申请/专利权人：中国人民解放军国防科技大学

申请日：2024-01-03

公开（公告）日：2024-04-12

公开（公告）号：CN117874767A

主分类号：G06F21/57

分类号：G06F21/57;G06F21/56

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.30#实质审查的生效;2024.04.12#公开

摘要：本发明提出一种基于程序转换的SQL注入漏洞防御方法与系统，属于漏洞检测技术领域。本发明面对广泛应用了面向对象编程风格的应用程序，采用程序转换的技术，自动将应用程序中的关键代码从面向对象的编程风格转换为面向过程的代码风格，使当前的SQL注入漏洞检测技术具备在这类应用程序中检测SQL注入漏洞的能力。本发明解决了当前SQL注入漏洞检测方案不支持面向对象建模的问题。

主权项：1.一种基于程序转换的SQL注入漏洞防御方法，其特征在于，所述方法包括：步骤S1、将应用程序的源代码转化为以抽象语法树表征的源码，并对所述源码进行基于匹配识别的扫描，以扫描出其中的关键语句；其中，所述关键语句指存在潜在SQL注入漏洞的敏感函数，且所述存在潜在SQL注入漏洞的敏感函数为使用面向对象的编程风格来编写的函数；步骤S2、通过数据流分析技术获取所述存在潜在SQL注入漏洞的敏感函数的调用者，以确定敏感函数调用关系，提取出覆盖所述调用者、所述敏感函数和所述敏感函数调用关系的代码作为关键代码；步骤S3、利用先验规则库对所述关键代码进行转换，将其编程风格从面相对象的编程风格转换为面相过程的编程风格，并基于面相过程的编程风格的关键代码构建控制流程图；步骤S4、从所述控制流程图中获取所述关键代码中的调用关系和数据流向，基于所述关键代码中的调用关系和数据流向进行反向五点分析，以确定存在的SQL注入漏洞，并形成漏洞检测报告。

全文数据：

权利要求：

百度查询： 中国人民解放军国防科技大学 一种基于程序转换的SQL注入漏洞防御方法与系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD