06F21/50

Abstract: Determining the vulnerability of computer software applications to privilege-escalation attacks, such as where an instruction classifier is configured to be used for identifying a candidate access-restricted area of the instructions of a computer software application, and a static analyzer is configured to statically analyze the candidate access-restricted area to determine if there is a conditional instruction that controls execution flow into the candidate access-restricted area, perform static analysis to determine if the conditional instruction is dependent on a data source within the computer software application, and designate the candidate access-restricted area as vulnerable to privilege-escalation attacks absent either of the conditional instruction and the date source.