WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2006081459) SYSTEM FOR DETECTING VULNERABILITIES IN WEB APPLICATIONS USING CLIENT-SIDE APPLICATION INTERFACES
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2006/081459    International Application No.:    PCT/US2006/003003
Publication Date: 03.08.2006 International Filing Date: 25.01.2006
IPC:
G06F 11/00 (2006.01)
Applicants: WHITEHAT SECURITY, INC. [US/US]; 3003 Bunker Hill Lane, Suite 106, Santa Clara, CA 95054-1144 (US) (For All Designated States Except US).
PENNINGTON, Bill [US/US]; (US) (For US Only).
GROSSMAN, Jeremiah [US/US]; (US) (For US Only).
STONE, Robert [US/US]; (US) (For US Only).
PAZIRANDEH, Siamak [US/US]; (US) (For US Only)
Inventors: PENNINGTON, Bill; (US).
GROSSMAN, Jeremiah; (US).
STONE, Robert; (US).
PAZIRANDEH, Siamak; (US)
Agent: SULLIVAN, C., Bart; Townsend and Townsend and Crew LLP, 2 Embarcadero Center, 8th Floor, San Francisco, CA 94111 (US)
Priority Data:
60/647,181 25.01.2005 US
11/339,373 24.01.2006 US
Title (EN) SYSTEM FOR DETECTING VULNERABILITIES IN WEB APPLICATIONS USING CLIENT-SIDE APPLICATION INTERFACES
(FR) SYSTEME POUR DETECTER DES VULNERABILITES DANS DES APPLICATIONS WEB AU MOYEN D'INTERFACES D'APPLICATION COTE CLIENT
Abstract: front page image
(EN)An improved method and apparatus for client-side web application analysis is provided. Client-side web application analysis involves determining and testing, using client-side application interfaces and the like, data input points and analyzing client requests and server responses. In one embodiment, a security vulnerability analyzer is employed to analyze web page content for client-side application files, such as Flash files and Java applets, extract web addresses and data parameters embedded in the client-side application file, and modify the data parameters according to user-defined test criteria. The modified data parameters are transmitted as part of a request to a respective web server used to service the client-side application files. The security vulnerability analyzer analyzes the response from the server to ascertain if there are any security vulnerabilities associated with the interface between the client-side application file and the web server.
(FR)La présente invention concerne un procédé amélioré et un appareil permettant une analyse d'application Web côté client. Cette analyse d'application Web côté client consiste à déterminer et à tester des points d'entrée de données, en utilisant des interfaces d'application côté client et des systèmes similaires, puis à analyser des requêtes de client et des réponses de serveur. Dans un mode de réalisation, un analyseur de vulnérabilité de sécurité est utilisé pour analyser un contenu de page Web pour des fichiers d'application côté client, tels que des fichiers Flash et des applets Java, extraire des adresses Web et des paramètres de données intégrés dans le fichier d'application côté client et modifier les paramètres de données en fonction de critères de test définis par l'utilisateur. Les paramètres de données modifiés sont transmis sous forme de partie d'une requête à un serveur Web respectif qui est utilisé pour entretenir les fichiers d'application côté client. L'analyseur de vulnérabilité de sécurité analyse la réponse du serveur, afin de déterminer s'il y a des vulnérabilités de sécurité associées à l'interface entre le fichier d'application côté client et le serveur Web.
Designated States: AE, AG, AL, AM, AT, AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, CN, CO, CR, CU, CZ, DE, DK, DM, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, KM, KN, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, LY, MA, MD, MG, MK, MN, MW, MX, MZ, NA, NG, NI, NO, NZ, OM, PG, PH, PL, PT, RO, RU, SC, SD, SE, SG, SK, SL, SM, SY, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, YU, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM)
European Patent Office (AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IS, IT, LT, LU, LV, MC, NL, PL, PT, RO, SE, SI, SK, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)