公开(公告)号：CN106709355A

公开(公告)日：2017-05-24

申请号：CN201611042327.0

申请日：2016-11-21

Applicant: 南开大学 ,  国网天津市电力公司信息通信公司

Inventor： 许静 ,  文硕 ,  朱静雯 ,  过辰楷 ,  魏大鹏 ,  康介恢 ,  王扬

IPC: G06F21/57 ,  G06F17/30

CPC classification number: G06F21/577 ,  G06F16/284

Abstract: 一种基于交互数据采集的Web应用程序访问操作提取方法，该方法首先设计了一种交互数据采集算法，该算法遍历Web应用程序中不同角色下的不同用户的合法操作，捕获和解析用户、Web应用程序端与数据库端之间的交互数据。在此基础上，对Web应用程序可能采用的关系型数据库与MongoDB数据库操作分别解析，并得到写访问操作，然后使用纵向匹配和横向匹配方法解析读访问操作，得到完整的Web应用程序访问操作。本发明方法适用范围广，对采用不同类型数据库的Web应用程序均适用，且可作为自动推导Web应用程序预期访问控制机制的基础，检测Web应用程序访问控制漏洞，可以用于Web应用程序访问控制策略生成和访问控制漏洞检测领域。

公开(公告)号：CN106874194A

公开(公告)日：2017-06-20

申请号：CN201710017701.X

申请日：2017-01-10

Applicant: 南开大学 ,  国网天津市电力公司信息通信公司

Inventor： 许静 ,  文硕 ,  徐亦凡 ,  过辰楷 ,  魏大鹏 ,  张彪 ,  王扬

IPC: G06F11/36

Abstract: 一种基于策略推导的web应用程序访问控制漏洞测试用例生成方法，该方法针对Web应用程序的访问控制模型，提出一种基于策略推导的测试用例生成方法。此方法从角色和用户两个级别发现对应的授权操作集合，推导Web应用程序的访问控制策略，并利用推导所得访问控制策略生成合法与非法两类测试用例。其中，合法用例用以对推导所得策略的正确性进行验证，非法用例通过违背授权约束生成，用以检测Web应用程序的访问控制漏洞。本发明方法能够全面检测各类访问控制漏洞，弥补了重定向后运行漏洞的检测空缺，并有效的精简测试用例的数量，大大提高分析效率。