公开(公告)号：CN117272324A

公开(公告)日：2023-12-22

申请号：CN202311280294.3

申请日：2023-09-28

Applicant: 北京华宇信息技术有限公司

Inventor： 郑顺东 ,  张创伟 ,  代志杰 ,  韩芳 ,  刘珍珍

IPC: G06F21/57

Abstract: 本申请实施例提供一种未授权访问漏洞检测方法、装置、电子设备及存储介质。在本实施例中，不同于第三方扫描软件普遍采用字典爆破方式进行漏洞检测，部署在中间件中未授权访问漏洞检测装置对应用的API进行未授权访问漏洞检测时，加载部署在中间件上应用程序的代码资源；分析应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；利用目标解析器对应用程序的代码资源进行解析，得到应用的至少一个应用程序接口API的接口信息；针对至少一个API中的每个API，基于API的接口信息向API发送请求报文，并获取API响应请求报文返回的响应报文；根据响应报文确定API是否存在未授权访问漏洞。由此，能够有效提高未授权访问漏洞的检测准确度和检测效率。

公开(公告)号：CN112738091B

公开(公告)日：2022-11-29

申请号：CN202011591587.X

申请日：2020-12-29

Applicant: 北京华宇信息技术有限公司

Inventor： 郑顺东 ,  张创伟 ,  鲍宁 ,  黄福林 ,  米坤

IPC: H04L9/40 ,  H04L67/288

Abstract: 本申请公开了一种中间件控制台与中间件服务器交互方法及装置，实现了中间件控制台与中间件服务器一对多的交互方式。其中，一种中间件控制台与中间件服务器交互方法，包括以下步骤：接收中间件控制台的第一交互请求；根据所述第一交互请求，校验中间件控制台是否具有访问权限；当中间件控制台具有访问权限，生成第一响应信息；发送所述第一响应信息至所述中间件控制台；根据所述第一交互请求，选择远程接口，获取所述第一指令；根据所述第一指令，校验所述访问端是否具有操作权限；当访问端具有操作权限，执行第一指令，并根据执行结果生成第二响应数据；发送第二响应数据至中间件控制台，以便中间件控制台与访问端交互信息。

公开(公告)号：CN116132110A

公开(公告)日：2023-05-16

申请号：CN202211634274.7

申请日：2022-12-19

Applicant: 北京华宇信息技术有限公司

Inventor： 代志杰 ,  张创伟 ,  郑顺东 ,  王雅静 ,  应志红

IPC: H04L9/40

Abstract: 本申请公开了一种基于应用中间件的防护方法及系统，用以解决基于应用中间件的防护准确率较低的技术问题。其中，一种基于应用中间件的防护方案，采用应用中间件对Web应用程序的应用程序接口进行监控，对访问对象的访问请求进行防护检测，无须特意部署接口服务，降低了本方案的实施成本。并且，应用中间件的关注对象始终为恶意攻击的核心原理——执行代码中的动作属性，使得本方案的适用广泛。在面对最新出现的未知漏洞攻击，难以及时应对的技术问题时，也仅需补充相应的敏感动作属性，提高了应对速度。

公开(公告)号：CN112738091A

公开(公告)日：2021-04-30

申请号：CN202011591587.X

申请日：2020-12-29

Applicant: 北京华宇信息技术有限公司

Inventor： 郑顺东 ,  张创伟 ,  鲍宁 ,  黄福林 ,  米坤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本申请公开了一种中间件控制台与中间件服务器交互方法及装置，实现了中间件控制台与中间件服务器一对多的交互方式。其中，一种中间件控制台与中间件服务器交互方法，包括以下步骤：接收中间件控制台的第一交互请求；根据所述第一交互请求，校验中间件控制台是否具有访问权限；当中间件控制台具有访问权限，生成第一响应信息；发送所述第一响应信息至所述中间件控制台；根据所述第一交互请求，选择远程接口，获取所述第一指令；根据所述第一指令，校验所述访问端是否具有操作权限；当访问端具有操作权限，执行第一指令，并根据执行结果生成第二响应数据；发送第二响应数据至中间件控制台，以便中间件控制台与访问端交互信息。

公开(公告)号：CN113037480A

公开(公告)日：2021-06-25

申请号：CN202110318921.2

申请日：2021-03-25

Applicant: 北京华宇信息技术有限公司

Inventor： 郑顺东 ,  张创伟 ,  孙明东 ,  鲍宁 ,  米坤

IPC: H04L9/08 ,  H04L29/06 ,  H04L29/08

Abstract: 本申请公开了一种基于JSSE的国密加密通信方法及其装置、存储介质。其中所述方法，包括：接收客户端的握手请求；通过JSSE目标服务端解析所述握手请求，生成握手信息；匹配JSSE目标服务端中预设的国密信息和所述握手信息，得到匹配结果；当匹配结果符合国密通信条件时，通过重构的JSSE握手过程逻辑继续进行握手操作，和客户端建立握手关系；所述客户端和所述目标服务端握手，以便后续进行加密通信；其中，所述预设的国密信息包括预先在JSSE的协议版本中扩展的国密版本号和预先在JSSE密码套件中扩展的符合国密规范的密码套件。通过对客户端的握手请求进行相应的处理并返还相应的响应数据，实现了基于JSSE的国密加密通信。

公开(公告)号：CN117271356A

公开(公告)日：2023-12-22

申请号：CN202311309541.8

申请日：2023-10-10

Applicant: 北京华宇信息技术有限公司

Inventor： 代志杰 ,  张创伟 ,  郑顺东 ,  韩芳 ,  刘珍珍

IPC: G06F11/36

Abstract: 本申请提供一种开发阶段的文件检查方法及装置，用于解决开发阶段现有的文件检查项单一、全面性差的技术问题。其中，一种开发阶段的文件检查方法，包括：获取待检查文件；根据待检查文件，确定待检查文件的文件类型；根据待检查文件的文件类型，匹配待检查文件的预设项目基准；解析待检查文件，得到解析项目结果；将解析项目结果与所述预设项目基准进行匹配，生成检查结果。根据待检查文件的文件类型，匹配对应的预设项目基准，使得所有待检查的文件都进行专项检查，使得文件检查更加全面，加快开发进程。