公开(公告)号：CN113591073B

公开(公告)日：2023-10-13

申请号：CN202110653172.9

申请日：2021-06-11

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  邱凯丽 ,  刘潮歌 ,  王晓茜 ,  谭儒 ,  代峰

IPC: G06F21/55 ,  G06F21/57

Abstract: 本发明公开了一种Web API安全威胁发现方法及装置，包括依据若干API接口文档中提取出的关键信息，组成若干API操作，并对各API操作进行依赖关系确定，生成API操作序列；根据收集的攻击载荷、不同安全威胁的漏洞检测特征及针对不同安全威胁的漏洞注入点，构建漏洞库；从漏洞库中选择攻击载荷，并根据对应的漏洞注入点，对API操作序列进行载荷装配，得到测试用例；结合漏洞库中的漏洞检测特征分析测试用例响应结果，得到该测试用例的安全威胁发现结果。本发明通过生成API操作序列来达到对API的深层访问，覆盖更多的应用业务检测，同时在漏洞检测方面设计了多种响应结果分析方法，对多种安全风险能够进行有效检测，提高了WebAPI安全风险的检测效果。

公开(公告)号：CN113591073A

公开(公告)日：2021-11-02

申请号：CN202110653172.9

申请日：2021-06-11

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  邱凯丽 ,  刘潮歌 ,  王晓茜 ,  谭儒 ,  代峰

IPC: G06F21/55 ,  G06F21/57

Abstract: 本发明公开了一种Web API安全威胁发现方法及装置，包括依据若干API接口文档中提取出的关键信息，组成若干API操作，并对各API操作进行依赖关系确定，生成API操作序列；根据收集的攻击载荷、不同安全威胁的漏洞检测特征及针对不同安全威胁的漏洞注入点，构建漏洞库；从漏洞库中选择攻击载荷，并根据对应的漏洞注入点，对API操作序列进行载荷装配，得到测试用例；结合漏洞库中的漏洞检测特征分析测试用例响应结果，得到该测试用例的安全威胁发现结果。本发明通过生成API操作序列来达到对API的深层访问，覆盖更多的应用业务检测，同时在漏洞检测方面设计了多种响应结果分析方法，对多种安全风险能够进行有效检测，提高了WebAPI安全风险的检测效果。