本發明涉及漏洞檢測技術領域，具體提供一種注入類漏洞檢測方法、系統、終端及存儲介質，包括：從源碼中篩選能發生注入類漏洞的目標指令，并將目標指令在源碼中的位置信息保存至初始預漏洞集；對初始預漏洞集中的目標指令進行數據源分析，得到目標指令的關聯函數信息，將目標指令位置信息及關聯函數信息保存至指令調用鏈集合；對指令調用鏈集合中的目標指令位置信息及關聯函數信息進行黑白名單校驗、合法性校驗或指令參數化校驗；將通過校驗的目標指令位置信息及關聯函數信息從指令調用鏈集合移除，剩余指令信息作為注入類漏洞定位信息輸出。本發明可以降低代碼掃描中對注入類漏洞檢測的誤報率，提高代碼掃描和代碼審核的質量和效率。

技術領域

本發明涉及漏洞檢測技術領域，具體涉及一種注入類漏洞檢測方法、系統、終端及存儲介質。

背景技術

常見的注入類漏洞包括命令注入、路徑篡改、SQL注入、日志注入、指令注入等。它們通過修改用戶輸入指令或其他受保護的系統資源，從而導致程序以攻擊者的名義執行惡意指令。注入類漏洞屬于高風險的漏洞，會導致信息泄露、數據篡改、系統被破壞等，給企業、客戶帶來嚴重的安全風險。

因此，為了降低存在的安全風險，會在代碼投入使用之前采用安全掃描工具對其進行安全掃描。但是安全掃描工具對注入類漏洞的誤報率非常高，為了確認是否是誤報，需要開發人員對其進行二次的核實確認。如果注入類漏洞的誤報比較多，這會及其降低開發人員的工作效率。

所以，降低代碼中注入類漏洞的誤報率是非常有必要的。

發明內容

針對現有技術的上述不足，本發明提供一種注入類漏洞檢測方法、系統、終端及存儲介質，以解決上述技術問題。

第一方面，本發明提供一種注入類漏洞檢測方法，包括：

從源碼中篩選能發生注入類漏洞的目標指令，并將目標指令在源碼中的位置信息保存至初始預漏洞集；

對初始預漏洞集中的目標指令進行數據源分析，得到目標指令的關聯函數信息，將目標指令位置信息及關聯函數信息保存至指令調用鏈集合；

對指令調用鏈集合中的目標指令位置信息及關聯函數信息進行黑白名單校驗、合法性校驗或指令參數化校驗；

將通過校驗的目標指令位置信息及關聯函數信息從指令調用鏈集合移除，將指令調用鏈集合中未通過校驗的目標指令位置信息及關聯函數信息作為注入類漏洞定位信息輸出。

進一步的，從源碼中篩選能發生注入類漏洞的目標指令，并將目標指令在源碼中的位置信息保存至初始預漏洞集，包括：

根據編碼語言類型確認能發生注入類漏洞的指令類型；

根據指令類型對源碼進行靜態掃描及指令集分析，得到屬于所述指令類型的目標指令在源碼中的位置信息，所述位置信息包括路徑、所屬函數和行數；

如果目標指令被封裝，則查找所有封裝命令被調用的位置信息；

將查找到的所有目標指令位置信息保存至初始預漏洞集。

進一步的，對初始預漏洞集中的目標指令進行數據源分析，得到目標指令的關聯函數信息，將目標指令位置信息及關聯函數信息保存至指令調用鏈集合，包括：

從初始預漏洞集調取目標指令，并分析目標指令的參數是否為原始參數：

若是，則切換目標指令；

若否，則掃描所有調用所述目標指令所在函數的關聯函數，關聯函數存在關聯參數，關聯參數與目標指令的參數在一條傳輸鏈上，將關聯參數的位置信息保存為目標指令的關聯函數信息。

進一步的，對指令調用鏈集合中的目標指令位置信息及關聯函數信息進行黑白名單校驗、合法性校驗或指令參數化校驗，包括：