Способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей

Авторы патента:

G06F17/27 - автоматический анализ, например, синтаксический разбор, коррекция орфографических ошибок

G06F11/00 - Обнаружение ошибок, исправление ошибок; контроль (способы или устройства для контроля правильности записи на носителе информации G06K 5/00; при накоплении информации, основанном на относительном перемещении носителя записи и преобразователя G11B, например G11B 20/18; в статических запоминающих устройствах G11C; кодирование, декодирование, или преобразование кода для обнаружения или исправления ошибок вообще H03M 13/00 )

Владельцы патента RU 2543960:

Открытое акционерное общество "КОНЦЕРН "СИСТЕМПРОМ" (RU)

Изобретение относится к области выявления программных ошибок и не декларируемых возможностей в веб-приложениях на интерпретируемых языках. Техническими результатами являются повышение числа потенциально обнаруживаемых уязвимостей веб-приложений, а также сокращение времени, необходимого для ручного анализа программных ошибок с целью определения их критичности. В способе определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей составляют список исходных текстов веб-приложений, предназначенных для формирования параметров тестирования, и задают параметры исходных текстов для тестирования. Проводят синтаксический анализ исходных текстов, используя заданные параметры, и добавляют опознавательные метки в исходные тексты с указанием пар метка-функция. Проводят автоматизированную проверку и поиск программных ошибок в веб-приложениях и получают при возникновении ошибки отладочную информацию в виде машинного кода, описывающего текущий исполняемый модуль и содержащего имя соответствующей метки. Определяют по этой метке соответствующую пару метка-функция и получают название уязвимой функции, а также полное имя модуля, содержащего уязвимую функцию. 2 з.п. ф-лы.

Областью применения, к которой относится изобретение, является выявление программных ошибок и не декларируемых возможностей в веб-приложениях на интерпретируемых языках.

В настоящее время особо острой проблемой является проверка приложений на уязвимости и не декларируемые возможности. Ошибки в коде приложений могут приводить к различным последствиям, от отказа системы, в которой предполагается использование приложения, до выполнения злонамеренного кода, компрометирующего целевую систему. Наилучшим способом ограничить число подобных ошибок является проведение тестирования на ранних этапах жизненного цикла системы.

Известен способ определения уязвимых функций для тестирования исполняемых файлов методом фаззинга [1], при котором на вход системы подают заранее сформированные некорректные данные. В случае если происходит системная ошибка, например, «состязание условий» - ошибка программирования многозадачной системы, при которой работа системы зависит от того, в каком порядке поступают на обработку различные процессы, параллельно выполняющиеся в системе [2], тестирование считается проведенным успешно.

Известный способ определения уязвимых функций позволяет обнаруживать программные ошибки в исполняемых файлах, имеющих компилируемый код.

Однако известный способ определения уязвимых функций не позволяет однозначно выявить имя уязвимой функции и определить модуль, в котором она находится. Кроме того, известный способ невозможно использовать для не компилируемых, а интерпретируемых кодов, например, web-приложений или приложений JAVA.

Технический результат состоит в точном определении названия уязвимой функции интерпретируемого кода (в определении имени исполняемого модуля, которому принадлежит уязвимая функция и определении названия функции в исходном коде веб-приложения на интерпретируемом языке).

Для достижения указанного технического результата в способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей введены следующие последовательно выполняемые операции: составляют список исходных текстов веб-приложений, предназначенных для формирования параметров тестирования, задают параметры исходных текстов веб-приложений для тестирования, проводят синтаксический анализ исходных текстов веб-приложений, написанных на интерпретируемых языках, используя заданные параметры, добавляют опознавательные метки в исходные тексты веб-приложений с указанием пар метка-функция, проводят автоматизированную проверку и поиск программных ошибок в веб-приложениях, получают при возникновении программной ошибки отладочную информацию в виде машинного кода, описывающего текущий исполняемый модуль и содержащего имя соответствующей опознавательной метки, определяют по имени соответствующей опознавательной метки, находящейся в отладочной информации, соответствующую пару метка-функция и получают название уязвимой функции, а также полное имя модуля, содержащего уязвимую функцию.

В предпочтительном варианте воплощения предлагаемого способа определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей дополнительно формируют и выдают пользователю предупреждение, содержащее название уязвимой функции и полное имя модуля, в котором находится уязвимая функция. При этом указанное предупреждение пользователю выдают посредством HTTP протокола. Кроме того, после получения полного имени модуля, содержащего уязвимую функцию, формируют отчет о проверке, включающий, по меньшей мере, время проверки и полное имя модуля, содержащего уязвимую функцию.

Предлагаемый способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей обеспечивает получение с применением методики фаззинга информации об уязвимой функции, в которой произошел сбой тестируемого веб-приложения, и модуля, в котором она находится, за счет вставки контрольных меток в исходные тексты тестируемых приложений с последующим автоматическим анализом места сбоя. Это и обеспечивает положительный технический результат - точное определение названия уязвимой функции интерпретируемого кода. В результате предотвращается возможность получения несанкционированного доступа к ресурсам информационной системы за счет использования уязвимостей в веб-приложениях. При этом объектом тестирования могут быть локальный сервер, удаленный сервер или Java-апплет.

Процесс автоматизированного поиска уязвимостей является сложным, однако, в общем случае его возможно разделить на следующие этапы: подготовка исходных текстов веб-приложений, проведение тестирования исполняемых файлов методом фаззинга, анализ полученных результатов.

Предлагаемый способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей предусматривает выполнение следующих последовательно выполняемых операций:

составляют список исходных текстов веб-приложений, предназначенных для формирования параметров тестирования (например, различных блоков сетевых протоколов, позволяющих осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами [3] с заведомо неверными данными);

задают параметры исходных текстов веб-приложений для тестирования (например, глубину анализа, задание исключений при выборе функций, расширенные поля файловых форматов и т.д.);

проводят синтаксический анализ - процесс сопоставления линейной последовательности лексем естественного или формального языка с его грамматикой - исходных текстов веб-приложений, написанных на интерпретируемых языках, используя заданные параметры;

добавляют опознавательные метки в исходные тексты веб-приложений с указанием пар метка-функция (путем сопоставления функций исходного кода с опознавательными метками, помогающими выявить место возникновения ошибки с указанием названия уязвимой функции, например, если веб-приложение написано на языке JAVA, то для понимания интерпретатором JAVA необходимо скомпилировать исходные тексты в специально сформированный байт-код с помощью компилятора JAVA 4);

проводят автоматизированную проверку и поиск программных ошибок в веб-приложениях (тестирование осуществляют на локальном веб-сервере и/или на удаленном веб-сервере, которые выполняют программу в соответствии с заданными параметрами);

получают при возникновении программной ошибки отладочную информацию в виде машинного кода, описывающего текущий исполняемый модуль и содержащего имя соответствующей опознавательной метки;

определяют по имени соответствующей опознавательной метки, находящейся в отладочной информации, соответствующую пару метка-функция

и получают название уязвимой функции, а также полное имя модуля, содержащего уязвимую функцию.

При использовании предлагаемого способа определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей при возникновении программной ошибки возможно принять решение о проведении дальнейшего тестирования и/или об оповещении пользователя.

В последнем случае формируют и выдают пользователю предупреждение, содержащее название уязвимой функции и полное имя модуля, в котором находится уязвимая функция.

В одном из вариантов реализации предлагаемого способа определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей предупреждение пользователю выдают посредством HTTP протокола.

Кроме того, в предпочтительном варианте воплощения предлагаемого способа определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей после получения полного имени модуля, содержащего уязвимую функцию, формируют отчет о проверке, включающий, по меньшей мере, время проверки и полное имя модуля, содержащего уязвимую функцию.

При использовании предлагаемого способа определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей обеспечивается автоматическое точное определение названия уязвимой функции интерпретируемого кода в момент совершения программной ошибки в ходе проведения тестирования веб-приложений, что позволяет повысить число потенциально обнаруживаемых уязвимостей веб-приложений, а также сократить время, необходимое для ручного анализа программных ошибок, с целью определения их критичности за счет уменьшения временных затрат на изучение всех текстов исходного кода с целью выявления уязвимой функции.

Литература

1. Саттон М., Грин А., Амини П. Fuzzing: исследование уязвимостей методом грубой силы. - Пер. с англ. - СПб.: Символ-Плюс, 2009.

2. Интернет-Университет Информационных Технологий [Электронный ресурс] Лекция: Алгоритмы синхронизации: Режим доступа: http://www.intuit.ru/department/os/osintro/5/osintro_5.html свободный. - (дата обращения: 11.03.2013).

3. Альфред В. Ахо, Моника С. Лам, Рави Сети, Джеффри Д. Ульман. Компиляторы: принципы, технологии и инструментарий = Compilers: Principles, Techniques, and Tools. - 2-е изд. - M.: Вильямс, 2008.

1. Способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и не декларируемых возможностей, заключающийся в том, что составляют список исходных текстов веб-приложений, предназначенных для формирования параметров тестирования, задают параметры исходных текстов веб-приложений для тестирования, проводят синтаксический анализ исходных текстов веб-приложений, написанных на интерпретируемых языках, используя заданные параметры, добавляют опознавательные метки в исходные тексты веб-приложений с указанием пар метка-функция, проводят автоматизированную проверку и поиск программных ошибок в веб-приложениях, получают при возникновении программной ошибки отладочную информацию в виде машинного кода, описывающего текущий исполняемый модуль и содержащего имя соответствующей опознавательной метки, определяют по имени соответствующей опознавательной метки, находящейся в отладочной информации, соответствующую пару метка-функция и получают название уязвимой функции, а также полное имя модуля, содержащего уязвимую функцию.

2. Способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и недекларируемых возможностей по п.1, отличающийся тем, что предупреждение пользователю выдают посредством HTTP протокола.

3. Способ определения уязвимых функций при автоматизированной проверке веб-приложений на наличие уязвимостей и недекларируемых возможностей по п.1, отличающийся тем, что после получения полного имени модуля, содержащего уязвимую функцию, формируют отчет о проверке, включающий, по меньшей мере, время проверки, полное имя модуля, содержащего уязвимую функцию.

Изобретение относится к области информационных технологий. Техническим результатом является ускорение процесса сравнения текстов.

Способ автоматизированного семантического сравнения текстов на естественном языке // 2538303

Изобретение относится к области информационных технологий. Технический результат заключается в ускорении процесса сравнения текстов.

Способ генерирования синтаксически и семантически верных команд // 2534823

Заявленная группа изобретений относится к решениям в области систем управления базами данных (СУБД). Техническим результатом является обеспечение автоматизации и повышение точности генерирования команд СУБД и снижение объема вычислений, требуемого для генерирования команд СУБД.

Способ автоматизированной семантической индексации текста на естественном языке // 2518946

Изобретение относится к области информационных технологий, а именно к индексации текста. Техническим результатом является повышение точности построения индексов текстов на естественных языках.

Способ синтаксического анализа языка программирования с расширяемой грамматикой // 2515684

Изобретение относится к способам синтаксического анализа языков программирования высокого уровня и может найти применение для создания компиляторов и/или интерпретаторов языков программирования с изменяемой (расширяемой) грамматикой, предназначенных для создания проблемно-ориентированных языков.

Способ семантической обработки естественного языка с использованием графического языка-посредника // 2509350

Изобретение относится к способу обработки естественного языка с использованием системы языковой обработки, в частности, электронной системы перевода, в котором письменный или устный текст вводится в систему языковой обработки.

Способ классификации документов по категориям // 2491622

Изобретение относится к способу классификации документов по категориям. .

Идентификация семантических взаимоотношений в косвенной речи // 2488877

Способ построения семантической модели документа // 2487403

Изобретение относится к области обработки данных при семантическом анализе текстовых данных и построении семантической модели документов. .

Механизм динамического синтаксического анализа/компоновки на основе схем для синтаксического анализа мультиформатных сообщений // 2429533

Изобретение относится к области обработки данных, а более конкретно к высокопроизводительному и при этом очень гибкому механизму синтаксического анализа/компоновки.

Способ кодовой цикловой синхронизации блоков информации для диапазона фиксированных скоростей работы в канале связи // 2542669

Изобретение относится к технике связи и может быть использовано в системах передачи помехоустойчивой информации, в которых применяются корректирующие, в частности, каскадные коды.

Система и способ автоматической обработки системных ошибок программного обеспечения // 2521265

Изобретение относится к области обработки ошибок, возникающих при работе программного обеспечения. Технический результат настоящего изобретения заключается в повышении эффективности обработки ошибок, возникающих при исполнении кода программы в компьютерной системе.

Способ определения нарушений и исправления нарушенных кодов разрядов числа при кодировании "1 из 4" // 2517717

Изобретение относится к вычислительной технике, технике связи и может быть использовано для построения вычислительных средств и средств связи в системах управления и обработки информации.

Способ обеспечения целостности передаваемой информации // 2513725

Изобретение относится к области исправления ошибок на приемной стороне в системах связи. Техническим результатом является повышение эффективности приема передаваемой информации при учете вероятности модификации передаваемой информации.

Способ обнаружения вредоносного программного обеспечения в ядре операционной системы // 2510075

Изобретение относится к вычислительной технике и к обеспечению информационной безопасности автоматизированных и информационно-вычислительных систем, в частности к средствам обнаружения вредоносного программного обеспечения (ПО).

Система автоматизированного контроля работоспособности и диагностки неисправностей радиоэлектронной аппаратуры // 2504828

Изобретение относится к области измерительной техники и технической диагностики, в частности к устройствам контроля работоспособности и диагностики неисправностей радиоэлектронной аппаратуры.

Самоконтролируемый автомат // 2502121

Изобретение относится к вычислительной технике. Технический результат заключается в повышении точности самоконтролируемости.

Способ тестопригодности реализации логических преобразователей // 2497182

Изобретение относится к области автоматики и цифровой вычислительной техники. Технический результат заключается в повышении надежности функционирования тестопригодных логических преобразователей.

Система и способ формирования записей для обнаружения программного обеспечения // 2491615

Устройство перестановок и сдвигов битов данных в микропроцессорах // 2488161

Изобретение относится к средствам перестановок и сдвигов битов данных в микропроцессорах. .

Устройство для контроля эвм // 2547232

Изобретение относится к области автоматики и вычислительной техники и может быть использовано в вычислительных структурах, функционирующих в модулярной системе счисления. Техническим результатом является уменьшение количества используемого оборудования за счет использования блоков сложения чисел по модулю для проведения вычислений и контроля операции сложения по младшему модулю. Устройство содержит: блоки сравнения, две группы мультиплексоров, группу блоков сложения чисел по модулю, группу демультиплексоров, группу регистров, три группы блоков элементов И, группу блоков сложения с константой по модулю, три группы блоков свертки по модулю, группу блоков элементов ИЛИ, блок элементов И, группу элементов НЕ, группу триггеров и связи между ними. 5 ил.