公开(公告)号：CN106971109A

公开(公告)日：2017-07-21

申请号：CN201710181996.4

申请日：2017-03-24

Applicant: 南开大学

Inventor： 过辰楷 ,  孙晓卉 ,  朱静雯 ,  徐亦凡 ,  康介恢 ,  许静

IPC: G06F21/57

CPC classification number: G06F21/577 ,  G06F2221/033

Abstract: 本发明公开了一种基于指标权重的漏洞挖掘方法的评估策略，该策略首先定义了漏洞挖掘方法的评估体系，然后将AHP层次分析法应用于由漏洞挖掘方法评估体系映射而来的层次结构中，根据不同评估指标对漏洞挖掘方法效果的影响构造判断矩阵，进行层次单排序，通过一致性判断方法检验所得到的各级指标权重与实际权重是否相符合，进而计算漏洞挖掘方法的整体评分，根据定量计算的评分结果得到漏洞挖掘方法的定性结果。本发明综合各种评估指标对漏洞挖掘方法进行评估，为漏洞挖掘人员选择适合的方法提供了较为全面的参考，具有系统性和完备性，可以用于漏洞挖掘方法评估的技术领域。

公开(公告)号：CN106874194A

公开(公告)日：2017-06-20

申请号：CN201710017701.X

申请日：2017-01-10

Applicant: 南开大学 ,  国网天津市电力公司信息通信公司

Inventor： 许静 ,  文硕 ,  徐亦凡 ,  过辰楷 ,  魏大鹏 ,  张彪 ,  王扬

IPC: G06F11/36

Abstract: 一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法，该方法针对Web应用程序的访问控制模型，提出一种基于策略推导的测试用例生成方法。此方法从角色和用户两个级别发现对应的授权操作集合，推导Web应用程序的访问控制策略，并利用推导所得访问控制策略生成合法与非法两类测试用例。其中，合法用例用以对推导所得策略的正确性进行验证，非法用例通过违背授权约束生成，用以检测Web应用程序的访问控制漏洞。本发明方法能够全面检测各类访问控制漏洞，弥补了重定向后运行漏洞的检测空缺，并有效的精简测试用例的数量，大大提高分析效率。