WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Options
Query Language
Stem
Sort by:
List Length
1. (WO2018160252) DETERMINING SECURITY VULNERABILITIES IN APPLICATION PROGRAMMING INTERFACES
Latest bibliographic data on file with the International Bureau    Submit observation

Pub. No.: WO/2018/160252 International Application No.: PCT/US2017/065919
Publication Date: 07.09.2018 International Filing Date: 12.12.2017
IPC:
G06F 11/00 (2006.01)
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
F
ELECTRIC DIGITAL DATA PROCESSING
11
Error detection; Error correction; Monitoring
Applicants: TINFOIL SECURITY, INC.[US/US]; 2483 Old Middlefield Way #207 Mountain View, CA 94043, US
Inventors: WILTON, Shane; US
SEDAT, Benjamin, D.; US
IRIZARRY, Angel; US
BOROHOVSKI, Michael; US
BRAUN, Ainsley, K.; US
Agent: ROSS, Emily, M.; US
PATEL, Rajiv, P.; US
HULSE, Robert, A.; US
MCNELIS, John, T.; US
Priority Data:
15/447,10801.03.2017US
Title (EN) DETERMINING SECURITY VULNERABILITIES IN APPLICATION PROGRAMMING INTERFACES
(FR) DÉTERMINATION DE VULNÉRABILITÉS DE SÉCURITÉ DANS DES INTERFACES DE PROGRAMMATION D'APPLICATION
Abstract:
(EN) A security system scans application programming interfaces (APIs) to detect security vulnerabilities by receiving API documentation from a third-party system associated with the API and organizing it in an API specification that describes the hostname of the API and one or more endpoints of the API. For each of the endpoints, the API specification includes a uniform resource identifier, a method term, an input content type, an output content type (if applicable), authorization details, and any associated parameters or arguments. The security system performs an audit job for each combination of endpoints, potential security vulnerabilities, and (in some embodiments) authentication flows. In some embodiments, the security system is able to access portions of the API requiring authentication by using authentication flows received from the third-party system and detect security vulnerabilities related to authentication by manipulating the authentication units that make up the authentication flow.
(FR) La présente invention concerne un système de sécurité qui analyse des interfaces de programmation d'application (API) pour détecter des vulnérabilités de sécurité par la réception d'une documentation API depuis un système tiers associé à l'API et son organisation dans une spécification API qui décrit le nom d'hôte de l'API et un ou plusieurs points d'extrémité de l'API. Pour chacun des points d'extrémité, la spécification d’API comprend un identifiant de ressource uniforme, un terme de procédé, un type de contenu d'entrée, un type de contenu de sortie (le cas échéant), des détails d'autorisation, et tout paramètre ou argument associé. Le système de sécurité effectue une tâche d'audit pour chaque combinaison de points d'extrémité, de vulnérabilités de sécurité potentielles, et (dans certains modes de réalisation), de flux d'authentification. Dans certains modes de réalisation, le système de sécurité peut accéder à des parties de l'API nécessitant une authentification en utilisant des flux d'authentification reçus depuis le système tiers et détecter des vulnérabilités de sécurité liées à l'authentification par manipulation des unités d'authentification qui constituent le flux d'authentification.
front page image
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JO, JP, KE, KG, KH, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW
African Regional Intellectual Property Organization (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Office (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (EPO) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG)
Publication Language: English (EN)
Filing Language: English (EN)