本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例提供一種軟件應(yīng)用越權(quán)風(fēng)險(xiǎn)檢測(cè)方法、電子設(shè)備及存儲(chǔ)介質(zhì)，能夠?qū)υ綑?quán)行為類的邏輯漏洞進(jìn)行全面準(zhǔn)確檢測(cè)。所述方法包括：獲取待檢測(cè)軟件程序的源代碼并對(duì)其進(jìn)行解析，確定權(quán)限驗(yàn)證相關(guān)代碼與作用范圍，生成權(quán)限?范圍映射表；根據(jù)所述權(quán)限?范圍映射表，對(duì)所述源代碼進(jìn)行權(quán)限驗(yàn)證邏輯插樁，生成插樁中間表示代碼確定相應(yīng)信息流圖；利用所述信息流圖進(jìn)行越權(quán)風(fēng)險(xiǎn)路徑檢測(cè)，確定越權(quán)風(fēng)險(xiǎn)路徑。所述電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行以實(shí)現(xiàn)所述越權(quán)風(fēng)險(xiǎn)檢測(cè)方法的計(jì)算機(jī)程序。所述非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使所述計(jì)算機(jī)執(zhí)行所述軟件應(yīng)用越權(quán)風(fēng)險(xiǎn)檢測(cè)方法。

技術(shù)領(lǐng)域

本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例涉及計(jì)算機(jī)軟件安全技術(shù)領(lǐng)域，尤其涉及一種軟件應(yīng)用越權(quán)風(fēng)險(xiǎn)檢測(cè)方法、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著信息系統(tǒng)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，應(yīng)用程序功能隨之增大，其程序源代碼的規(guī)模也越來(lái)越大，而容易被利用的安全漏洞、代碼后門(mén)以及代碼中的邏輯錯(cuò)誤也不再局限于以往形式，使得用傳統(tǒng)軟件測(cè)試方法來(lái)檢測(cè)源代碼中的安全漏洞變得非常困難，信息安全和軟件安全面臨著前所未有的巨大挑戰(zhàn)。

靜態(tài)分析技術(shù)是目前常見(jiàn)的源代碼缺陷檢測(cè)技術(shù)之一，該方法的主要特點(diǎn)是在檢測(cè)代碼漏洞和邏輯錯(cuò)誤的時(shí)候并不需要實(shí)際運(yùn)行程序代碼，并且檢測(cè)過(guò)程中無(wú)需人工干預(yù)，只需由檢測(cè)程序掃描待測(cè)項(xiàng)目的全部或者部分源代碼即可發(fā)現(xiàn)潛在的軟件缺陷和安全漏洞。相比于動(dòng)態(tài)分析技術(shù)，靜態(tài)分析技術(shù)具有更高的覆蓋率和較低的漏報(bào)率等優(yōu)點(diǎn)。

現(xiàn)有的針對(duì)程序源代碼的靜態(tài)分析工具對(duì)于已知漏洞依賴較大，更多關(guān)注于常規(guī)代碼缺陷，例如信息數(shù)據(jù)泄露、危險(xiǎn)API接口、密碼管理等漏洞，而對(duì)于越權(quán)行為這類邏輯漏洞不能進(jìn)行很好的檢測(cè)；規(guī)模較大的程序源代碼往往會(huì)用到第三方開(kāi)源框架來(lái)實(shí)現(xiàn)某些業(yè)務(wù)功能，在使用這些框架時(shí)會(huì)采用面向切面編程(AOP)的方式，現(xiàn)有的靜態(tài)分析方法無(wú)法在業(yè)務(wù)邏輯中有效找到切入業(yè)務(wù)邏輯中的代碼，因此對(duì)于相應(yīng)代碼中存在的邏輯漏洞不能及時(shí)發(fā)現(xiàn)或檢測(cè)結(jié)果漏報(bào)率較高。

發(fā)明內(nèi)容

有鑒于此，本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例的目的在于提出一種軟件應(yīng)用越權(quán)風(fēng)險(xiǎn)檢測(cè)方法、電子設(shè)備及存儲(chǔ)介質(zhì)，能夠?qū)浖?yīng)用程序中可能存在的越權(quán)行為類的邏輯漏洞進(jìn)行全面準(zhǔn)確檢測(cè)。

基于上述目的，本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例提供了一種軟件應(yīng)用越權(quán)風(fēng)險(xiǎn)檢測(cè)方法，包括：

獲取待檢測(cè)軟件程序的源代碼，對(duì)所述源代碼進(jìn)行解析，確定權(quán)限驗(yàn)證相關(guān)代碼與作用范圍，對(duì)應(yīng)生成權(quán)限-范圍映射表；

根據(jù)所述權(quán)限-范圍映射表，對(duì)所述源代碼進(jìn)行權(quán)限驗(yàn)證邏輯插樁，生成插樁中間表示代碼；

根據(jù)所述插樁中間表示代碼，確定所述源代碼的信息流圖；

在所述信息流圖中選取敏感行為節(jié)點(diǎn)，以所述敏感行為節(jié)點(diǎn)為起點(diǎn)進(jìn)行越權(quán)風(fēng)險(xiǎn)路徑檢測(cè)，確定越權(quán)風(fēng)險(xiǎn)路徑。

可選的，所述對(duì)所述源代碼進(jìn)行解析，確定權(quán)限驗(yàn)證相關(guān)代碼與作用范圍，對(duì)應(yīng)生成權(quán)限-范圍映射表，包括：

確定所述源代碼所使用的安全框架；

根據(jù)所述安全框架的語(yǔ)義規(guī)則，利用解析器對(duì)所述源代碼的配置文件與注解信息進(jìn)行解析；

根據(jù)解析結(jié)果，獲取所述權(quán)限驗(yàn)證相關(guān)代碼與相應(yīng)所述作用范圍，所述權(quán)限驗(yàn)證相關(guān)代碼包括權(quán)限驗(yàn)證代碼所在的包名、類名、方法函數(shù)名、參數(shù)列表和返回值類型，所述作用范圍是指與所述權(quán)限驗(yàn)證相關(guān)代碼相對(duì)應(yīng)的具體的包、具體的類、具體方法函數(shù)與具體語(yǔ)句；

根據(jù)所述權(quán)限驗(yàn)證相關(guān)代碼與所述作用范圍生成所述權(quán)限-范圍映射表。

可選的，所述根據(jù)所述權(quán)限-范圍映射表，對(duì)所述源代碼進(jìn)行權(quán)限驗(yàn)證邏輯插樁，生成插樁中間表示代碼，包括：