基于IAST快速定位JSON框架中污点数据位置的方法及系统与流程

技术特征：
1.一种基于iast快速定位json框架中污点数据位置的方法，以用于应用程序的漏洞检测和修复，所述应用程序基于json框架进行数据存储和参数传递，其特征在于，该方法包括：采用iast工具插桩待测应用程序，以将漏洞检测逻辑织入到所述应用程序，所述漏洞检测逻辑通过跟踪污点数据在所述应用程序中的传播途径进行漏洞检测；获取当前所述应用程序中json解析函数返回对象的位置信息；当测试用污点数据进入所述应用程序后，提取并存储所述json解析函数返回的json对象中的字段名、字段类型、字段值的映射关系；查询所述漏洞检测逻辑执行的结果，以判断当前测试请求是否存在漏洞，如果是，则将该漏洞信息与上述获得的所述json对象中相应的字段名关联。2.根据权利要求1所述的基于iast快速定位json框架中污点数据位置的方法，其特征在于，通过所述iast工具插桩所述应用程序中的json解析函数，以获得该json解析函数返回对象的位置信息。3.根据权利要求2所述的基于iast快速定位json框架中污点数据位置的方法，其特征在于，创建包括若干已知解析类型的json解析函数的函数库，并判断当前所述应用程序中任一json类函数是否存在于所述函数库，如果是，则直接通过所述iast工具插桩该json类函数；如果否，则根据所述应用程序中每一json类函数的入参和返回值来推断用作解析json对象的json解析函数。4.一种基于iast快速定位json框架中污点数据位置的系统，以用于应用程序的漏洞检测和修复，所述应用程序基于json框架进行数据存储和参数传递，其特征在于，该系统包括：漏洞检测模块，其用于采用iast工具插桩待测应用程序，以将漏洞检测逻辑织入到所述应用程序，所述漏洞检测逻辑通过跟踪污点数据在所述应用程序中的传播途径进行漏洞检测；json对象位置获取模块，其用于获取当前所述应用程序中json解析函数返回对象的位置信息；数据提取模块，其用于测试用污点数据进入所述应用程序后，提取并存储所述json解析函数返回的json对象中的字段名、字段类型、字段值的映射关系；关联模块，其用于当测试请求存在漏洞时，将该漏洞信息与上述获得的所述json对象中相应的字段名关联。5.根据权利要求4所述的基于iast快速定位json框架中污点数据位置的系统，其特征在于，所述json对象位置获取模块通过所述iast工具插桩所述应用程序中的json解析函数，以获得该json解析函数返回对象的位置信息。6.根据权利要求5所述的基于iast快速定位json框架中污点数据位置的系统，其特征在于，所述json对象位置获取模块包括函数库创建模块、匹配模块、插桩模块和推断模块；所述函数库创建模块，用于创建包括若干已知解析类型的json解析函数的函数库；所述匹配模块，用于将当前应用程序中任一json类函数与所述函数库中的函数匹配，以确认所述应用程序中的json解析函数；
推断模块，用于当通过匹配模块确认当前应用程序中任一json类函数均不与所述函数库中的函数匹配时，根据所述应用程序中每一json类函数的入参和返回值来推断用作解析json对象的json解析函数；所述插桩模块，用于采用iast工具插桩所述json解析函数。7.一种基于iast快速定位json框架中污点数据位置的系统，其特征在于，包括：一个或多个处理器；存储器；以及一个或多个程序，其中一个或多个程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行，所述程序包括用于执行如权利要求1至3任一项所述的基于iast快速定位json框架中污点数据位置的方法的指令。8.一种计算机可读存储介质，其特征在于，包括计算机程序，所述计算机程序可被处理器执行以完成如权利要求1至3任一项所述基于iast快速定位json框架中污点数据位置的方法。

技术总结
本发明公开了一种基于IAST快速定位JSON框架中污点数据位置的方法及系统，该方法包括：采用IAST工具插桩待测应用程序，以将漏洞检测逻辑织入到应用程序，漏洞检测逻辑通过跟踪污点数据在应用程序中的传播途径进行漏洞检测；获取当前应用程序中JSON解析函数返回对象的位置信息；当测试用污点数据进入应用程序后，提取并存储JSON解析函数返回的JSON对象中的字段名、字段类型、字段值的映射关系；查询漏洞检测逻辑执行的结果，以判断当前测试请求是否存在漏洞，如果是，则将该漏洞信息与上述获得的JSON对象中相应的字段名关联；通过上述技术方案，当开发人员查看漏洞数据而进行漏洞修复时，可通过污点数据的字段名快速定位问题点，方便漏洞的修复工作。方便漏洞的修复工作。方便漏洞的修复工作。


技术研发人员：刘海涛 万振华 王颉 李华 董燕
受保护的技术使用者：深圳开源互联网安全技术有限公司
技术研发日：2022.07.04
技术公布日：2022/11/18