[發明專利]一種軟件應用越權風險檢測方法、電子設備及存儲介質有效
| 申請號: | 202011140562.8 | 申請日: | 2020-10-22 |
| 公開(公告)號: | CN112257054B | 公開(公告)日: | 2022-11-15 |
| 發明(設計)人: | 涂騰飛;陳淼;張華;王華偉;李文敏;高飛;秦素娟;溫巧燕;秦佳偉;崔棟;王森淼;時億杰;趙春輝;曾星宇 | 申請(專利權)人: | 北京郵電大學 |
| 主分類號: | G06F21/44 | 分類號: | G06F21/44;G06F21/57 |
| 代理公司: | 北京風雅頌專利代理有限公司 11403 | 代理人: | 李莎 |
| 地址: | 100876 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 軟件 應用 越權 風險 檢測 方法 電子設備 存儲 介質 | ||
1.一種軟件應用越權風險檢測方法,其特征在于,包括:
獲取待檢測軟件程序的源代碼,對所述源代碼進行解析,確定所述源代碼所使用的安全框架,確定權限驗證相關代碼與作用范圍,對應生成權限-范圍映射表;
根據所述權限-范圍映射表,對所述源代碼進行權限驗證邏輯插樁,生成插樁中間表示代碼;
根據所述插樁中間表示代碼,確定所述源代碼的信息流圖;
在所述信息流圖中選取敏感行為節點,以所述敏感行為節點為起點進行越權風險路徑檢測,確定越權風險路徑。
2.根據權利要求1所述的方法,其特征在于,所述對所述源代碼進行解析,確定所述源代碼所使用的安全框架,確定權限驗證相關代碼與作用范圍,對應生成權限-范圍映射表,包括:
根據所述安全框架的語義規則,利用解析器對所述源代碼的配置文件與注解信息進行解析;
根據解析結果,獲取所述權限驗證相關代碼與相應所述作用范圍,所述權限驗證相關代碼包括權限驗證代碼所在的包名、類名、方法函數名、參數列表和返回值類型,所述作用范圍是指與所述權限驗證相關代碼相對應的具體的包、具體的類、具體方法函數與具體語句;
根據所述權限驗證相關代碼與所述作用范圍生成所述權限-范圍映射表。
3.根據權利要求1所述的方法,其特征在于,所述根據所述權限-范圍映射表,對所述源代碼進行權限驗證邏輯插樁,生成插樁中間表示代碼,包括:
讀取所述權限-范圍映射表,根據所述權限-范圍映射表中范圍字段對應的所述作用范圍,在所述源代碼中確定對應代碼位置并進行代碼標定;
根據所述權限-范圍映射表確定與所述范圍字段對應的權限字段,根據所述權限字段確定相應的權限驗證代碼;
根據所述權限驗證代碼,在所標定的代碼位置處進行權限驗證邏輯代碼插樁,生成所述插樁中間表示代碼。
4.根據權利要求3所述的方法,其特征在于,所述在所述源代碼中確定對應代碼位置進行代碼標定,包括:
根據所述作用范圍在所述源代碼中查找到相匹配的代碼對象;
若所述代碼對象為具體的包,則對所述包中每一個類的每一個方法的方法體中的第一條語句進行標定;
若所述代碼對象為具體的方法函數,則對所述方法函數的方法體中第一條語句進行標定;
若所述代碼對象為具體的語句,則對所述語句進行標定。
5.根據權利要求3所述的方法,其特征在于,所述根據所述權限驗證代碼,在所標定的代碼位置處進行權限驗證邏輯代碼插樁,生成所述插樁中間表示代碼,包括:
根據所述權限驗證代碼確定相應的權限驗證邏輯代碼;
遍歷所述源代碼中所有標定代碼位置,以所述標定代碼位置相對應的所述作用范圍為鍵、以所述標定代碼位置相應的所述權限驗證邏輯代碼為值,構造Map對象;
在將所述源代碼轉化為中間代碼的過程中,根據所述Map對象在所述中間代碼中插入所述權限驗證邏輯代碼,生成所述插樁中間表示代碼。
6.根據權利要求1所述的方法,其特征在于,所述信息流圖包括函數調用關系圖、控制流圖與數據流圖。
7.根據權利要求1所述的方法,其特征在于,所述在所述信息流圖中選取敏感行為節點,以所述敏感行為節點為起點進行越權風險路徑檢測,包括:
獲取越權敏感操作列表,所述越權敏感操作列表包括需驗證權限以及與所述需驗證權限相關的越權敏感操作;
將所述敏感操作與所述信息流圖進行對比,從所述信息流圖中篩選出與所述敏感操作相對應的函數或語句進行節點標記;
在所述信息流圖中,從標記節點處開始進行反向遍歷,判斷反向遍歷路徑中是否存在權限驗證邏輯代碼;
若直到終點仍未檢測到所述權限驗證邏輯代碼,則所述反向遍歷路徑中存在越權風險;
若存在所述權限驗證邏輯代碼,則判斷所述權限驗證邏輯代碼與所述標記節點所對應的所述需驗證權限是否匹配,若不匹配則從所述標記節點至所述權限驗證邏輯代碼的反向遍歷路徑中存在越權風險。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京郵電大學,未經北京郵電大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011140562.8/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:穩定性強的磁力泵
- 下一篇:一種基于VOC治理的自動監控系統
