[發明專利]注入類漏洞檢測方法、系統、終端及存儲介質在審

申請號：	202111503954.0	申請日：	2021-12-09
公開（公告）號：	CN114282221A	公開（公告）日：	2022-04-05
發明（設計）人：	閆利華	申請（專利權）人：	蘇州浪潮智能科技有限公司
主分類號：	G06F21/57	分類號：	G06F21/57;G06F21/56
代理公司：	濟南舜源專利事務所有限公司 37205	代理人：	孫玉營
地址：	215100 江蘇省蘇州***	國省代碼：	江蘇;32
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	注入漏洞檢測方法系統終端存儲介質
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種注入類漏洞檢測方法，其特征在于，包括：

從源碼中篩選能發生注入類漏洞的目標指令，并將目標指令在源碼中的位置信息保存至初始預漏洞集；

對初始預漏洞集中的目標指令進行數據源分析，得到目標指令的關聯函數信息，將目標指令位置信息及關聯函數信息保存至指令調用鏈集合；

對指令調用鏈集合中的目標指令位置信息及關聯函數信息進行黑白名單校驗、合法性校驗或指令參數化校驗；

將通過校驗的目標指令位置信息及關聯函數信息從指令調用鏈集合移除，將指令調用鏈集合中未通過校驗的目標指令位置信息及關聯函數信息作為注入類漏洞定位信息輸出。

2.根據權利要求1所述的方法，其特征在于，從源碼中篩選能發生注入類漏洞的目標指令，并將目標指令在源碼中的位置信息保存至初始預漏洞集，包括：

根據編碼語言類型確認能發生注入類漏洞的指令類型；

根據指令類型對源碼進行靜態掃描及指令集分析，得到屬于所述指令類型的目標指令在源碼中的位置信息，所述位置信息包括路徑、所屬函數和行數；

如果目標指令被封裝，則查找所有封裝命令被調用的位置信息；

將查找到的所有目標指令位置信息保存至初始預漏洞集。

3.根據權利要求1所述的方法，其特征在于，對初始預漏洞集中的目標指令進行數據源分析，得到目標指令的關聯函數信息，將目標指令位置信息及關聯函數信息保存至指令調用鏈集合，包括：

從初始預漏洞集調取目標指令，并分析目標指令的參數是否為原始參數：

若是，則切換目標指令；

若否，則掃描所有調用所述目標指令所在函數的關聯函數，關聯函數存在關聯參數，關聯參數與目標指令的參數在一條傳輸鏈上，將關聯參數的位置信息保存為目標指令的關聯函數信息。

4.根據權利要求1所述的方法，其特征在于，對指令調用鏈集合中的目標指令位置信息及關聯函數信息進行黑白名單校驗、合法性校驗或指令參數化校驗，包括：

校驗黑白名單是否對目標指令進行配置，若未配置則不執行校驗，若存在對目標指令的配置則利用配置文件對目標指令的參數進行校驗；

利用合法性校驗集對目標指令的參數進行校驗；

校驗目標指令是否存在特定的參數填入模式，若存在則判定目標指令不存在注入類漏洞，通過校驗。

5.一種注入類漏洞檢測系統，其特征在于，包括：

目標篩選單元，用于從源碼中篩選能發生注入類漏洞的目標指令，并將目標指令在源碼中的位置信息保存至初始預漏洞集；

參數解析單元，用于對初始預漏洞集中的目標指令進行數據源分析，得到目標指令的關聯函數信息，將目標指令位置信息及關聯函數信息保存至指令調用鏈集合；

漏洞校驗單元，用于對指令調用鏈集合中的目標指令位置信息及關聯函數信息進行黑白名單校驗、合法性校驗或指令參數化校驗；

結果輸出單元，用于將通過校驗的目標指令位置信息及關聯函數信息從指令調用鏈集合移除，將指令調用鏈集合中未通過校驗的目標指令位置信息及關聯函數信息作為注入類漏洞定位信息輸出。

6.根據權利要求5所述的系統，其特征在于，所述目標篩選單元包括：

類型確認模塊，用于根據編碼語言類型確認能發生注入類漏洞的指令類型；

源碼掃描模塊，用于根據指令類型對源碼進行靜態掃描及指令集分析，得到屬于所述指令類型的目標指令在源碼中的位置信息，所述位置信息包括路徑、所屬函數和行數；

封裝解析模塊，用于如果目標指令被封裝，則查找所有封裝命令被調用的位置信息；

信息保存模塊，用于將查找到的所有目標指令位置信息保存至初始預漏洞集。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司，未經蘇州浪潮智能科技有限公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202111503954.0/1.html，轉載請聲明來源鉆瓜專利網。

專利分類

專利文獻下載

說明：

1、專利原文基于中國國家知識產權局專利說明書；

2、支持發明專利、實用新型專利、外觀設計專利（升級中）；

3、專利數據每周兩次同步更新，支持Adobe PDF格式；

4、內容包括專利技術的結構示意圖、流程工藝圖或技術構造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進行下載，點擊【登陸】【注冊】