公开(公告)号：DE112011101943T5

公开(公告)日：2013-07-18

申请号：DE112011101943

申请日：2011-06-08

Applicant: IBM

Inventor： PODJARNY GUY ,  SHARABANI ADI

IPC: G06F21/64 ,  G06F21/00

Abstract: Ein Verfahren, um zu verhindern, dass zerstörerischer Code innerhalb einer Skriptsprache einer Web-Anwendung eingebettet wird, auf die durch einen Web-Browser (308) zugegriffen wird, wobei das Verfahren Folgendes umfasst: Überwachen sämtlichen eingehenden Datenverkehrs (310), der durch den Web-Browser erzeugt wird, und ausgehenden Datenverkehrs (326), der durch einen Server (318) erzeugt wird, um einen überwachten Datenverkehr zu bilden; Ermitteln, ob ein eindeutiges Element, das in einer Konfigurationsdatei definiert ist, mit einem Eingabewert des überwachten Datenverkehrs übereinstimmt, um einen übereinstimmenden Eingabewert zu bilden; in Reaktion auf eine Ermittlung, dass das eindeutige Element mit einem Eingabewert des überwachten Datenverkehrs übereinstimmt, Speichern des übereinstimmenden Eingabewertes, wobei ermittelt wird, ob eine Ausgabe den übereinstimmenden Eingabewert an einer erwarteten Position enthält; in Reaktion auf eine Ermittlung, dass die Ausgabe den übereinstimmenden Eingabewert an einer erwarteten Position enthält, Codieren des übereinstimmenden Eingabewertes mithilfe einer jeweiligen Definition aus der Konfigurationsdatei; und Zurückgeben der Ausgabe (330) an den Anforderer.

公开(公告)号：CA2694326A1

公开(公告)日：2010-05-18

申请号：CA2694326

申请日：2010-03-10

Applicant: IBM CANADA

Inventor： PODJARNY GUY ,  AMIT YAIR ,  SHARABANI ADI

IPC: H04L9/32 ,  G06F21/00 ,  G06Q20/40

Abstract: A method and system for preventing Cross-Site Request Forgery (CSRF) security attacks on a server in a client-server environment. The method includes embedding a nonce and a script to all responses from the server to the client wherein when executed the script will add the nonce to each request from the client to the server; sending the response with the nonce and the script to the client; and verifying that each said request from the client includes the nonce sent by the server from the server to the client. The script modifies all objects, including dynamically generated objects, in a server response that may generate future requests to the server to add the nonce to the requests. The server verifies the nonce value in a request and confirms the request with the client if the value is not the same as the value previously sent by the server. Server-side aspects of the invention might be embodied in the server or a proxy between the server and the client.

公开(公告)号：DE112010004526T5

公开(公告)日：2012-10-31

申请号：DE112010004526

申请日：2010-09-14

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  HAVIV YINNON AVRAHAM ,  HAY ROEE ,  SHARABANI ADI ,  TRIPP OMER ,  PISTOIA MARCO

IPC: G06F9/00 ,  G06F15/16

Abstract: Richtlinien zur Zugriffskontrolle und Integrität von Informationsflüssen werden in einem Computersystem durchgesetzt, indem sicherheitsrelevante Senken im Software-Code für eine Anwendung ermittelt werden, die auf dem Computersystem ausgeführt wird, und eine Richtlinie zur Zugriffskontrolle aus einer Datenbank abgerufen wird, auf die das Computersystem zugreifen kann. Die Richtlinie zur Zugriffskontrolle bildet einen Satz von Zugriffsberechtigungen in dem Computersystem auf jeden einer Vielzahl von Prinzipalen ab. Für jede ermittelte sicherheitsrelevante Senke werden alle Prinzipale ermittelt, die diese sicherheitsrelevante Senke beeinflussen, und jeder sicherheitsrelevanten Senke wird eine umfassende Zugriffsberechtigung zugeordnet, indem die Schnittmenge der Zugriffsberechtigungssätze für alle Einfluss nehmenden Prinzipale dieser sicherheitsrelevanten Senke gebildet wird. Wenn dieser Berechtigungssatz nicht ausreicht, wird eine Verletzung der Integrität gemeldet. Darüber hinaus werden jedem Wert von Variablen, die in den sicherheitsrelevanten Senken verwendet werden, Berechtigungslabels zugeordnet. Jedes Berechtigungslabel ist ein Berechtigungssatz.

公开(公告)号：GB2487862A

公开(公告)日：2012-08-08

申请号：GB201206958

申请日：2010-09-14

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  HAVIV YINNON AVRAHAM ,  HAY ROEE ,  PISTOIA MARCO ,  SHARABANI ADI ,  TRIPP OMER

IPC: G06F21/00 ,  H04L29/06

Abstract: Access-control and information-flow integrity policies are enforced in a computing system by detecting security-sensitive sinks in software code for an application running on the computing system and retrieving an access-control policy from a database accessible to the computing system. The access-control policy maps a set of access permissions within the computing system to each one of a plurality of principals. For each detected security-sensitive sink, all principals that influence that security-sensitive sink are detected and an overall access permission is assigned to each security-sensitive sink by taking the intersection of the access permission sets for all influencing principals of that security-sensitive sink. If this permission set is inadequate, an integrity violation is reported. In addition, permission labels are assigned to each value of variables used in the security-sensitive sinks. Each permission label is a set of permissions.

公开(公告)号：CA2774110C

公开(公告)日：2018-11-20

申请号：CA2774110

申请日：2010-08-31

Applicant: IBM

Inventor： HAY ROEE ,  SHARABANI ADI

IPC: H04L29/06 ,  H04L29/08

Abstract: Protecting computers against cache poisoning, including a cache-entity table configured to maintain a plurality of associations between a plurality of data caches and a plurality of entities, where each of the caches is associated with a different one of the entities, and a cache manager configured to receive data that is associated with any of the entities and store the received data in any of the caches that the cache-entity table indicates is associated with the entity, and receive a data request that is associated with any of the entities and retrieve the requested data from any of the caches that the cache-entity table indicates is associated with the requesting entity, where any of the cache-entity table and cache manager are implemented in either of computer hardware and computer software embodied in a computer-readable medium.

公开(公告)号：GB2491059A

公开(公告)日：2012-11-21

申请号：GB201214630

申请日：2011-06-08

Applicant: IBM

Inventor： PODJARNY GUY ,  SHARABANI ADI

IPC: H04L29/06

Abstract: A method for preventing malicious code being embedded within a scripting language of a web application accessed by a web browser (308), the method comprising: monitoring all incoming traffic (310), generated by the web browser, and outgoing traffic (326) generated by a server (318) to form monitored traffic; determining whether a unique element, defined in a configuration file, is matched with an input value of the monitored traffic to form a matched input value; responsive to a determination that the unique element is matched with an input value of the monitored traffic, saving the matched input value, determining whether an output contains the matched input value in an expected location; responsive to a determination that the output contains the matched input value in an expected location, encoding the matched input value using a respective definition from the configuration file; and returning the output (330) to the requester.

公开(公告)号：DE112010003979T5

公开(公告)日：2013-04-25

申请号：DE112010003979

申请日：2010-07-30

Applicant: IBM

Inventor： HAY ROEE ,  PODJARNY GUY ,  SHARABANI ADI ,  TRIPP OMER ,  WEISMAN OMRI ,  HAVIV YINNON ,  PISTOIA MARCO ,  TATEISHI TAKAAKI

IPC: G06F9/44

Abstract: Ein System und ein Verfahren zum statischen Erkennen und Kategorisieren von Herabstufungseinrichtung des Informationsflusses enthalten das Transformieren (502) eines Programms, das in einer Speichereinheit gespeichert ist, durch statisches Analysieren von Programmvariablen, um eine einzige Zuweisung zu jeder Variable in einer Befehlsmenge zu erreichen. Die Befehlsmenge wird in Produktionsregeln mit Zeichenfolgenoperationen übersetzt (504). Eine kontextfreie Grammatik wird aus den Produktionsregeln erzeugt (508), um eine endliche Menge von Zeichenfolgen zu erkennen. Eine Funktion der Herabstufungseinrichtung des Informationsflusses wird durch Vergleichen der endlichen Menge von Zeichenfolgen mit einer oder mehreren Funktionsbeschreibungen erkannt (510).

公开(公告)号：GB2491059B

公开(公告)日：2013-01-09

申请号：GB201214630

申请日：2011-06-08

Applicant: IBM

Inventor： PODJARNY GUY ,  SHARABANI ADI

IPC: H04L29/06

Abstract: A method for preventing malicious code being embedded within a scripting language of a web application accessed by a web browser (308), the method comprising: monitoring all incoming traffic (310), generated by the web browser, and outgoing traffic (326) generated by a server (318) to form monitored traffic; determining whether a unique element, defined in a configuration file, is matched with an input value of the monitored traffic to form a matched input value; responsive to a determination that the unique element is matched with an input value of the monitored traffic, saving the matched input value, determining whether an output contains the matched input value in an expected location; responsive to a determination that the output contains the matched input value in an expected location, encoding the matched input value using a respective definition from the configuration file; and returning the output (330) to the requester.

公开(公告)号：GB2486864A

公开(公告)日：2012-06-27

申请号：GB201207223

申请日：2010-07-30

Applicant: IBM

Inventor： HAVIV YINNON ,  HAY ROEE ,  PISTOIA MARCO ,  PODJARNY GUY ,  SHARABANI ADI ,  TATEISHI TAKAAKI ,  OMER TRIPP ,  OMRI WEISMAN

IPC: G06F11/36 ,  G06F21/00

Abstract: A system and method for static detection and categorization of information-flow downgraders includes transforming (502) a program stored in a memory device by statically analyzing program variables to yield a single assignment to each variable in an instruction set. The instruction set is translated (504) to production rules with string operations. A context-free grammar is generated (508) from the production rules to identify a finite set of strings. An information-flow downgrader function is identified (510) by checking the finite set of strings against one or more function specifications.

公开(公告)号：MX2011013052A

公开(公告)日：2012-01-20

申请号：MX2011013052

申请日：2010-08-31

Applicant: IBM

Inventor： HAY ROEE ,  SHARABANI ADI

IPC: H04L29/08 ,  H04L29/06

Abstract: Se describe la protección de computadoras contra contaminación de memoria intermedia, que incluye una tabla de memoria intermedia-entidad configurada para mantener una pluralidad de asociaciones entre una pluralidad de memorias intermedias de datos y una pluralidad de entidades, donde cada una de las memorias intermedias está asociada con una diferente de las entidades, y un manejador de memorias intermedias configurado para recibir datos que están asociados con cualquiera de las entidades y almacenar los datos recibidos en cualquiera de las entidades que la tabla de memoria intermedia-entidad indique que está asociada con la entidad y recibir una petición de datos que está asociada con cualquiera de las entidades y recuperar los datos pedidos de cualquiera de las memorias intermedias que la tabla de memoria intermedia-entidad indique que están asociados con la entidad peticionaria, donde cualquiera de la tabla de memoria intermedia-entidad y manejador de memorias intermedias se implementan en cualquiera del hardware de computadora y software de computadora incorporado en un medio leíble por computadora.