知搜-全球专利检索

  1. Login
  2. Sign Up

Search Results

5 records (took 0.029 seconds)

    一种检测CRLF注入漏洞的方法及装置
    1.
    发明公开
    一种检测CRLF注入漏洞的方法及装置 无效

    公开(公告)号:CN109005192A

    公开(公告)日:2018-12-14

    申请号:CN201811019851.5

    申请日:2018-09-03

    Applicant: 杭州安恒信息技术股份有限公司

    Inventor: 邢俞炜 范渊

    IPC: H04L29/06

    Abstract: 本发明公开了一种检测CRLF注入漏洞的方法,包括:获取待检测的目标URL链接;判断目标URL链接是否可用;若是,则将预设的检测命令添加至目标URL链接,并按照添加后的目标URL链接访问目标服务器;当目标服务器返回的响应数据包中包含与检测命令对应的特征信息时,表明目标服务器依照该检测命令规定的处理方式做出了响应,则标记目标URL链接具有CRLF注入漏洞。该方法可准确检测出URL链接是否具有CRLF注入漏洞,以便技术人员及时优化URL链接,避免CRLF注入漏洞,提高网站的安全性。相应地,本发明公开的一种检测CRLF注入漏洞的装置、设备及可读存储介质,也同样具有上述技术效果。

    一种执行结果回显方法、装置、电子设备及可读存储介质
    2.
    发明公开
    一种执行结果回显方法、装置、电子设备及可读存储介质 无效

    公开(公告)号:CN112214265A

    公开(公告)日:2021-01-12

    申请号:CN202011079824.4

    申请日:2020-10-10

    Applicant: 杭州安恒信息技术股份有限公司

    Inventor: 邢俞炜 范渊 黄进

    IPC: G06F9/448 G06F21/57

    Abstract: 本申请公开了一种执行结果回显方法、装置、设备及计算机可读存储介质,该方法包括:获取索引节点组,并在目标目录下获取索引节点组内的元素对应的文件描述符;利用文件描述符尝试打开对应的套接字;若目标套接字被打开,则获取代码执行结果,并利用目标套接字传输代码执行结果;由于进程中的每个线程仅能打开自己对应的套接字。因此在得到文件描述符后,可以一一利用各个文件描述符尝试打开对应的套接字;若目标套接字被打开,则说明目标套接字为用于执行远程代码的线程对应的套接字,可以用于传输该线程得到的代码执行结果;该方法通过对目标套接字进行确定并利用目标套接字传输代码执行结果,可以不需要利用外网进行回显,提高了回显成功率。

    一种payload漏洞识别方法、装置、设备及存储介质
    3.
    发明公开
    一种payload漏洞识别方法、装置、设备及存储介质 审中-实审

    公开(公告)号:CN117648693A

    公开(公告)日:2024-03-05

    申请号:CN202310625139.4

    申请日:2023-05-29

    Applicant: 杭州安恒信息技术股份有限公司

    Inventor: 汪屹文 范渊 邢俞炜

    IPC: G06F21/57 G06F18/2415 G06F18/22 G06F16/958

    Abstract: 本申请公开了一种payload漏洞识别方法、装置、设备及存储介质,涉及信息安全领域,包括:利用预先基于朴素贝叶斯算法构建的分类器对待测网页进行识别以确定待测网页是否包含payload漏洞;若待测网页包含payload漏洞,则对待测网页进行结构解析和特征匹配以确定待测网页中是否存在预设payload特征;若待测网页中存在预设payload特征,则判定待测网页包含payload漏洞。本申请通过采用朴素贝叶斯算法快速完成对分类器的构建,利用分类器实现对网页的大批量快速识别,并通过对网页进行结构解析和特征匹配,有效识别网页中是否包含payload漏洞,缓解误判和漏判情况,提高漏洞识别的准确率和效率。

    未授权访问接口的自动检测方法、装置、设备及存储介质
    4.
    发明公开
    未授权访问接口的自动检测方法、装置、设备及存储介质 审中-实审

    公开(公告)号:CN116647386A

    公开(公告)日:2023-08-25

    申请号:CN202310626329.8

    申请日:2023-05-30

    Applicant: 杭州安恒信息技术股份有限公司

    Inventor: 邢俞炜 范渊 汪屹文

    IPC: H04L9/40 G06F21/57

    Abstract: 本申请公开了未授权访问接口的自动检测方法、装置、设备及存储介质,涉及安全检测领域,包括:基于不重复抽取原则从预先构建的集合中抽取出一个待检测应用程序接口,判断待检测应用程序接口是否存在需要鉴权和/或危险操作的统一资源定位符;若否则基于绕过鉴权payload及已知鉴权组件绕过漏洞payload构造请求并发送;基于响应结果判断待检测应用程序接口是否存在未授权漏洞,得到判断结果;重新跳转至所述从预先构建的集合中抽取出一个待检测应用程序接口的步骤,并在得到与各待检测应用程序接口对应的判断结果后,确定是否需要基于预设自定义算法执行复测操作,以得到最终的检测结果。本申请能够有效检测结果的准确性以及可靠性。

    LDAP注入漏洞的检测方法和装置
    5.
    发明公开
    LDAP注入漏洞的检测方法和装置 无效

    公开(公告)号:CN110417800A

    公开(公告)日:2019-11-05

    申请号:CN201910719482.9

    申请日:2019-08-05

    Applicant: 杭州安恒信息技术股份有限公司

    Inventor: 邢俞炜 范渊

    IPC: H04L29/06

    Abstract: 本发明提供了一种LDAP注入漏洞的检测方法和装置,涉及漏洞检测的技术领域,包括:基于爬虫技术,爬取待检测网站的URL链接;对所述待检测网站的URL链接进行可用性检测,确定出可用URL链接;在所述可用URL链接中注入漏洞载荷,得到目标URL链接;获取所述目标服务器基于所述目标URL链接反馈的多个第一响应内容,并基于所述多个第一响应内容确定所述可用URL链接是否存在LDAP注入漏洞,其中,所述目标服务器为所述待检测网站对应的服务器,解决了现有技术对LDAP注入漏洞的检测效率较低的技术问题。

Patent Agency Ranking