本發明公開了一種應用程序漏洞修復驗證方法及系統，該方法包括：獲取待驗證漏洞數據，并提取該漏洞數據中的請求信息和數據流信息；從數據流信息中提取請求信息所經過的所有特征函數；對數據流信息中不同階段的特征函數預設不同的量化分值；對所有特征函數進行隨機分組，以獲得若干函數鏈；從若干函數鏈中選擇其中一個或多個作為驗證鏈；通過該IAST工具插樁驗證鏈中的特征函數；對應用程序進執行請求重發，并獲取當前數據流信息；根據當前數據流信息確認驗證鏈中的特征函數是否全部被觸發，并根據確認結果判斷當前漏洞是否被修復；通過上述技術方案，不但可自動對漏洞修復結果進行驗證，而且有效提升驗證結果的準確性，還能更準確地定位修復點。

技術領域

本發明涉及程序漏洞修復技術領域，尤其涉及一種應用程序漏洞修復驗證方法及系統。

背景技術

應用程序的安全問題一直備受重視，因此，應用程序的漏洞檢測和修復工作伴隨應用程序的整個生命周期。隨著漏洞檢測工具的不斷發展，人們已經漸漸不滿足于檢測工具只能發現已存在的安全漏洞，更想利用工具動態判斷已存在的安全漏洞是否被開發人員修復成功。然而，目前判斷安全漏洞是否被修復只能通過安全人員手動測試，重新發送驗證請求，人工判斷該漏洞是否被驗證，不但耗時長，而且由于開發人員修復漏洞的方式有很多種，既包括正統的修復漏洞執行點以及添加安全函數，也包括隨意的修改請求格式，如get請求變成post請求，將存在隱藏問題點，可能出現遺漏問題。

發明內容

本發明的目的是提供一種可自動驗證應用程序中的漏洞是否被修復且有效提升驗證準確性的應用程序漏洞修復驗證方法及系統。

為了實現上述目的，本發明公開了一種應用程序漏洞修復驗證方法，其包括：

獲取待驗證漏洞數據，并提取該漏洞數據中的請求信息和數據流信息；

從所述數據流信息中提取所述請求信息所經過的所有特征函數；

對所述數據流信息中不同階段的所述特征函數預設不同的量化分值；

對所有所述特征函數進行隨機分組，以獲得若干函數鏈，且，每一所述函數鏈中至少包括處于輸入階段的特征函數和處于輸出階段的特征函數；

從若干所述函數鏈中選擇其中一個或多個作為驗證鏈；

基于IAST工具對該漏洞數據所屬的應用程序進行插樁，以將檢測邏輯織入到所述應用程序中，并通過該IAST工具插樁所述驗證鏈中的所述特征函數；

對所述應用程序進執行請求重發，基于數據流跟蹤的方式獲取當前數據流信息；

根據當前數據流信息確認所述驗證鏈中的特征函數是否全部被觸發，并根據確認結果判斷當前漏洞是否被修復。

較佳地，從若干所述函數鏈中選擇所述驗證鏈的方法包括：

基于預設的計算模型，并以每一所述函數鏈的長度和該函數鏈中每一所述特征函數的量化分值為參數分別計算每一所述函數鏈的特征值；所述計算模型以所述函數鏈的長度與所述特征值負相關，且以所述函數鏈中各個特征函數的量化分值的和與所述特征值正相關為原則構建；

基于所述函數鏈的特征值對所有所述函數鏈進行排序，并從中選出排名靠前的一個或多個函數鏈作為所述驗證鏈。

較佳地，所述計算模型為：

Mi=[Nmax+（Nmax-Ni）]×Si，

其中，Mi為當前任一所述函數鏈的特征值，Nmax為當前所有函數鏈中最長函數鏈中特征函數的個數，Ni為當前所計算函數鏈中特征函數的個數，Si為當前所計算函數鏈中所有特征函數的量化分值的和。