公开(公告)号：US20130167239A1

公开(公告)日：2013-06-27

申请号：US13430002

申请日：2012-03-26

申请人： YAIR AMIT ,  EVGENY BESKROVNY ,  OMER TRIPP

发明人： YAIR AMIT ,  EVGENY BESKROVNY ,  OMER TRIPP

IPC分类号： G06F21/00

摘要： A method of detecting a vulnerability in a Web service can include determining, using a processor, whether a Web service uses identity of a requester to select one of a plurality of different paths of a branch in program code of the Web service. The method further can include, responsive to determining that the Web service does select one of a plurality of different paths of a branch according to identity of the requester, indicating that the Web service has a potential vulnerability.

摘要翻译： 检测Web服务中的漏洞的方法可以包括：使用处理器确定Web服务是否使用请求者的身份来选择Web服务的程序代码中的分支的多个不同路径中的一个。 该方法还可以包括响应于确定Web服务根据请求者的身份选择分支的多个不同路径中的一个，指示该Web服务具有潜在的漏洞。

公开(公告)号：US20130167237A1

公开(公告)日：2013-06-27

申请号：US13335439

申请日：2011-12-22

申请人： YAIR AMIT ,  EVGENY BESKROVNY ,  OMER TRIPP

发明人： YAIR AMIT ,  EVGENY BESKROVNY ,  OMER TRIPP

IPC分类号： G06F11/00

摘要： A system for detecting a vulnerability in a Web service can include a processor configured to initiate executable operations including determining whether a Web service uses identity of a requester to select one of a plurality of different paths of a branch in program code of the Web service and, responsive to determining that the Web service does select one of a plurality of different paths of a branch according to identity of the requester, indicating that the Web service has a potential vulnerability.

摘要翻译： 用于检测Web服务中的漏洞的系统可以包括处理器，其被配置为发起可执行操作，包括确定Web服务是否使用请求者的身份来选择Web服务的程序代码中的分支的多个不同路径中的一个， 响应于确定所述Web服务根据所述请求者的身份确定选择分支的多个不同路径中的一个，指示所述Web服务具有潜在的漏洞。

公开(公告)号：US20130091535A1

公开(公告)日：2013-04-11

申请号：US13253649

申请日：2011-10-05

申请人： EVGENY BESKROVNY ,  OMER TRIPP

发明人： EVGENY BESKROVNY ,  OMER TRIPP

IPC分类号： G06F21/00

CPC分类号： G06F21/577 ,  G06F11/3604 ,  G06F11/3688 ,  G06F21/604 ,  G06F2221/033

摘要： An authorization algorithm of a software component can be selected. A static code analysis can be performed to determine a conditional statement within an algorithm of the software component. The outcome of the conditional statement can be established based on an input and a criteria using dynamic code analysis. The input can be a value associated with a claim set of a claims-based authentication policy. The criteria can be an authentication criteria specified within the algorithm. Responsive to the outcome, an execution path associated with the outcome can be determined and a code coverage criterion can be met for the conditional statement.

摘要翻译： 可以选择软件组件的授权算法。 可以执行静态代码分析以确定软件组件的算法内的条件语句。 条件语句的结果可以基于使用动态代码分析的输入和标准来建立。 输入可以是与基于声明的认证策略的权利要求集相关联的值。 标准可以是算法中指定的认证标准。 响应于结果，可以确定与结果相关联的执行路径，并且可以满足条件语句的代码覆盖率标准。