-
公开(公告)号:CN101883024B
公开(公告)日:2012-02-01
申请号:CN201010206355.8
申请日:2010-06-23
Applicant: 南京大学
Abstract: 本发明公开了一种跨站点伪造请求的动态检测方法,其步骤为:收集HTTP请求信息;根据收集到的信息,分析一个请求是否为CSRF嫌疑请求;针对嫌疑请求生成测试用例,找出嫌疑请求所包含的全部嫌疑参数。利用嫌疑参数生成若干伪造请求,每一个伪造请求形成一个测试用例;在生成嫌疑请求的环境重现时,执行每一个测试用例所对应的伪造请求;检测CSRF漏洞。根据嫌疑请求、嫌疑请求的执行信息、伪造请求和伪造请求的执行信息,分析伪造请求是否发现了Web应用中的CSRF漏洞,并形成报告,帮助Web应用开发者修复漏洞。本发明采用动态测试的方法检测CSRF漏洞,可以用较少的代价,快速而准确的发现Web应用中存在的CSRF漏洞。
-
公开(公告)号:CN101916340A
公开(公告)日:2010-12-15
申请号:CN201010226460.8
申请日:2010-07-14
Applicant: 南京大学
IPC: G06F21/00
Abstract: 本发明公开了一种PHP语言Web应用中不可信变量静态检测方法,其步骤是:1)识别PHP Web应用的所有入口文件;2)由入口文件出发,析取PHP代码,同时避开HTML代码的干扰,采用迭代方法整合所有相关的PHP文件和代码;3)以整合后的功能模块为单位,采用静态分析的方法识别其中的不可信变量;4)汇总所有模块的解析结果并生成报告,每一个不可信变量都记录其所属的PHP文件和具体位置。本发明相对现有技术实现简单,识别率较高,且具有良好的可扩展性,能有效解决现有方法在弱类型和无类型语言编写的Web应用中难以有效检测不可信变量的问题。
-
公开(公告)号:CN101883024A
公开(公告)日:2010-11-10
申请号:CN201010206355.8
申请日:2010-06-23
Applicant: 南京大学
Abstract: 本发明公开了一种跨站点伪造请求的动态检测方法,其步骤为:收集HTTP请求信息;根据收集到的信息,分析一个请求是否为CSRF嫌疑请求;针对嫌疑请求生成测试用例,找出嫌疑请求所包含的全部嫌疑参数。利用嫌疑参数生成若干伪造请求,每一个伪造请求形成一个测试用例;在生成嫌疑请求的环境重现时,执行每一个测试用例所对应的伪造请求;检测CSRF漏洞。根据嫌疑请求、嫌疑请求的执行信息、伪造请求和伪造请求的执行信息,分析伪造请求是否发现了Web应用中的CSRF漏洞,并形成报告,帮助Web应用开发者修复漏洞。本发明采用动态测试的方法检测CSRF漏洞,可以用较少的代价,快速而准确的发现Web应用中存在的CSRF漏洞。
-
-
Search Results
3
records
(took 0.015 seconds)
