-
公开(公告)号:CN114679321B
公开(公告)日:2024-04-12
申请号:CN202210319528.X
申请日:2022-03-29
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L9/40
Abstract: 本申请涉及漏洞检测领域,公开了一种SSTI漏洞的检测方法、装置及介质,包括:获取待检测网站,并启动浏览器爬虫爬取属于待检测网站的URL路径,根据各URL路径和预先建立的检测Payload库编写SSTI检测脚本,启动漏洞扫描器,并使用Requests对各SSTI检测脚本进行请求得到请求结果以确定待检测网站中是否存在SSTI漏洞。由此,通过预先建立的检测Payload库避免了人工输入不同Payload进行检测的低效率,且通过Requests对编写的SSTI检测脚本进行请求以确定是否存在SSTI漏洞,实现自动检测SSTI漏洞的目的,进而降低人力成本,提高网络信息安全。
-
公开(公告)号:CN116738435A
公开(公告)日:2023-09-12
申请号:CN202310618901.6
申请日:2023-05-29
Applicant: 杭州安恒信息技术股份有限公司
IPC: G06F21/57
Abstract: 本申请涉及一种漏洞检测策略生成方法、装置、计算机设备及可读存储介质,该方法包括:获取操作系统或应用软件的漏洞信息;基于所述漏洞信息,获取对应的产品检测逻辑和漏洞检测逻辑;基于所述漏洞信息、产品检测逻辑和漏洞检测逻辑,生成对应的漏洞检测策略,通过漏洞检测引擎运行后自动获取漏洞检测结果,无需人工进行漏洞检测,解决了人工进行漏洞检测时间长、效率低下的问题。
-
公开(公告)号:CN109190368A
公开(公告)日:2019-01-11
申请号:CN201810944476.9
申请日:2018-08-19
Applicant: 杭州安恒信息技术股份有限公司
IPC: G06F21/55 , G06F16/955
Abstract: 本发明涉及一种SQL注入检测装置及SQL注入检测方法,通过任务接收调度模块接收并调度任务,以爬虫模块爬取URL地址并交由URL分析模块分析,SQL注入检测模块对URL所涉网站进行WAF识别,根据识别结果查找到特征处理插件并对SQL注入检测包进行对应修改使其能绕过网站WAF,随后将修改完的SQL注入检测包发送至需要进行检测的网站并执行,根据执行结果进行网站的注入点判断,获取SQL注入的对应数据,以结果展现模块输出检测结果。本发明使得在有WAF、SQL防护保护的情况下,SQL注入检测包能自动识别保护技术并最大程度的进行绕过,提高SQL注入的漏洞的检出率,自动程度高,效率高。
-
公开(公告)号:CN116738382A
公开(公告)日:2023-09-12
申请号:CN202310622401.X
申请日:2023-05-29
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本申请涉及一种代码处理方法、装置、计算机设备和存储介质,包括:获取受保护代码的信息,所述信息包括所述受保护代码的起始地址和所述受保护代码占用的内存大小;新建映射区段,并获取所述映射区段的句柄;根据所述映射区段的句柄、所述受保护代码的信息,将所述受保护代码映射到所述映射区段,得到防护代码;根据所述受保护代码和所述防护代码,得到目标文件,提高了受保护代码的安全性,解决了反调试方法无法很好的保护代码的问题。
-
公开(公告)号:CN114679321A
公开(公告)日:2022-06-28
申请号:CN202210319528.X
申请日:2022-03-29
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L9/40
Abstract: 本申请涉及漏洞检测领域,公开了一种SSTI漏洞的检测方法、装置及介质,包括:获取待检测网站,并启动浏览器爬虫爬取属于待检测网站的URL路径,根据各URL路径和预先建立的检测Payload库编写SSTI检测脚本,启动漏洞扫描器,并使用Requests对各SSTI检测脚本进行请求得到请求结果以确定待检测网站中是否存在SSTI漏洞。由此,通过预先建立的检测Payload库避免了人工输入不同Payload进行检测的低效率,且通过Requests对编写的SSTI检测脚本进行请求以确定是否存在SSTI漏洞,实现自动检测SSTI漏洞的目的,进而降低人力成本,提高网络信息安全。
-
Patent Agency Ranking
公开(公告)号:CN110417796A
公开(公告)日:2019-11-05
申请号:CN201910717188.4
申请日:2019-08-05
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明公开了一种客户端请求处理方法,包括:获取客户端请求;客户端请求包括目标参数和验证参数;将目标参数和预设密钥进行拼接加密,得到安全参数;判断安全参数与验证参数是否一致;若是,则执行客户端请求;若否,则确定出现SSRF攻击,不执行客户端请求;本方法通过对各个客户端请求进行验证,执行通过验证的客户端请求,不执行未通过验证的客户端请求,以此来达到完全防御SSRF攻击的效果;此外,本发明还提供了一种客户端请求处理装置、设备及计算机可读存储介质,同样具有上述有益效果。
-
公开(公告)号:CN116775976A
公开(公告)日:2023-09-19
申请号:CN202310836647.7
申请日:2023-07-07
Applicant: 杭州安恒信息技术股份有限公司
IPC: G06F16/951 , G06F8/658
Abstract: 本申请公开了一种漏洞补丁信息获取方法、装置、设备及存储介质,涉及漏洞修复领域,包括:利用网络爬虫进行漏洞爬取,得到漏洞信息,通过预设方法对被爬取漏洞进行去重操作,确定目标漏洞;基于目标漏洞的漏洞信息判断各漏洞信息公共平台是否存在目标漏洞的补丁信息,若不存在,基于目标漏洞的漏洞信息确定软件厂商;基于软件厂商的网络爬虫判断软件厂商提供的漏洞补丁页面中是否存在补丁信息,若不存在,基于预设规则访问漏洞补丁页面,获取漏洞补丁页面中添加的补丁信息;若存在,基于补丁信息对第三方漏洞信息平台中的目标漏洞进行修补,获取目标漏洞的漏洞信息进行更新,得到更新后漏洞信息。由此,本申请能够及时准确地获取缺失的补丁信息。
-
公开(公告)号:CN114900345A
公开(公告)日:2022-08-12
申请号:CN202210456287.3
申请日:2022-04-28
Applicant: 杭州安恒信息技术股份有限公司
IPC: H04L9/40
Abstract: 本申请涉及一种规则转换方法、装置、电子装置和存储介质,其中,该规则转换方法用于转换第一规则和第二规则,方法包括:获取待转换的多个第一规则;提取每个第一规则的规则特征、并根据第一规则的规则特征生成第一特征集,其中第一特征集包括多个第一规则的规则特征;根据预设的规则特征的映射关系,将第一特征集转换为第二特征集,其中第二特征集包括多个第二规则的规则特征;根据第二特征集,生成多个与第一规则对应的第二规则,通过本申请,解决了相关技术中人工转换两种不同规则不仅效率低下,而且也无法做到标准统一的问题,实现了自动识别规则,并采用统一的转换标准批量转换规则的效果。
-
公开(公告)号:CN109190368B
公开(公告)日:2021-01-12
申请号:CN201810944476.9
申请日:2018-08-19
Applicant: 杭州安恒信息技术股份有限公司
IPC: G06F21/55 , G06F16/955
Abstract: 本发明涉及一种SQL注入检测装置及SQL注入检测方法,通过任务接收调度模块接收并调度任务,以爬虫模块爬取URL地址并交由URL分析模块分析,SQL注入检测模块对URL所涉网站进行WAF识别,根据识别结果查找到特征处理插件并对SQL注入检测包进行对应修改使其能绕过网站WAF,随后将修改完的SQL注入检测包发送至需要进行检测的网站并执行,根据执行结果进行网站的注入点判断,获取SQL注入的对应数据,以结果展现模块输出检测结果。本发明使得在有WAF、SQL防护保护的情况下,SQL注入检测包能自动识别保护技术并最大程度的进行绕过,提高SQL注入的漏洞的检出率,自动程度高,效率高。
-
公开(公告)号:CN107347076B
公开(公告)日:2020-01-17
申请号:CN201710732152.4
申请日:2017-08-23
Applicant: 杭州安恒信息技术股份有限公司
Abstract: 本发明提供了一种SSRF漏洞的检测方法及装置,该检测方法包括:获取漏洞查询请求;向待检测URL链接所对应的服务器发送漏洞查询请求,并在查询到SSRF漏洞时,得到漏洞查询结果;向公网服务器的验证端口发送秘钥查询请求,以在公网服务器中查询是否存在漏洞查询结果;如果公网服务器根据秘钥查询请求返回的返回结果为第一预设结果,则确定待检测URL链接存在SSRF漏洞。本发明中提出了一种SSRF漏洞的检测方法,该方法能够检测出待检测URL链接是否存在SSRF漏洞,缓解了现有技术中无法对SSRF漏洞进行检测的技术问题。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.028 seconds)
