-
公开(公告)号:CN111428237A
公开(公告)日:2020-07-17
申请号:CN202010153501.9
申请日:2020-03-06
Applicant: 支付宝(杭州)信息技术有限公司
Inventor: 曹世杰
Abstract: 本申请实施例公开了一种攻击风险的识别方法、装置和电子设备,该方法包括:客户端中的轻量应用容器基于轻量应用对所述客户端的接口JSAPI的调用请求,获取所述调用请求对应的目标调用参数,以及将所述目标调用参数输入到所述客户端中的容器层面安全切面管控逻辑CSA中;所述客户端中的CSA基于CSA端内风险匹配规则,对所述目标调用参数进行匹配,识别所述JSAPI的调用请求存在的攻击风险;若所述客户端中的CSA无法识别所述JSAPI的调用请求存在的攻击风险,则将携带有所述目标调用参数的CSA请求发送至服务端;所述服务端基于服务端内风险匹配规则,对所述CSA请求中的所述目标调用参数进行匹配,识别所述JSAPI的调用请求存在的攻击风险。
-
公开(公告)号:CN111125714A
公开(公告)日:2020-05-08
申请号:CN201911306895.0
申请日:2019-12-18
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/57
Abstract: 本说明书实施例公开了一种安全检测方法、装置及电子设备,该方法包括:基于与目标程序文件对应的语法树解析引擎,对所述目标程序文件进行解析,得到所述目标程序文件的抽象语法树,所述目标程序文件的抽象语法树包括多个节点、以及所述多个节点组成的多条链路;基于预设的安全检测规则,从所述目标程序文件的抽象语法树中获取多个可攻击节点;基于所述目标程序文件的抽象语法树中的多个节点、以及所述多个节点组成的多条链路,获取包含所述多个可攻击节点的多条可攻击链路;分别运行所述多条可攻击链路,以对所述多条可攻击链路进行安全检测,得到所述目标程序文件的安全检测结果。
-
公开(公告)号:CN111125713A
公开(公告)日:2020-05-08
申请号:CN201911306652.7
申请日:2019-12-18
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/57
Abstract: 本说明书实施例提供一种水平越权漏洞的检测方法、装置及电子设备。方法包括:在目标移动应用中,基于第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求,其中,至少一个第二账户身份发起的业务请求是将第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的。确定账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度,从而判断目标移动应用是否存在水平越权漏洞。
-
公开(公告)号:CN118051910A
公开(公告)日:2024-05-17
申请号:CN202410067393.1
申请日:2021-09-13
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/56
Abstract: 本公开提供了一种针对移动端应用的基于安全切面的智能混淆方法,包括:针对移动端应用的调用链,采用安全切面定义一个或多个安全切入点;对一个或多个安全切入点进行环绕增强;基于经环绕增强的一个或多个安全切入点获取调用链的全链路信息;基于所获取的全链路信息定位调用链的攻击风险点;以及对所定位的攻击风险点进行针对性加固。
-
公开(公告)号:CN110912697B
公开(公告)日:2022-09-16
申请号:CN201911366998.6
申请日:2019-12-26
Applicant: 支付宝(杭州)信息技术有限公司
Inventor: 曹世杰
Abstract: 本公开提供一种Scheme请求校验方法、装置及设备,其中,Scheme请求校验方法包括:获取第一应用对第二应用的Scheme请求;生成第一随机数,并通过第一标识对所述第一随机数进行加密,得到第一加密信息,其中,所述第一标识作为密钥,所述第一标识与所述终端以及所述第一应用对应;对所述第一加密信息以及所述第一应用的信息进行加密,得到第二加密信息;将所述Scheme请求以及所述第二加密信息发送给所述第二应用,以使所述第二应用基于所述第二加密信息对所述Scheme请求进行校验;接收来自所述第二应用的所述Scheme请求的响应消息,所述响应消息中携带有所述第一加密信息;对所述第一加密信息进行解密,得到第一解密结果,根据所述第一解密结果确定Scheme请求结果。
-
Patent Agency Ranking
公开(公告)号:CN111163067B
公开(公告)日:2022-05-03
申请号:CN201911306950.6
申请日:2019-12-18
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例公开了一种安全测试方法、装置及电子设备,该方法包括:从目标终端的操作系统的接口中采集与目标应用相关的网络流量报文;从预设的安全测试用例库中,获取与所述网络流量报文的类型相对应的目标安全测试用例;基于所述目标安全测试用例对所述网络流量报文进行安全测试,得到所述目标应用的安全测试结果。
-
公开(公告)号:CN111125713B
公开(公告)日:2022-04-08
申请号:CN201911306652.7
申请日:2019-12-18
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/57
Abstract: 本说明书实施例提供一种水平越权漏洞的检测方法、装置及电子设备。方法包括:在目标移动应用中,基于第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求,其中,至少一个第二账户身份发起的业务请求是将第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的。确定账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度,从而判断目标移动应用是否存在水平越权漏洞。
-
公开(公告)号:CN113779578A
公开(公告)日:2021-12-10
申请号:CN202111067984.1
申请日:2021-09-13
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/56
Abstract: 本公开提供了一种移动端应用的智能混淆方法,包括:利用安全切面对调用链进行调用检测,以发现异常调用;针对该异常调用识别该调用链中的被攻击节点以确定加固位置;针对该异常调用识别被攻击手段以确定加固强度;基于该加固强度选择自动加固方案;以及在该加固位置执行所选择的自动加固方案,以将该自动加固对性能的影响控制在可接受范围内。
-
公开(公告)号:CN112654024A
公开(公告)日:2021-04-13
申请号:CN202011581470.3
申请日:2020-12-28
Applicant: 支付宝(杭州)信息技术有限公司
Inventor: 曹世杰
IPC: H04W4/70 , H04W12/122
Abstract: 本说明书实施例提供一种安全检测方法、装置及计算机设备,所述方法包括:由安全检测设备获取通信范围内各IoT终端发出的无线信号;利用获取的各IoT终端发出的无线信号,识别是否有多个IoT终端出现风险数据暗道,根据识别结果确定是否存在异常的IoT终端;其中,所述风险数据暗道包括:多个IoT终端向同一异常目的地址发送同类风险数据的行为具有相匹配的时间特征。
-
公开(公告)号:CN112583819A
公开(公告)日:2021-03-30
申请号:CN202011446061.2
申请日:2020-12-08
Applicant: 支付宝(杭州)信息技术有限公司
Inventor: 曹世杰
IPC: H04L29/06
Abstract: 本说明书实施例公开了一种网络接口状态检测方法、装置及设备,该方法包括:获取处于上线状态的第一网络接口的标识;确定第一网络接口标识在预设时段内对应的流量信息;根据该流量信息,计算第一网络接口的无流量在线时长;如果某个网络接口的无流量在线时长达到设定生命周期且传输过敏感信息时,确定该网络接口处于需下线状态,对该网络接口进行下线处理。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.04 seconds)
