[发明专利]JAVASCRIPT安全测试

权利要求书

1.一种方法，包括：

由处理器接收初始文件对象模型(DOM)，所述初始DOM与包括多个可执行JavaScript代码的HTML页面结构对应；

由所述处理器模拟与属于所述HTML页面结构中的所述多个可执行JavaScript代码的一可执行JavaScript代码进行的用户交互；

由所述处理器基于所模拟的用户交互调整所述初始DOM；

由所述处理器生成与调整后的DOM对应的字节代码；以及

由所述处理器利用静态规则集合分析所述字节代码。

2.根据权利要求1所述的方法，其中所述模拟通过模拟浏览器的功能而不生成图形用户界面的无界面浏览器执行。

3.根据权利要求1所述的方法，包括：

通过记录对所述DOM进行的调整而追踪对所述初始DOM的状态修改，对所述DOM进行的调整包括基于所模拟的用户交互而对所述初始DOM的调整。

4.根据权利要求1所述的方法，包括：

恢复所述初始DOM；

基于模拟的第二用户交互而调整所述初始DOM；

基于所述调整而创建调整后的第二DOM；并且

生成与所述调整后的第二DOM对应的字节代码。

5.根据权利要求1所述的方法，其中生成所述字节代码包括：

从所述HTML页面结构收集JavaScript代码；

将所述JavaScript代码转换为可执行的格式；以及

执行所述JavaScript代码直至达到生命周期事件。

6.根据权利要求5所述的方法，其中所述生命周期事件为页面加载事件。

7.根据权利要求1所述的方法，包括：

创建包括已执行的JavaScript代码和所述DOM中的数据的状态图形表示。

8.根据权利要求7所述的方法，包括：

将所述状态图形表示中包含的多个全局函数和事件转换为模型；并且

确定所述DOM的来自用户交互的赋值可被存储的可能部分。

9.根据权利要求8所述的方法，包括：

将所述可能部分与所述静态规则集合进行比较，以确定所述可能部分是否与汇集点相匹配；并且

识别所述可能部分为漏洞。

10.根据权利要求8所述的方法，包括：

确定所述可能部分被传送给所述DOM的第二部分；并且

将所述第二部分添加到所述DOM的来自用户交互的赋值可被存储的潜在部分的列表。

11.根据权利要求10所述的方法，包括：

将所述可能部分传送给JavaScript引擎；

对所述可能部分应用一数值；并且

利用所述JavaScript引擎上的所述数值来执行所述可能部分。

12.一种系统，包括：

DOM接收器，所述DOM接收器接收初始文件对象模型(DOM)，所述初始DOM与HTML页面结构对应；

输入模拟器，所述输入模拟器模拟所述HTML页面结构的元件上的用户输入；

DOM调整器，所述DOM调整器基于所模拟的用户输入而调整所述初始DOM；

代码生成器，所述代码生成器生成与调整后的DOM对应的字节代码；以及

代码分析器，利用规则集合来分析所述字节代码。

13.根据权利要求12所述的系统，其中所述DOM调整器通过记录对所述DOM进行的调整而追踪对所述初始DOM的状态修改，对所述DOM进行的调整包括基于所模拟的用户交互而对所述初始DOM的调整。

14.根据权利要求12所述的系统，其中所述DOM调整器用于：

恢复所述初始DOM；

基于模拟的第二用户交互而调整所述初始DOM；

基于所述调整而创建调整后的第二DOM；并且

生成与所述调整后的第二DOM对应的字节代码。