[发明专利]基于污点标志跟踪检测jQuery库隐私泄露的方法和装置

说明书

本发明涉及一种基于污点标志跟踪检测jQuery库隐私泄露的方法。该方法包括：获取jQuery库文件并对该jQuery库文件的源代码进行解析以生成抽象语法树；通过对敏感数据标记污点标志来定义污点数据对象；根据预定义的污点标志传播规则，对所述抽象语法树中包含数据传递的函数进行语义和控制流的改写，并在数据传递过程中针对各个函数相关联地保持敏感数据和污点标志，进而对污点标志在数据传递过程中的传播进行跟踪；以及基于改写后的抽象语法树，监测调用jQuery库中的函数发送敏感数据的发送行为。

技术领域

本发明涉及网络与信息安全技术领域，特别涉及jQuery库的安全性。

背景技术

随着Web技术的快速发展，部署在网站应用的功能正越来越多的通过JavaScript代码在客户端实现。软件开发人员在应用程序开发过程中对第三方JavaScript库的使用非常广泛。然而，由于JavaScript语言本身所具有的动态复杂性和其在语言水平缺乏隔离和保护机制，网页和第三方代码并存于一个共享的环境，使得它们之间的相互作用经常导致安全问题。虽然大多数浏览器都为JavaScript应用程序提供了相应的安全方案，如采用同源策略预防和使用沙盒隔离安全性未知的代码等，但是这些安全机制只是一种相对简单的保护方案。针对安全机制的研究，目前的工作主要集中在对原生JavaScript的安全检测，而很少关注JavaScript库代码带来的安全问题。

jQuery库作为一种优秀的JavaScript库被广泛使用，但jQuery库的使用在给开发带来便利的同时，同样也引入隐私泄露的问题。由于jQuery库中的函数对数据流的传输过程未做检测，因此攻击者可以利用该安全问题窃取用户的隐私数据。

发明内容

针对jQuery库隐私泄露问题的检测，目前尚未提出有效的解决方案。现有的基于组件关联的应用隐私泄露问题检测方法，只关注检测利用组件间通信机制对用户敏感数据窃取的行为，却无法针对jQuery库中的隐私数据泄露进行检测。因此，针对该问题，期望提出一种针对jQuery库隐私泄露的检测方法。

本发明的目的在于提供一种基于污点标志跟踪检测jQuery库隐私泄露的方法。

在下文中给出了关于本发明的简要概述，以便提供关于本发明的一些方面的基本理解。但是，应当理解，这个概述并不是关于本发明的穷举性概述。它并不是意图用来确定本发明的关键性部分或重要部分，也不是意图用来限定本发明的范围。其目的仅仅是以简化的形式给出关于本发明的某些概念，以此作为稍后给出的更详细描述的前序。

本发明的一个方面涉及一种基于污点标志跟踪检测jQuery库隐私泄露的方法，包括：获取jQuery库文件并对该jQuery库文件的源代码进行解析以生成抽象语法树；通过对敏感数据标记污点标志来定义污点数据对象；根据预定义的污点标志传播规则，对所述抽象语法树中包含数据传递的函数进行语义和控制流的改写，并在数据传递过程中针对各个函数相关联地保持敏感数据和污点标志，进而对污点标志在数据传递过程中的传播进行跟踪；以及基于改写后的抽象语法树，监测调用jQuery库中的函数发送敏感数据的发送行为。

本发明的一个方面涉及一种基于污点标志跟踪检测jQuery库隐私泄露的装置，包括：存储器；以及处理器，所述处理器耦合到所述存储器，并且被配置为执行上述基于污点标志跟踪检测jQuery库隐私泄露的方法。

本发明的一个方面涉及一种其上存储有可执行指令的计算机可读存储介质，当所述可执行指令由计算机执行时，使所述计算机执行上述基于污点标志跟踪检测jQuery库隐私泄露的方法。

根据本发明的实施例的基于污点标志跟踪检测jQuery库隐私泄露的方法实现了对调用jQuery库函数发送隐私数据的行为的全面监测，从而能够提前发现潜在隐私数据泄露行为，保证了网站用户隐私数据安全。此外，本发明可独立于JavaScript引擎，因此可以适用于多种浏览器，具有准确率高、适用性好的特点。