公开(公告)号：DE102012218704A1

公开(公告)日：2013-05-02

申请号：DE102012218704

申请日：2012-10-15

Applicant: IBM

Inventor： AMIT YAIR ,  HAVIV YINNON ,  KALMAN DANIEL ,  TRIPP OMER ,  WEISMAN OMRI

IPC: G06F21/52 ,  G06F9/44

Abstract: Prüfen einer web-basierten Anwendung auf Sicherheitsschwachstellen. Wenigstens eine Client-Anforderung, die Nutzdaten mit einer eindeutigen Kennung enthält, kann zu einer web-basierten Anwendung übertragen werden. Eine HTML-Antwort und ein zugehöriges Dokumentenobjektmodell-(DOM-)Objekt kann von der web-basierten Anwendung empfangen werden. Inhalt, der den Nutzdaten entspricht, kann in dem DOM-Objekt über die eindeutige Kennung identifiziert werden. Ein Abschnitt des DOM-Objekts, der die Nutzdaten enthält, kann als nicht vertrauenswürdig identifiziert werden.

公开(公告)号：DE112010003979T5

公开(公告)日：2013-04-25

申请号：DE112010003979

申请日：2010-07-30

Applicant: IBM

Inventor： HAY ROEE ,  PODJARNY GUY ,  SHARABANI ADI ,  TRIPP OMER ,  WEISMAN OMRI ,  HAVIV YINNON ,  PISTOIA MARCO ,  TATEISHI TAKAAKI

IPC: G06F9/44

Abstract: Ein System und ein Verfahren zum statischen Erkennen und Kategorisieren von Herabstufungseinrichtung des Informationsflusses enthalten das Transformieren (502) eines Programms, das in einer Speichereinheit gespeichert ist, durch statisches Analysieren von Programmvariablen, um eine einzige Zuweisung zu jeder Variable in einer Befehlsmenge zu erreichen. Die Befehlsmenge wird in Produktionsregeln mit Zeichenfolgenoperationen übersetzt (504). Eine kontextfreie Grammatik wird aus den Produktionsregeln erzeugt (508), um eine endliche Menge von Zeichenfolgen zu erkennen. Eine Funktion der Herabstufungseinrichtung des Informationsflusses wird durch Vergleichen der endlichen Menge von Zeichenfolgen mit einer oder mehreren Funktionsbeschreibungen erkannt (510).

公开(公告)号：GB2496730B

公开(公告)日：2015-01-14

申请号：GB201218726

申请日：2012-10-18

Applicant: IBM

Inventor： TRIPP OMER ,  KALMAN DANIEL ,  WEISMAN OMRI ,  HAVIV YINNON ,  AMIT YAIR

IPC: G06F21/57 ,  G06F21/00 ,  G06F21/52 ,  G06F21/56 ,  H04L29/06

公开(公告)号：DE112013000485T5

公开(公告)日：2014-11-27

申请号：DE112013000485

申请日：2013-01-17

Applicant: IBM

Inventor： TRIPP OMER ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F9/44

Abstract: Durchführen einer Sicherheitsanalyse an einem im Test befindlichen Computerprogramm (CPUT). Das CPUT kann analysiert werden, um Daten zu identifizieren, die für potenzielle Sicherheitslücken des CPUT relevant sind. Zumindest ein erster Einheitentest, der dazu eingerichtet ist, eine bestimmte Einheit von Programmcode innerhalb des CPUT zu testen, kann automatisch synthetisiert werden. Der erste Einheitentest kann dazu eingerichtet sein, zumindest einen Parameter zu initialisieren, der durch die bestimmte Einheit des Programmcodes innerhalb des CPUT verwendet wird, und für ihn kann zumindest eine erste Testnutzdatenmenge bereitgestellt werden, die dazu eingerichtet ist, zumindest eine potenzielle Sicherheitslücke des CPUT auszunutzen. Der erste Einheitentest kann dynamisch verarbeitet werden, um die erste Testnutzdatenmenge an die bestimmte Einheit des Programmcodes innerhalb des CPUT zu übertragen. Es kann ermittelt werden, ob die erste Testnutzdatenmenge eine tatsächliche Sicherheitslücke des CPUT ausnutzt, und es kann ein Sicherheitsanalysebericht ausgegeben werden.

公开(公告)号：GB2512258A

公开(公告)日：2014-09-24

申请号：GB201412804

申请日：2013-01-17

Applicant: IBM

Inventor： TRIPP OMER ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F21/57

Abstract: Performing security analysis on a computer program under test (CPUT). The CPUT can be analyzed to identify data pertinent to potential security vulnerabilities of the CPUT. At least a first unit test configured to test a particular unit of program code within the CPUT can be automatically synthesized. The first unit test can be configured to initialize at least one parameter used by the particular unit of program code within the CPUT, and can be provided at least a first test payload configured to exploit at least one potential security vulnerability of the CPUT. The first unit test can be dynamically processed to communicate the first test payload to the particular unit of program code within the CPUT. Whether the first test payload exploits an actual security vulnerability of the CPUT can be determined, and a security analysis report can be output.

公开(公告)号：DE112012005016T5

公开(公告)日：2014-09-04

申请号：DE112012005016

申请日：2012-12-03

Applicant: IBM

Inventor： AMIT YAIR ,  GUY LOTEM ,  SEGAL ORI ,  WEISMAN OMRI ,  KALMAN DANIEL

IPC: G06F21/00 ,  H04L9/32

Abstract: Der Quellcode einer Vielzahl von Webseiten, die Scriptcode enthalten, wird statisch analysiert. Eine Seite, die eine potenzielle Sicherheitslücke enthält, wird auf der Grundlage der statischen Analyse erkannt. Eine Seite, die keine potenzielle Sicherheitslücke enthält, wird auf der Grundlage der statischen Analyse erkannt. Die Webseite, die die potenzielle Sicherheitslücke enthält, wird unter Verwendung einer Reihe von Test-Nutzdaten dynamisch analysiert. Die Seite, die die potenzielle Sicherheitslücke nicht enthält, wird unter Verwendung einer Teilmenge der Reihe von Test-Nutzdaten dynamisch analysiert, wobei die Teilmenge weniger Test-Nutzdaten als die Reihe von Test-Nutzdaten beinhaltet.

公开(公告)号：GB2510756A

公开(公告)日：2014-08-13

申请号：GB201408612

申请日：2012-12-03

Applicant: IBM

Inventor： GUY LOTEM ,  KALMAN DANIEL ,  SEGAL ORI ,  WEISMAN OMRI ,  AMIT YAIR

IPC: G06F21/57

Abstract: Source code of a plurality of web pages including script code is statically analyzed. A page including a potential vulnerability is identified based on the static analysis. A page not including a potential vulnerability is identified based on the static analysis. The web page including the potential vulnerability is dynamically analyzed using a set of test payloads. The page not including the potential vulnerability is dynamically analyzed using a subset of the set of test payloads, the subset including fewer test payloads than the set of test payloads.

公开(公告)号：GB2496730A

公开(公告)日：2013-05-22

申请号：GB201218726

申请日：2012-10-18

Applicant: IBM

Inventor： TRIPP OMER ,  AMIT YAIR ,  KALMAN DANIEL ,  WEISMAN OMRI ,  HAVIV YINNON

IPC: G06F21/57 ,  G06F21/00 ,  G06F21/56 ,  H04L29/06

Abstract: A client 120 request 130 comprising a payload 132 an injected script for example is communicated to a web-based application 112. The payload has a unique identifier. Response HTML 134 with an associated Document Object Model (DOM) object 136 is received from the web-based application and content corresponding to the payload is identified in the DOM object via its unique identifier. A section of the DOM object comprising the payload is then identified as un-trusted. A DOM abstraction 126 may be generated from the DOM object comprising a section of the DOM object containing the content corresponding to the payload whilst, preferably, excluding sections of the DOM object not comprising said content. The response HTML is then preferably rendered using the DOM abstraction in lieu of the DOM object. A static security analysis of the response HTML may be performed when rendering to identify whether any access to a DOM abstraction retrieves content corresponding to the payload and, if so, a flag is generated to indicate that a vulnerability exists within the web-based application.