“范丙华”申请（专利权）人搜索_中国专利权人_发明人_技术持有人_科研专家_钻瓜专利网

钻瓜专利网为您找到相关结果24个，建议您升级VIP下载更多相关专利

[发明专利]一种漏洞防御方法、系统、服务器及存储介质-CN202211407766.2有效
发明人： 范丙华;徐锋;王凯翔 -专利权人：杭州孝道科技有限公司
申请日： 2022-11-10 - 公布日： 2023-09-19 - 主分类号： G06F21/55 文献下载
摘要：本申请提供一种漏洞防御方法、系统、服务器及存储介质，方法包括：监控组件的风险函数；判断风险函数是否被触发，若风险函数被触发，基于钩子函数获取触发风险函数的操作请求，并获取与操作请求相对应的调用栈；获取与风险函数相对应的辅助定位函数，基于辅助定位函数判断调用栈是否符合风险函数所对应的组件漏洞利用时的调用链，若调用栈符合风险函数所对应的组件漏洞利用时的调用链，拦截操作请求，并上报与风险函数相对应的漏洞。本申请通过监控组件中的风险函数，仅需要通过判断被触发的风险函数所在的调用栈是否符合该组件漏洞利用时的代码调用链，即可高效准确地进行漏洞防御工作。
一种漏洞防御方法系统服务器存储介质

[发明专利]一种越权与未授权逻辑漏洞检测方法-CN202211376356.6有效
发明人： 范丙华;徐锋;夏山;应勇 -专利权人：杭州孝道科技有限公司
申请日： 2022-11-04 - 公布日： 2023-08-29 - 主分类号： G06F21/57 文献下载
摘要：本申请涉及一种越权与未授权逻辑漏洞检测方法，应用于计算机设备中，其中方法包括：获取请求包中身份认证参数；判断请求调用链中是否执行sql语句；若无，则不存在越权漏洞；否则，判断所述身份认证参数是否有进入鉴权函数处理；若未进入所述鉴权函数处理，则存在越权漏洞；否则，获取本次请求执行所述sql语句，并对所述sql语句进行语义分析；随后判断用户给定标识参数是否存在于所述sql语句字段中，若不存在，则不存在越权漏洞；否则，判断所述用户给定标识值是否为用户可控参数；若为所述用户可控参数，则存在越权漏洞；否则，不存在。本申请具有的技术效果是：既能检测越权漏洞，又能检测未授权逻辑漏洞，且减少对服务器资源消耗。
一种越权授权逻辑漏洞检测方法

[发明专利]一种账号枚举漏洞检测方法、系统及存储介质-CN202211376338.8有效
发明人： 范丙华;徐锋;陈伟煌;应勇 -专利权人：杭州孝道科技有限公司
申请日： 2022-11-04 - 公布日： 2023-08-04 - 主分类号： G06F21/57 文献下载
摘要：本申请涉及计算机的技术领域，尤其是涉及一种账号枚举漏洞检测方法、系统及存储介质，其包括获取待检测程序的检测接口和用户参数信息；在检测接口插入检测执行逻辑并定义为hook点；将hook点上的原始请求包内的用户参数信息替换为已存在测试账号的用户参数信息，将原始请求包内的其他参数替换为伪随机值，并生成第一验证响应包；将原始请求包内的所有参数替换为伪随机值，并生成第二验证响应包；判断第一验证响应包与第二验证响应包是否相同以获得第一结果；判断第一验证响应包或第二验证响应包与原始响应包是否相同以获得第二结果；根据第一结果和第二结果判断是否存在漏洞。本申请具有解决因依赖识别字典的关键字覆盖率而需要持续更新字典的效果。
一种账号枚举漏洞检测方法系统存储介质

[发明专利]一种针对Web请求进行安全检测的处理方法及装置-CN202310127455.9有效
发明人： 范丙华;应勇;徐锋;李涛;范笑奇 -专利权人：杭州孝道科技有限公司
申请日： 2023-02-17 - 公布日： 2023-05-16 - 主分类号： H04L9/40 文献下载
摘要：本申请提供一种针对Web请求进行安全检测的处理方法及装置，应用于服务器中，服务器获取第一Web应用请求，第一Web应用请求为至少一个被进行安全检测应用请求中任意一个Web应用请求；判断第一Web应用请求是否处于安全检测熔断状态；确定第一Web应用请求处于安全检测熔断状态，将第一Web应用请求设置为性能保护模式，性能保护模式用于表示插桩程序不再对所述第一Web应用请求中进行安全检测，以便于所述第一Web应用请求自动执行且不受所述插桩程序的影响。采用上述方法，通过设置对Web应用请求进行安全测试，当确定被测Web应用请求处于熔断状态时，即对该Web应用请求暂停安全检测，从而减少了插桩程序对Web应用请求进行检测时，对Web应用请求性能产生影响。
一种针对 web 请求进行安全检测处理方法装置

[发明专利]一种高性能的Iast外部检测方法、装置、电子设备及介质-CN202310131272.4在审
发明人： 范丙华;徐锋;沈伟;应勇 -专利权人：杭州孝道科技有限公司
申请日： 2023-02-17 - 公布日： 2023-05-09 - 主分类号： G06F21/57 文献下载
摘要：本申请涉及web应用安全检测的领域，尤其是涉及一种高性能的Iast外部检测方法、装置、电子设备及介质。方法包括：获取链路信息，基于链路点信息确定链路插入信息以及链路承接信息，基于链路通道信息确定数据通道信息以及数据解析信息，分别将链路插入信息以及链路承接信息进行信息关联绑定，得到链路关联信息，对链路关联信息进行信息筛查，得到应用程序信息，根据数据通道信息以及数据解析信息对应用程序信息进行解析，得到解析程序信息，控制显示解析程序信息，本申请具有降低对正常业务影响同时提高检测性能的效果。
一种性能 iast 外部检测方法装置电子设备介质

[发明专利]一种短信轰炸检测方法、系统、服务器及存储介质-CN202211637574.0有效
发明人： 范丙华;徐锋;应勇;舒俊 -专利权人：杭州孝道科技有限公司
申请日： 2022-12-20 - 公布日： 2023-04-07 - 主分类号： H04W12/128 文献下载
摘要：本申请提供一种短信轰炸检测方法、系统、服务器及存储介质，方法包括：获取用户的请求信息，判断请求信息是否产生流量，若是，基于请求信息获得请求信息触发的http请求和请求信息所对应的原始流量包，其中，原始流量包包括原始请求包和原始响应包；判断http请求中的请求头部是否指向设定API，若否，请求信息不是短信信息，不存在短信轰炸漏洞；否则，将原始流量包发送给扫描器，通过扫描器验证是否存在短信轰炸漏洞。本申请先通过被动检测到发送短信的流量包，然后再通过扫描器主动扫描检测漏洞是否存在，在不影响原本工作的前提下，获取到发送短信的数据包，实现对短信轰炸漏洞的检测。
一种短信轰炸检测方法系统服务器存储介质

[发明专利]基于屏蔽hook的污点分析方法、系统、存储介质及电子设备-CN202310130940.1在审
发明人： 范丙华;徐锋;熊奎;王剑锋;应勇 -专利权人：杭州孝道科技有限公司
申请日： 2023-02-17 - 公布日： 2023-03-28 - 主分类号： G06F21/57 文献下载
摘要：本申请实施例公开了一种基于屏蔽hook的污点分析方法、系统、存储介质及电子设备，其中，方法包括：获取在污点输入过程中的目标程序；对所述目标程序进行hook操作，得到若干个hook点变量；在污点分析的过程中，基于含有hook点变量类型集合的函数库判断所述若干个hook点变量的类型，得到判断结果，所述判断结果包括若干个屏蔽型hook点和若干个非屏蔽型hook点；基于判断结果，对所述若干个hook点变量处理并分析。采用本申请实施例，可以提升污点分析算法的效率。
基于屏蔽 hook 污点分析方法系统存储介质电子设备

[发明专利]账号锁定绕过逻辑漏洞检测方法、系统以及存储介质-CN202210902037.8有效
发明人： 范丙华;徐锋;应勇;王凯翔 -专利权人：杭州孝道科技有限公司
申请日： 2022-07-29 - 公布日： 2022-10-21 - 主分类号： G06F21/57 文献下载
摘要：本申请公开了一种账号锁定绕过逻辑漏洞检测方法、系统以及存储介质，所述方法包括：获取第一请求数据和第一响应信息；根据第一请求数据请求登陆，并获取第二响应信息，结合第一响应信息，判断是否存在验证码验证；将第一请求数据中的账号信息进行置错形成第二请求数据，根据第二请求数据，依次进行预设次数的请求登陆以获取账号锁定响应信息和第三请求数据；根据第三请求数据请求登陆，并获取第三响应信息，结合账号锁定响应信息，判断是否存在账号锁定绕过逻辑漏洞。该检测方法能够适应于验证码防护场景，并且避开对被测代码强依赖的类IAST检测模式，转而以渗透测试的方式直击该类漏洞本质，提高了账号锁定绕过逻辑漏洞检测的普适性。
账号锁定绕过逻辑漏洞检测方法系统以及存储介质

[发明专利]污点数据跟踪方法、装置、电子装置和存储介质-CN202210460917.4在审
发明人： 范丙华;汤志赠;应勇 -专利权人：杭州孝道科技有限公司
申请日： 2022-04-28 - 公布日： 2022-08-12 - 主分类号： G06F21/55 文献下载
摘要：本申请涉及一种污点数据跟踪方法、装置、电子装置和存储介质，其中，该污点数据跟踪方法包括：步骤S210，对被检测应用中的方法函数进行插桩处理，方法函数包括函数规则已被收集的第一方法函数和函数规则未被收集的第二方法函数；步骤S220，获取污点数据在方法函数中的数据流向；步骤S230，根据数据流向，确定污点数据在被检测应用中的传播链路。通过本申请，解决了现有污点跟踪技术中存在的易出现跟踪链路中断的问题，实现了稳定跟踪污点数据的效果，提高了污点跟踪的覆盖率。
污点数据跟踪方法装置电子存储介质

[发明专利]基于GO语言的注入式污点数据跟踪方法、装置和电子装置-CN202210460933.3在审
发明人： 范丙华;徐锋;熊奎 -专利权人：杭州孝道科技有限公司
申请日： 2022-04-28 - 公布日： 2022-07-15 - 主分类号： G06F21/57 文献下载
摘要：本申请涉及一种基于GO语言的注入式污点数据跟踪方法、装置、电子装置和存储介质，其中，该基于GO语言的注入式污点数据跟踪方法包括：获取被检测应用的ELF表，通过查询所述ELF表获取被检测应用的构建信息，并从所述构建信息中获取用于构建所述被检测应用的方法函数的地址信息；根据所述方法函数的地址信息，通过预先注入至所述被检测应用中的预设函数结构获取所述方法函数处理污点数据时的输入数据和输出数据；对获取到的所述方法函数的输入数据和输出数据进行标记。通过本申请，解决了现有技术中编译型污点跟踪技术存在的使用前准备工作比较繁琐麻烦，影响用户的使用体验的问题，提供了一种新的基于GO语言的注入式污点数据跟踪方法。
基于 go 语言注入污点数据跟踪方法装置电子

[发明专利]一种路径遍历漏洞检测方法-CN202111086623.1在审
发明人： 范丙华;徐锋;刘永瑞 -专利权人：杭州孝道科技有限公司
申请日： 2021-09-16 - 公布日： 2021-12-31 - 主分类号： G06F21/57 文献下载
摘要：本发明公开了一种路径遍历漏洞检测方法，包括以下步骤：步骤一：通过字节码增强方法对Java EE程序进行程序的插桩；步骤二：插桩程序跟踪Java EE程序从外部获取的数据在程序内部的传播途径；步骤三：当插桩程序发现外部数据未经过安全过滤方法直接传播至路径遍历风险方法时，将会进行漏洞检测逻辑判断；当插桩程序发现外部数据经过安全过滤方法传播，则判断认为漏洞不存在。本发明通过在Java EE程序运行时能实时跟踪应用程序运行时的数据流向，能够检测出漏洞的真实形成过程及其具体代码位置，做到在线实时、全面精确的漏洞检测。同时，可通过对不同场景下污点的传播路径进行分析，判断出漏洞是否存在并分别给出漏洞可能存在的利用危害。
一种路径遍历漏洞检测方法

[发明专利]一种基于Java语言的接口用例提取方法-CN202111139870.3在审
发明人： 范丙华;徐锋;刘永瑞;王剑锋 -专利权人：杭州孝道科技有限公司
申请日： 2021-09-28 - 公布日： 2021-12-31 - 主分类号： G06F11/36 文献下载
摘要：本发明公开了一种一种基于Java语言的接口用例提取方法，包括以下步骤：步骤一：读取接口用例数据列后将接口用例数据列分离；步骤二：获取分离后的接口用例数据，定义接口用例数据提取方法并进行提取接口用例数据；步骤三：执行提取后的接口用例数据。本发明由于基于Restful风格的API接口一般较少变动，更多的是字段的增加或减少，这时接口用例数据列有多条接口用例测试数据，通过分离用例数据、提取用例数据方法来得到多条接口测试用例，自动化执行，可以有效降低自动化用例的维护成本。
一种基于 java 语言接口提取方法

[发明专利]一种基于执行程序插桩的web应用API查找方法-CN202111003206.6在审
发明人： 范丙华;徐锋;熊奎 -专利权人：杭州孝道科技有限公司
申请日： 2021-08-30 - 公布日： 2021-12-07 - 主分类号： G06F11/36 文献下载
摘要：本发明公开了一种基于执行程序插桩的web应用API查找方法，包括以下步骤：步骤一：对框架储存API对象的方法进行插桩，web应用启动时，框架扫描应用的API并将扫描到的API转换成API对象进行储存；步骤二：框架调用储存的API对象的方法时，插桩的程序同时被调用，通过插桩的程序获得框架储存的API对象；步骤三：将API对象进行转化，获得通用格式的API信息。本发明能更好的对测试结果归类，可以将同一个API的漏洞归到一起，且能实时的对测试进度和测试全面性进行统计，同时对于利用大量的流量进行漏洞检测型产品，API查找可以帮助其对重复和冗余的流量进行过滤，进而提升其测试精度和测试效率。
一种基于执行程序 web 应用 api 查找方法

[发明专利]一种基于PHP扩展的PHP Web应用程序漏洞检测方法及其存储介质-CN202110577039.X在审
发明人： 范丙华;刘永瑞;徐锋 -专利权人：杭州孝道科技有限公司
申请日： 2021-05-26 - 公布日： 2021-09-21 - 主分类号： G06F21/57 文献下载
摘要：本发明公开了一种基于PHP扩展的PHP Web应用程序漏洞检测方法及其存储介质，包括以下内容：函数插桩：PHP扩展对应用程序中的PHP函数进行插桩；污点标记：将PHP变量结构中未被使用的标记位来记录是否被污染；污点跟踪：PHP扩展对插桩的PHP函数进行监控，根据PHP函数中数据传播逻辑，进行污点标记跟踪；漏洞检测：判断外部数据在传入风险函数前是否经过安全检查函数，若未经过安全检查函数，则判断存在安全漏洞，若经过安全检查函数，则判断无安全漏洞。本发明实时跟踪应用程序运行时的数据流向，能够检测出漏洞的真实形成过程及其具体代码位置，做到在线实时、全面精确的漏洞检测。
一种基于 php 扩展 web 应用程序漏洞检测方法及其存储介质

[发明专利]一种跨应用的动态污点跟踪方法-CN202110468520.5在审
发明人： 范丙华;汤志赠;徐锋;熊奎 -专利权人：杭州孝道科技有限公司
申请日： 2021-04-28 - 公布日： 2021-08-06 - 主分类号： G06F11/30 文献下载
摘要：本发明公开了一种跨应用的动态污点跟踪方法，包括以下步骤：步骤一：对被检测的应用中的应用行为进行插桩，被检测的应用使用应用行为时，插桩程序获得应用行为数据；步骤二：判断应用行为数据是否含有污染数据，若有，则提取污染数据坐标信息并进行标记；步骤三：另一应用接收到应用行为后，判断应用行为中是否存在污染数据坐标信息的标记信息，若存在其提取并获得污染数据坐标信息；步骤四：对污染数据坐标信息进行跟踪。本发明在应用之间的http报文头里加入污点跟踪信息域，单个应用在接收到请求后解析污点跟踪信息域，从中提取污染数据的标记和跟踪信息，从而在该应用中继续跟踪污染数据的传播。
一种应用动态污点跟踪方法

1
2
下一页»
尾页
共 24 条