公开(公告)号：CN116974907A

公开(公告)日：2023-10-31

申请号：CN202310618200.2

申请日：2023-05-29

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 杨珍 ,  范渊 ,  赵旭

IPC: G06F11/36

Abstract: 本申请公开了一种web接口安全测试方法、装置、设备及存储介质，涉及接口安全测试领域，包括：触发dom元素事件并对dom元素输入值进行标记得到标记信息；调用用于标记信息传递的js方法并在js方法执行完毕后，监听js原生请求方法并对请求参数进行标记来源回溯以及上下文分析，得到与请求参数对应的dom元素；基于请求参数以及对应的dom元素构建关系表；从关系表中确定与待测试参数对应的目标dom元素，基于目标dom元素构建安全测试用例，以对web接口进行自动化测试。本申请通过建立请求参数与dom元素之间的关系，并针对与待测试参数对应的dom元素构造有效的安全测试用例，保证了web接口测试的有效性和准确性。

公开(公告)号：CN118802368A

公开(公告)日：2024-10-18

申请号：CN202411214548.6

申请日：2024-08-30

Applicant: 杭州安恒信息技术股份有限公司

Inventor： 赵旭 ,  王欣

IPC: H04L9/40 ,  H04L67/06

Abstract: 本发明公开了一种文件上传漏洞的检测方法、装置、设备及存储介质，应用于网络安全领域，包括：对目标网站进行全面扫描，获取目标网站的所有接口请求；对于接口请求中的表单请求，基于表单攻击载荷字典对目标网站进行表单载荷攻击；对于接口请求中的非表单请求，基于非表单攻击载荷字典对目标网站进行非表单载荷攻击；非表单攻击载荷字典包括文件上传常用参数和路由字典；根据攻击结果确定目标网站是否存在文件上传漏洞。本发明通过全面扫描和分析网站的所有接口请求，对接口请求进行分类处理，有效识别和处理后台管理系统或未经授权的上传接口，完善了自动化漏洞扫描的检测效果，提升了文件上传漏洞检测的效率、准确性和全面性。