[发明专利]一种基于表单特征的Web安全漏洞动态检测方法有效
| 申请号: | 201010226471.6 | 申请日: | 2010-07-14 |
| 公开(公告)号: | CN101902470A | 公开(公告)日: | 2010-12-01 |
| 发明(设计)人: | 张立久;顾庆;彭树森;陈翔;陈道蓄 | 申请(专利权)人: | 南京大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 江苏圣典律师事务所 32237 | 代理人: | 黄振华 |
| 地址: | 210093 江苏省*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于表单特征的Web安全漏洞动态检测方法,其步骤是:1)对Web应用的待测页面、其表单及表单域的自动化特征进行提取,收集并保存数据;2)以表单为测试单位,为各个表单域赋予一组测试候选值,并初步生成全组合测试用例集;然后为每个测试用例计算一个权值,最后利用最大权值选择法生成测试用例集;3)测试用例集执行,4)针对各个测试用例的执行结果进行潜在安全漏洞分析,汇总生成测试报告。本发明方法通过对Web表单进行特征分析,运用领域知识有针对性的为表单域赋予安全漏洞检测值,并与Web服务器进行交互获取服务器响应,根据响应结果自动检测Web应用中潜在的安全漏洞。 | ||
| 搜索关键词: | 一种 基于 表单 特征 web 安全漏洞 动态 检测 方法 | ||
【主权项】:
1.一种基于表单特征的Web应用安全漏洞动态检测方法,其特征在于包括以下步骤:1)Web表单特征收集:对Web应用的待测页面、其表单及表单域的自动化特征进行提取,收集并保存以下数据:Web页面特征,包括Status-Line、含有Cookie的头信息、以及含有表单的HTML信息体;表单特征,包括动作(action)、方法(method)和数据形态(enctype);表单域特征,包括类型(type)、名称(name)和初始值(initial_value);2)测试用例集生成:以表单为测试单位,为每个表单的各个表单域赋予一组特定的安全漏洞测试候选值,并通过表单域候选值的全组合方式,初步生成该表单的全组合测试用例集;然后根据安全漏洞的危害性,为每个测试用例计算一个代表其漏洞检测能力的权值,权值越大,表示其漏洞检测能力越强;最后,利用最大权值选择法,逐个选择以生成指定规模的测试用例集;3)测试用例集执行:基于测试用例集为每个表单生成一系列HTTP请求,每个HTTP请求对应一个测试用例,表单中各个表单域的值由对应的测试用例给出;HTTP请求逐个提交给Web服务器并收集HTTP响应,作为该表单在该测试用例集下的执行结果;4)潜在安全漏洞检测:以表单为单位,针对各个测试用例的执行结果,对测试用例的执行结果进行潜在安全漏洞分析;首先得到单个表单的检测结果,进而汇总生成Web应用的安全漏洞测试报告。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京大学,未经南京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010226471.6/,转载请声明来源钻瓜专利网。
- 上一篇:用于批量修改表单数据的方法和装置
- 下一篇:燃料压力调节系统
