獲得包括至少一個(gè)計(jì)算機(jī)程序的測(cè)試對(duì)象，該至少一個(gè)計(jì)算機(jī)程序包括動(dòng)態(tài)可執(zhí)行代碼。該至少一個(gè)計(jì)算機(jī)程序被變換成被配置成在托管的隔離計(jì)算環(huán)境中執(zhí)行的格式。在托管的隔離計(jì)算環(huán)境中發(fā)起對(duì)至少一個(gè)計(jì)算機(jī)程序的受指導(dǎo)執(zhí)行。基于該受指導(dǎo)執(zhí)行檢測(cè)該至少一個(gè)計(jì)算機(jī)程序的動(dòng)態(tài)代碼弱點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理，更具體地，涉及在隔離環(huán)境中受指導(dǎo)地執(zhí)行動(dòng)態(tài)程序的方法和系統(tǒng)。

背景技術(shù)

動(dòng)態(tài)可執(zhí)行代碼(例如，JAVASCRIPT代碼)可在執(zhí)行期間被修改，并且這樣的代碼既可在在客戶端本地的設(shè)備上也可在客戶端外部的設(shè)備上執(zhí)行。例如，隨著web應(yīng)用已變得受許多用戶歡迎，這些應(yīng)用可包括這樣的動(dòng)態(tài)可執(zhí)行代碼，并可經(jīng)由在本地執(zhí)行的代碼(具有對(duì)在不受個(gè)體用戶控制的外部設(shè)備上的可執(zhí)行代碼的潛在源的引用)來(lái)向用戶提供服務(wù)，由此向個(gè)體用戶引入了潛在的弱點(diǎn)。例如，跨站點(diǎn)腳本化已變成可能要花費(fèi)大量的收入來(lái)解決的安全問(wèn)題的顯著來(lái)源。

作為示例，文檔對(duì)象模型(DOM)XSS檢測(cè)技術(shù)可依賴(lài)于通過(guò)解析網(wǎng)頁(yè)及其資源的全部或部分來(lái)測(cè)試網(wǎng)站。基于此，分析可提供哪一個(gè)可導(dǎo)致頁(yè)面上的潛在問(wèn)題的警告。盡管該方法適合于發(fā)現(xiàn)一些安全隱錯(cuò)，但它可能提供假肯定，使得安全研究者會(huì)消耗進(jìn)一步資源來(lái)確定什么是真實(shí)的錯(cuò)誤而什么是預(yù)期的行為。此外，這樣的靜態(tài)分析可在其與檢查動(dòng)態(tài)語(yǔ)言有關(guān)的能力方面(例如，在嘗試靜態(tài)地在運(yùn)行時(shí)期間的任何時(shí)間點(diǎn)確定動(dòng)態(tài)語(yǔ)言程序的組成時(shí))受限。這個(gè)領(lǐng)域的潛在挑戰(zhàn)可包括：確定文件加載次序，考慮可在運(yùn)行時(shí)構(gòu)造而不可顯式地表示在源中的應(yīng)用編程接口(API)以及不在客戶端上生成的頁(yè)的其他元素。

解決這樣的問(wèn)題的方法可涉及創(chuàng)作加載和/或鍛煉未經(jīng)修改的實(shí)際頁(yè)面的動(dòng)態(tài)分析，同時(shí)將其與模糊/危險(xiǎn)源(即，用戶控制的且可被用于惡意目的的數(shù)據(jù)點(diǎn))一起饋送。該方法可能是有效的，但是暴露出其自身的問(wèn)題。例如，對(duì)于這些系統(tǒng)來(lái)說(shuō)，執(zhí)行可能是慢的。例如，測(cè)試可對(duì)實(shí)際頁(yè)面執(zhí)行，這可能具有不想要的負(fù)面效果(例如，引起支持服務(wù)器上的永久改變、將不合需的載荷放在站點(diǎn)上等等)。

發(fā)明內(nèi)容

根據(jù)一個(gè)通用方面，系統(tǒng)可包括動(dòng)態(tài)程序確認(rèn)引擎，該動(dòng)態(tài)程序確認(rèn)引擎包括被配置成獲得測(cè)試對(duì)象的對(duì)象采集組件，測(cè)試對(duì)象包括動(dòng)態(tài)可執(zhí)行代碼。對(duì)象變換組件可被配置成將測(cè)試對(duì)象的至少一部分變換成被配置成在托管的隔離計(jì)算環(huán)境中執(zhí)行的經(jīng)變換格式的測(cè)試對(duì)象。受指導(dǎo)執(zhí)行組件可被配置成發(fā)起對(duì)經(jīng)變換格式的測(cè)試對(duì)象在托管的隔離計(jì)算環(huán)境中的受指導(dǎo)執(zhí)行，并且弱點(diǎn)檢測(cè)組件可被配置成基于該受指導(dǎo)執(zhí)行來(lái)檢測(cè)測(cè)試對(duì)象的動(dòng)態(tài)代碼弱點(diǎn)。

根據(jù)另一方面，可獲得包括至少一個(gè)計(jì)算機(jī)程序的測(cè)試對(duì)象，該至少一個(gè)計(jì)算機(jī)程序包括動(dòng)態(tài)可執(zhí)行代碼。該至少一個(gè)計(jì)算機(jī)程序被變換成被配置成在托管的隔離計(jì)算環(huán)境中執(zhí)行的格式。該至少一個(gè)計(jì)算機(jī)程序的受指導(dǎo)執(zhí)行可在托管的隔離計(jì)算環(huán)境中被發(fā)起。此外，該至少一個(gè)計(jì)算機(jī)程序的動(dòng)態(tài)代碼弱點(diǎn)可基于該受指導(dǎo)執(zhí)行被檢測(cè)到。

根據(jù)另一方面，有形地體現(xiàn)在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品可包括可執(zhí)行代碼，這些代碼使至少一個(gè)數(shù)據(jù)處理裝置獲得包括至少一個(gè)計(jì)算機(jī)程序的測(cè)試對(duì)象，該至少一個(gè)計(jì)算機(jī)程序包括動(dòng)態(tài)可執(zhí)行代碼。此外，數(shù)據(jù)處理裝置可將該至少一個(gè)計(jì)算機(jī)程序變換成被配置成在托管的隔離計(jì)算環(huán)境中執(zhí)行的格式。此外，數(shù)據(jù)處理裝置可在托管的隔離計(jì)算環(huán)境中發(fā)起對(duì)至少一個(gè)計(jì)算機(jī)程序的受指導(dǎo)執(zhí)行。此外，數(shù)據(jù)處理裝置可基于該受指導(dǎo)執(zhí)行來(lái)檢測(cè)至少一個(gè)計(jì)算機(jī)程序的動(dòng)態(tài)代碼弱點(diǎn)。

提供本概述以便以簡(jiǎn)化的形式介紹以下在詳細(xì)描述中進(jìn)一步描述的一些概念。本發(fā)明內(nèi)容并不旨在標(biāo)識(shí)所要求保護(hù)主題的關(guān)鍵特征或必要特征，也不旨在用于限制所要求保護(hù)主題的范圍。一個(gè)或多個(gè)實(shí)現(xiàn)的細(xì)節(jié)在以下的附圖和說(shuō)明書(shū)中闡述。其它特征將從描述和附圖、以及權(quán)利要求書(shū)中顯見(jiàn)。

附圖說(shuō)明

圖1是示出用于在隔離計(jì)算環(huán)境中受指導(dǎo)執(zhí)行動(dòng)態(tài)程序的示例系統(tǒng)的框圖。

圖2是示出用于弱點(diǎn)檢測(cè)的示例技術(shù)的框圖。