-
公开(公告)号:CN114741089B
公开(公告)日:2025-02-18
申请号:CN202210254867.4
申请日:2022-03-15
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本申请公开一种利用递归函数远程部署制品文件夹的方法及装置,其中方法包括:将本地的制品文件夹的全名称和远程部署服务器的部署目录分别作为递归函数的第一个参数和第二个参数,调用递归函数;从第一个参数获取制品文件夹的名称并拼接至第二个参数后面以形成部署文件夹的全名称,利用该全名称远程创建部署文件夹;遍历制品文件夹下的文件和子文件夹,将获取到的文件的文件名拼接至部署文件夹的全名称的后面形成文件部署全名称,以及传输该文件为远程部署服务器中以文件部署全名称定义的文件,如果存在子文件夹,获取该子文件夹的名称并拼接在第一个参数后面作为新的第一个参数,将部署文件夹的全名称作为新的第二个参数,调用递归函数。
-
公开(公告)号:CN114127721A
公开(公告)日:2022-03-01
申请号:CN201980097492.1
申请日:2019-06-19
Applicant: 深圳开源互联网安全技术有限公司
IPC: G06F21/56
Abstract: 本申请提供了一种数据流跟踪方法、系统、存储介质和服务器,包括:获取请求数据;在响应所述请求数据之前,获取响应所述请求数据时需调用的函数;基于所述响应所述请求数据时需调用的函数,确定是否触发执行数据流跟踪流程;若确定触发执行所述数据流跟踪流程,则执行数据流跟踪流程,对所述请求数据进行数据流跟踪。本申请可减少引入大量不必要的跟踪逻辑代码,减少内存的占用,从而减少性能开销,提高程序运行的效率。
-
公开(公告)号:CN111046396B
公开(公告)日:2020-07-17
申请号:CN202010172809.8
申请日:2020-03-13
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本发明公开了一种基于IAST测试平台的web应用测试数据流跟踪方法及系统,其中数据流跟踪方法包括:在被测应用程序所在服务器上安装代理程序,所述代理程序用于与运行所述应用程序的虚拟机沟通,所述应用程序启动后,通过所述代理程序和字节码插桩工具在所述应用程序的输入阶段和输出阶段中的关键函数内插入监测代码,插桩所述监测代码时,在所述监测代码中传入待插桩函数的类文件名、方法名、方法参数和返回值,通过所述监测代码得到污点数据在所述应用程序中的传播途径,所述污点数据为测试过程中用户输入的数据;采样上述数据流跟踪方法,不但可实现对污点数据的实时跟踪,同时还能基于实际请求,准确获取请求‑响应过程中的执行方法链。
-
公开(公告)号:CN110674507A
公开(公告)日:2020-01-10
申请号:CN201910889750.1
申请日:2019-09-19
Applicant: 深圳开源互联网安全技术有限公司
IPC: G06F21/57
Abstract: 本发明公开了一种检测web应用越权的方法及系统,其中,方法包括如下步骤:S1)、通过两个不同的用户账号登陆待检测应用程序,并遍历应用程序中的所有功能;S2)、收集并记录当前浏览器的所有请求信息和响应信息,从而形成request表和reponse表;S3)、将分别与两个用户所对应的请求中的要素彼此作全部或部分替换,形成水平和/或垂直权限请求回放记录表;S4)、回放替换后的请求,生成回放响应表;S5)、对比reponse表和回放响应表,得出响应相似度。由此可知,通过上述检测方法,不需要了解应用程序的所有接口,即可分析系统是否存在越权漏洞,属于半自动方式检测,另外,基于替换请求要素然后计算响应相似度的方式来检测是否存在越权漏洞,准确率高。
-
公开(公告)号:CN110381033A
公开(公告)日:2019-10-25
申请号:CN201910550245.4
申请日:2019-06-24
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本发明提供了一种Web应用漏洞检测方法、装置、系统、存储介质和服务器,包括:第一服务器获取第二服务器发送的数据;判断所述第二服务器发送的数据中是否存在污点数据,所述污点数据是指来源于前端浏览器的数据;若所述第二服务器发送的数据中存在污点数据,则发起第二数据跟踪流程,所述第二数据跟踪流程用于在所述第一服务器上跟踪所述污点数据,监控所述污点数据是否被调用;若监控到所述污点数据的调用指令,则在所述污点数据被调用之前进行漏洞检测。本发明可准确定位发生问题的数据的真实来源,从而提高web应用漏洞检测的准确率和效率,同时,自动化漏洞检测减少了人力,降低了成本。
-
Patent Agency Ranking
公开(公告)号:CN114661362B
公开(公告)日:2023-11-03
申请号:CN202210200638.4
申请日:2022-03-01
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本申请公开一种基于DevSecOps的流水线实现方法和系统,其中,实现方法包括:接收并分析流水线的任务,以获取任务信息;获取若干服务器的信息,根据任务信息和若干服务器的信息确定目标服务器;将流水线的任务分配给目标服务器,在目标服务器内根据流水线生成对应的任务执行器;任务执行器执行对应流水线的任务;在目标服务器内的任务执行器执行完对应流水线的任务后,清除对应的任务执行器。本发明能够在随时响应流水线任务的情况下,减少占用服务器的计算资源,并且能够实现多条流水线同时运行。
-
公开(公告)号:CN114661362A
公开(公告)日:2022-06-24
申请号:CN202210200638.4
申请日:2022-03-01
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本申请公开一种基于DevSecOps的流水线实现方法和系统,其中,实现方法包括:接收并分析流水线的任务,以获取任务信息;获取若干服务器的信息,根据任务信息和若干服务器的信息确定目标服务器;将流水线的任务分配给目标服务器,在目标服务器内根据流水线生成对应的任务执行器;任务执行器执行对应流水线的任务;在目标服务器内的任务执行器执行完对应流水线的任务后,清除对应的任务执行器。本发明能够在随时响应流水线任务的情况下,减少占用服务器的计算资源,并且能够实现多条流水线同时运行。
-
公开(公告)号:CN112000361A
公开(公告)日:2020-11-27
申请号:CN202011167218.8
申请日:2020-10-28
Applicant: 深圳开源互联网安全技术有限公司
IPC: G06F8/70
Abstract: 本发明公开了一种软件安全开发能力成熟度差距分析方法及系统,其中该方法包括如下步骤:基于软件行业的标准差距分析模型中的基本内容制作并保存调查问卷模板;启动调查问卷模板,生成安全调查问卷,并将安全实践调查问卷推送给用户;根据评判标准对用户反馈的安全实践调查问卷中的各项内容进行评判,以得到反映用户软件安全开发能力成熟度的调查数据;获取并存储若干个行业的相关行业数据;采取数据差异化比较方式显示调查数据和行业数据的差异化程度;采样上述差距分析方法对每一个用户的评估过程中,无须分析人员分项分类录入相关数据,自动化程度高,省时省力,从而有效提高工作效率和准确性。
-
公开(公告)号:CN111046396A
公开(公告)日:2020-04-21
申请号:CN202010172809.8
申请日:2020-03-13
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本发明公开了一种基于IAST测试平台的web应用测试数据流跟踪方法及系统,其中数据流跟踪方法包括:在被测应用程序所在服务器上安装代理程序,所述代理程序用于与运行所述应用程序的虚拟机沟通,所述应用程序启动后,通过所述代理程序和字节码插桩工具在所述应用程序的输入阶段和输出阶段中的关键函数内插入监测代码,插桩所述监测代码时,在所述监测代码中传入待插桩函数的类文件名、方法名、方法参数和返回值,通过所述监测代码得到污点数据在所述应用程序中的传播途径,所述污点数据为测试过程中用户输入的数据;采样上述数据流跟踪方法,不但可实现对污点数据的实时跟踪,同时还能基于实际请求,准确获取请求-响应过程中的执行方法链。
-
公开(公告)号:CN110989991A
公开(公告)日:2020-04-10
申请号:CN201911027570.9
申请日:2019-10-25
Applicant: 深圳开源互联网安全技术有限公司
Abstract: 本发明公开了一种检测应用程序中源代码克隆开源软件的方法及系统,其中,检测方法包括代码解析处理方法和比对方法;代码解析处理方法为:构建基于token结构的解析器,采用解析器并自定义解析规则将程序代码中的特征字符一一解析成按序排列的单独的token结构体,以得到比对对象,token结构体的属性包括哈希码和标识符;比对方法包括:首先,通过代码解析处理方法对开源程序和当前待检测的应用程序进行处理;然后,将属于应用程序的各个比对对象按照次序与属于开源程序的比对对象进行比较;采用上述方法进行克隆开源软件的检测,能够通过配置解析规则来提高检测的准确率和精准度,另外,通过哈希码和标识符进行识别,可最大程度的减小干扰率,提高比对效率。
-
-
-
-
-
-
-
-
-
Search Results
25
records
(took 0.038 seconds)
