[发明专利]在应用安全测试过程中防止脏数据落地的方法

说明书

本发明涉及数据安全技术领域，尤其涉及一种在应用安全测试过程中防止脏数据落地的方法，包括如下步骤：步骤S1：对数据流进行实时分析；步骤S2：插入判断代码，收集程序在运行过程中的上下文信息；步骤S3：在Socket输入输出流上进行字节码操作插桩hook拦截处理；步骤S4：对发送的脏数据进行拦截并重定向至其他页面。

【技术领域】

本发明涉及数据安全技术领域，尤其涉及一种在应用安全测试过程中防止脏数据落地的方法。

【背景技术】

目前一些企业为了降低应用程序存在安全漏洞的风险，一般会采用交互式安全测试(iast)的方式进行黑盒漏洞测试，以发现潜在的安全漏洞，但在测试服务接口的请求上进行参数注入的修改的时候，存在污染测试服务的数据源的可能性，具体为由于IASTagent回传的流量会再次通过黑盒测试，修改请求参数进行重放流量操作，进而导致脏数据落地，以致造成数据污染及影响测试人员的测试进程。

因此，现有技术存在不足，需要改进。

【发明内容】

为克服上述的技术问题，本发明提供了一种在应用安全测试过程中防止脏数据落地的方法。

本发明解决技术问题的方案是提供一种在应用安全测试过程中防止脏数据落地的方法，包括如下步骤：

步骤S1：对数据流进行实时分析；

步骤S2：插入判断代码，收集程序在运行过程中的上下文信息；

步骤S3：在Socket输入输出流上进行字节码操作插桩hook拦截处理；

步骤S4：对发送的脏数据进行拦截并重定向至其他页面。

优选地，在步骤S1中，通过JDK Instrumentation API，加载Agent用于监测运行在JVM上的应用程序，在程序启动前修改类的定义，基于应用程序获取当前应用的上下文，在应用运行中实时分析数据流。

优选地，在步骤S2中，在确保测试程序原有的逻辑完整的基础上，插入判断代码。

优选地，在步骤S2中，通过在Java中底层函数插桩hook，通过JDK Instrument和字节码操作工具ByteBuddy修改的方式插入判断代码。

优选地，在步骤S3中，通过数据落地组件和网路层发送数据包的方式进行拦截处理。

优选地，步骤S4还包括如下步骤：

步骤S41：在执行Lorder Class操作前，及在字节码载入java环境之前，通过自定义的transformer的transform方法进行转换，以实现添加hook点class的流程；

步骤S42：对已经载入的class经过transformer的transform方法执行字节码的操作，以增加相应的hook点；

步骤S43：在hook点处，在采用SocketOutputStream输出流调用方法write之前，进行是否为安全测试执行重放的数据进行判断，若是，则对该hook点进行截断并重定向至其他页面展示。

相对于现有技术，本发明的在应用安全测试过程中防止脏数据落地的方法具有如下优点：

本发明在基于iast黑盒测试过程中，在socket输入输出流的方法上，通过字节码修改插桩来防止脏数据落地，防止数据被污染，避免了在进行安全测试时因脏数据落地而导致增加后续清理难度的问题，有利于提高安全漏洞测试效率及确保测试人员的测试进程的正常进行；同时通过该方法防止脏数据落地，避免了需要人工对数据进行查找、判断，降低了因人工判断而导致较为浪费时间及可能出现的误判，有利于节省时间、提高工作效率。

【附图说明】