申请/专利权人:北京邮电大学
申请日:2022-11-22
公开(公告)日:2023-03-21
公开(公告)号:CN115618363B
主分类号:G06F21/57
分类号:G06F21/57;G06F11/36;G06F9/448
优先权:
专利状态码:有效-授权
法律状态:2023.03.21#授权;2023.02.10#实质审查的生效;2023.01.17#公开
摘要:本申请提供一种漏洞路径的挖掘方法及相关设备。所述方法包括:遍历抽象语法树,得到摘要信息和调用节点;利用摘要信息,构建代码属性图;基于代码属性图,根据预定义超全局变量进行数据流回溯,标记用户输入节点,得到用户输入节点集;基于调用节点,与预设的攻击字典进行匹配,并根据代码属性图,进行数据流回溯,得到安全敏感调用节点集;基于用户输入节点集和所述安全敏感调用节点集中的每个安全敏感调用节点,根据代码属性图,进行数据流回溯,得到漏洞路径。本申请实施例通过回溯数据流检测位于函数或方法封装内的用户输入节点,提取并识别多种类型的从用户输入到安全敏感函数或方法调用的漏洞路径,有效保障了网络应用可用性和安全性。
主权项:1.一种漏洞路径的挖掘方法,其特征在于,包括:遍历抽象语法树,得到摘要信息和调用节点;所述摘要信息包括:类和方法定义的摘要信息、函数定义的摘要信息;利用所述摘要信息,构建代码属性图;基于所述代码属性图,根据预定义超全局变量进行数据流回溯,标记用户输入节点,得到用户输入节点集;基于所述调用节点,与预设的攻击字典进行匹配,并根据所述代码属性图,进行数据流回溯,得到安全敏感调用节点集;基于所述用户输入节点集和所述安全敏感调用节点集中的每个安全敏感调用节点,根据所述代码属性图,进行数据流回溯,得到漏洞路径;其中,所述基于所述代码属性图,根据预定义超全局变量进行数据流回溯,标记用户输入节点,得到用户输入节点集,包括:基于所述代码属性图,与所述预定义超全局变量进行匹配,标记得到第一用户输入节点;基于所述代码属性图,根据所述第一用户输入节点进行数据流回溯,根据回溯节点类型标记用户输入节点,得到第二用户输入节点;根据所述第一用户输入节点和所述第二用户输入节点,得到所述用户输入节点集;其中,所述基于所述调用节点,与预设的攻击字典进行匹配,并根据所述代码属性图,进行数据流回溯,得到安全敏感调用节点集,包括:基于所述调用节点,与预设的攻击字典进行匹配,得到第一安全敏感调用节点;基于所述第一安全敏感调用节点,根据所述代码属性图,进行数据流回溯,得到第二安全敏感调用节点;根据所述第一安全敏感调用节点和所述第二安全敏感调用节点,得到所述安全敏感调用节点集;所述代码属性图包括数据流图;其中,所述基于所述用户输入节点集和所述安全敏感调用节点集中的每个安全敏感调用节点,根据所述代码属性图,进行数据流回溯,得到漏洞路径,包括:基于所述安全敏感调用节点集中的每个安全敏感调用节点,根据所述数据流图进行数据流回溯,判断数据流回溯过程中经过的节点是否在所述用户输入节点集中;响应于数据流回溯过程中经过的节点在所述用户输入节点集中,停止所述数据流回溯,将所述数据流回溯的路径作为漏洞路径。
全文数据:
权利要求:
百度查询: 北京邮电大学 漏洞路径的挖掘方法及相关设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。