[发明专利]基于规则呈现用户界面元素有效
申请号: | 201380071980.8 | 申请日: | 2013-02-25 |
公开(公告)号: | CN104956375B | 公开(公告)日: | 2018-04-03 |
发明(设计)人: | 肖恩·摩根·森普森;基里尔·缅杰列维;菲利普·爱德华·汗默 | 申请(专利权)人: | 慧与发展有限责任合伙企业 |
主分类号: | G06F21/57 | 分类号: | G06F21/57 |
代理公司: | 北京德琦知识产权代理有限公司11018 | 代理人: | 郭艳芳,康泉 |
地址: | 美国德*** | 国省代码: | 暂无信息 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 规则 呈现 用户界面 元素 | ||
背景技术
软件安全测试用于识别在应用(例如Web应用)中的漏洞。基于Web的软件的传统黑盒安全测试通过使用常常被称为扫描器的安全测试应用来工作,该安全测试应用伪装成攻击者。扫描器通过做出HTTP请求并评估HTTP响应或HTTP响应的缺乏,来探索被测试应用(AUT),以便找到AUT在此接受输入的所有URL。AUT在此接受输入的URL可以指AUT的攻击面。扫描器然后基于攻击面和漏洞的可能类别来创建攻击。扫描器应用攻击,以通过评估程序的HTTP响应来诊断漏洞的存在或缺乏。
附图说明
下面的详细描述参考附图,其中:
图1A和图1B是根据各示例的、能够基于规则呈现用户界面元素的系统的框图;
图2是根据一个示例的、用于分析web应用的结构以产生供呈现的可行令牌的计算系统的框图;
图3A和图3B是根据各示例的规则和令牌的框图;
图4A是根据一个示例的、用于呈现与所发现的可行令牌相关联的加亮用户界面元素的用户界面的框图;
图4B是根据一个示例的、用于呈现与所发现的可行令牌相关联的修改的加亮用户界面元素的用户界面的框图;
图4C是根据一个示例的、用于呈现与所发现的可行令牌相关联并基于修改的用户界面元素的加亮用户界面元素的用户界面的框图;
图5是根据一个示例的、用于促使呈现web应用的一部分的流程图,该部分具有基于可行令牌被加亮的用户界面元素;以及
图6是根据一个实施例的、能够促使呈现与可行令牌相关联的加亮用户界面元素的计算系统的框图。
具体实现方式
本文描述的实施例提供用于执行应用(例如web应用)测试的技术。当公司希望知道公司在生产中或将要投入生产的web应用的安全程度时,公司常常使用安全测试解决方案,例如渗透测试解决方案(例如使用扫描器)、模糊测试、脆弱性测试、软件安全测试、网站安全测试、其组合等。公司可能希望使用生产中的应用的复本作为被测试应用(AUT)。
自动动态web应用安全扫描器在攻击AUT之前探索AUT。这个过程可被称为“爬行”。AUT的爬行可通过web应用的超文本标记语言(HTML)的分析以及在web浏览器布局引擎(例如嵌入在web应用扫描器内的web浏览器布局引擎)的受控环境内执行AUT的代码来完成。
随着Web 2.0应用的使用增加,它们的复杂结构阻止了HTML页面分析并使浏览器级处理复杂化。很多Web 2.0应用具有最低限度地自展的HTML代码,其下载主代码(例如JavaScript(JS)代码),其中该主代码直接对浏览器的文档对象模型(DOM)和JS结构、异步JS和XML(AJAX)调用、动态创建的链接、DOM事件等进行操作。有时当JS代码运行时,在应用的寿命期间不获取其它HTML文档。
简化应用的结构以根据一组预定义的规则(其以不同方式处理以特定的方式编写的应用)列出(例如用图表或树状结构表示)可行元素,这可用于有利于有效的爬行。使用这种方法,可为额外的框架(例如jQuery、Dojo等)提供支持,以实现应用的较高质量扫描并发现以前隐藏的应用状态内的漏洞。
为了发现应用攻击面,web应用扫描器模拟在web应用的UI元素上的用户行为。DOM分析器使用如在图3A中进一步详述的规则,来遍历应用的结构并将复杂DOM转换成如在图3B中进一步详述的简明列表可行令牌。在某些示例中,令牌代表DOM元素,其为鼠标或键盘事件或可以用任何其它方式被调用、评估或修改的JS实体的有效目标。因此,发现技术可实际上用于在受控浏览器环境内执行web应用,以研究由浏览器引擎构建的DOM元素。基于UI的爬虫器然后使用规则来识别可行元素并模拟在元素上的用户行动。
然而,该方法可能是有挑战性的。在浏览器内的事件冒泡和传播可阻止对适当的事件目标的检测,这可对爬虫器隐藏一些可行元素。此外,更复杂的操作(例如拖放操作,其使用鼠标按下、鼠标移动、鼠标提升事件序列)所需的用户事件的多步骤序列可能难以检测到观察应用的DOM的静态结构。而且,可能期望一些可行DOM元素在扫描期间被跳过,以避免干扰应用的状态(例如,如果扫描器在扫描、改变密码区段等期间击中注销按钮)。此外,一些DOM元素可导致“失控扫描”——例如日程表用户界面的扫描、在目录站点中的不同物品等。因此,盲目地遵循一般规则以检测可行元素可导致可能太冗长、干扰应用的状态、遗漏重要部分的次最佳的扫描。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于慧与发展有限责任合伙企业,未经慧与发展有限责任合伙企业许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201380071980.8/2.html,转载请声明来源钻瓜专利网。