The invention relates to security detection, and discloses a code vulnerability detection method, device, device and storage medium. The method includes: receiving vulnerability detection instruction, extracting request identification contained in instruction, searching corresponding log storage path in mapping relationship, acquiring target log file and reading input and output parameter data according to log storage path, and acquiring input and output parameter data. Corresponding standard out parameter data, the target out parameter data contained in the input and output parameter data are compared with the standard out parameter data, and the comparison results are obtained. Because the log file and the input and output parameter data stored in the log file are obtained according to the request identification carried in the instruction, and then the target out parameter data and standard out parameter data contained in the input and output parameter data are imported. Line alignment can accurately determine whether there are code vulnerabilities in the process of code invocation according to the results of alignment. It realizes the accurate detection of code vulnerabilities and improves the efficiency of vulnerability detection.
【技术实现步骤摘要】
代码漏洞排查方法、装置、设备及存储介质
本专利技术涉及计算机软件
,尤其涉及一种代码漏洞排查方法、装置、设备及存储介质。
技术介绍
软件程序在实际应用中,可能会出现漏洞或缺陷(bug),对于线下程序代码而言,开发人员可根据bug对代码进行更改调试,但有些bug只在线上发生,且某些场景下线上代码是不能随意更改调试的,这就导致了bug排查时变得较为费劲且耗时较长。更重要的是,由于一些开源脚本语言框架(如PHP的laravel开发框架)对应的设计模式较多,一旦出现bug对代码进行调试和跟踪将会耗费大量的人力物力,因此,如何简单有效的对线上代码进行代码漏洞的排查,是一个亟待解决的问题。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供了一种代码漏洞排查方法、装置、设备及存储介质,旨在解决现有技术无法简单有效的对线上代码进行代码漏洞排查的技术问题。为实现上述目的,本专利技术提供了一种代码漏洞排查方法,所述方法包括以下步骤:接收漏洞排查指令,提取所述漏洞排查指令中包含的请求标识,在预先构建的映射关系中查找所述请求标识对应的日志存储路径;根据所述日志存储路径获取目标日志文件,并读取所述目标日志文件中预先存放的入参出参数据;获取所述入参出参数据对应的标准出参数据,将所述入参出参数据中包含的目标出参数据与所述标准出参数据进行比对,并获取比对结果。优选地,所述接收漏洞排查指令,提取所述漏洞排查指令中包含的请求标识的步骤之前,所述方法还包括:接收代码调用请求,检测所述代码调用请求中是否包含预设调用参数;在所 ...
【技术保护点】
1.一种代码漏洞排查方法,其特征在于,所述方法包括:接收漏洞排查指令,提取所述漏洞排查指令中包含的请求标识,在预先构建的映射关系中查找所述请求标识对应的日志存储路径;根据所述日志存储路径获取目标日志文件,并读取所述目标日志文件中预先存放的入参出参数据;获取所述入参出参数据对应的标准出参数据,将所述入参出参数据中包含的目标出参数据与所述标准出参数据进行比对,并获取比对结果。
【技术特征摘要】
1.一种代码漏洞排查方法,其特征在于,所述方法包括:接收漏洞排查指令,提取所述漏洞排查指令中包含的请求标识,在预先构建的映射关系中查找所述请求标识对应的日志存储路径;根据所述日志存储路径获取目标日志文件,并读取所述目标日志文件中预先存放的入参出参数据;获取所述入参出参数据对应的标准出参数据,将所述入参出参数据中包含的目标出参数据与所述标准出参数据进行比对,并获取比对结果。2.如权利要求1所述的方法,其特征在于,所述接收漏洞排查指令,提取所述漏洞排查指令中包含的请求标识的步骤之前,所述方法还包括:接收代码调用请求,检测所述代码调用请求中是否包含预设调用参数;在所述代码调用请求中包含所述预设调用参数时,调用预置钩子函数记录所述代码调用请求在请求生命周期内的函数调用信息,所述函数调用信息包括函数调用时的入参出参数据;将所述函数调用信息写入所述代码调用请求对应的日志文件,并获取所述日志文件的日志存储路径;按预设规则生成所述代码调用请求对应的请求标识,并构建所述请求标识与所述日志存储路径之间的映射关系。3.如权利要求2所述的方法,其特征在于,所述在所述代码调用请求中包含所述预设调用参数时,调用预置钩子函数记录所述代码调用请求在请求生命周期内的函数调用信息的步骤,包括:在所述代码调用请求中包含预设调用参数时,获取所述代码调用请求中携带的互联网协议地址;检测所述互联网协议地址是否属于预设互联网协议地址白名单;若属于,则调用预置钩子函数记录所述代码调用请求在请求生命周期内的函数调用信息。4.如权利要求3所述的方法,其特征在于,所述按预设规则生成所述代码调用请求对应的请求标识的步骤,包括:获取所述代码调用请求对应的请求接收时间,调用预置随机数生成插件生成目标随机数;对所述请求接收时间进行时间格式转换,获取对应的时间戳;将所述互联网协议地址、所述目标随机数以及所述时间戳进行组合,获取所述代码调用请求对应的请求标识。5.如权利要求4所述的方法,其特征在于,所述获取所述入参出参数据...
【专利技术属性】
技术研发人员:杨军,
申请(专利权)人:平安城市建设科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。