[发明专利]挖掘代码漏洞的方法、装置、设备和计算机可读介质有效
| 申请号: | 202110340078.8 | 申请日: | 2021-03-30 |
| 公开(公告)号: | CN112965747B | 公开(公告)日: | 2023-06-23 |
| 发明(设计)人: | 刘文宇;阳骁尧;邹为;夏伟;涂耀旭;郑娜威 | 申请(专利权)人: | 建信金融科技有限责任公司 |
| 主分类号: | G06F8/72 | 分类号: | G06F8/72;G06F21/57 |
| 代理公司: | 中原信达知识产权代理有限责任公司 11219 | 代理人: | 郭晗;赵迪 |
| 地址: | 200120 上海市自由*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 挖掘 代码 漏洞 方法 装置 设备 计算机 可读 介质 | ||
本发明公开了挖掘代码漏洞的方法、装置、设备和计算机可读介质,涉及自动程序设计技术领域。该方法的一具体实施方式包括:格式化代码,并分析格式化后代码的构成;结合所述构成,根据所述代码的开发框架,确定用户输入数据流的起始位置;从所述数据流的起始位置开始,搜索所述格式化后代码,定位用户可控变量的数据流;在所述用户可控变量的数据流中,基于反序列化函数确定代码漏洞。该实施方式能够减少挖掘代码漏洞的耗时较长,并降低漏报率。
技术领域
本发明涉及自动程序设计技术领域,尤其涉及一种挖掘代码漏洞的方法、装置、设备和计算机可读介质。
背景技术
Java反序列化漏洞的测试工作目前依赖于黑盒测试方法、灰盒测试方法和白盒测试方法。
黑盒测试方法需要通过现有知识库尝试触发通用的非命令执行gad get,如:采用应用sleep方式判断某一参数是否存在反序列化漏洞。或者,依赖于现有知识库通用漏洞,审计java项目中是否引用存在java反序列化漏洞的java库,并且以存在漏洞版本的方式挖掘。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:上述方式挖掘代码漏洞的耗时较长并且漏报率高。
发明内容
有鉴于此,本发明实施例提供一种挖掘代码漏洞的方法、装置、设备和计算机可读介质,能够减少挖掘代码漏洞的耗时较长,并降低漏报率。
为实现上述目的,根据本发明实施例的一个方面,提供了一种挖掘代码漏洞的方法,包括:
格式化代码,并分析格式化后代码的构成;
结合所述构成,根据所述代码的开发框架,确定用户输入数据流的起始位置;
从所述数据流的起始位置开始,搜索所述格式化后代码,定位用户可控变量的数据流;
在所述用户可控变量的数据流中,基于反序列化函数确定代码漏洞。
所述格式化代码包括以下一种或多种操作,清空代码中的注释,删除代码中的非必要空格和删除代码中的非必要回车换行。
所述分析格式化后代码的构成,包括:
通过正则表达式,分析格式化后代码的构成。
所述构成包括以下一种或多种,类基本情况、类内容、方法基本情况、方法内容、接口基本情况、构造方法内容和属性基本情况。
所述结合所述构成,根据所述代码的开发框架,确定用户输入数据流的起始位置,包括:
将所述构成分别放入索引数组中,以所述索引数组的所属文件作为索引;
结合所述索引,根据所述代码的开发框架,确定用户输入数据流的起始位置。
所述代码的开发框架是SpringMVC;
所述结合所述索引,根据所述代码的开发框架,确定用户输入数据流的起始位置,包括:
结合所述索引,将@Controller注解的类的方法入参,确定为用户输入数据流的起始位置。
所述从所述数据流的起始位置开始,搜索所述格式化后代码,定位用户可控变量的数据流,包括:
从所述数据流的起始位置开始,全局搜索所述格式化后代码,定位用户可控变量的数据流。
所述从所述数据流的起始位置开始,搜索所述格式化后代码,定位用户可控变量的数据流,包括:
从所述数据流的起始位置开始,获得目标函数的入参名;
依据所述目标函数的入参名,搜索所述格式化后代码,定位用户可控变量的数据流。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于建信金融科技有限责任公司,未经建信金融科技有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110340078.8/2.html,转载请声明来源钻瓜专利网。
