基于IAST技术确认微服务调用中HTTP参数污染传播链的方法技术

本申请公开一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，包括：S1、利用插桩工具将检测逻辑织入应用程序；S2、获取微服务间的服务调用链，以及确定服务调用链是源自首次请求数据还是源自重放请求，若源自首次请求数据，则进入步骤S3，若源自重放请求，则进入步骤S5；S3、对首次请求数据进行参数污染；S4、对参数污染后的请求数据进行请求重放，重放请求中添加特征标记；S5、确定服务调用链的各微服务调用时的请求数据是否包含污染参数，如果是，则对该微服务添加参数污染标记，添加有参数污染标记的所有微服务形成参数污染传播链。本申请可以覆盖东西向流量的HTTP参数污染传播链确认，且能够准确地获取微服务间的参数污染传播链。数污染传播链。数污染传播链。

【技术实现步骤摘要】
基于IAST技术确认微服务调用中HTTP参数污染传播链的方法


[0001]本申请涉及HTTP参数污染跟踪
，具体涉及一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。

技术介绍

[0002]HTTP参数污染是一种常见的Web应用程序攻击，攻击者可以通过篡改HTTP请求中的参数来绕过应用程序的输入验证和过滤机制，从而执行恶意操作。目前主流技术一般是通过黑盒扫描的方式对收集到的流量（南北向流量）进行重放验证，但是在分布式微服务场景，参数污染可能存在服务间调用的场景，传统方式无法覆盖微服务调用（东西向）中的HTTP协议请求。

技术实现思路

[0003]本申请的目的在于提供一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法、装置、电子设备及计算机可读存储介质，可以解决上述
技术介绍
中存在的至少一技术问题。
[0004]为实现上述目的，本申请提供了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，包括：S1、利用插桩工具将检测逻辑织入应用程序；S2、基于所述检测逻辑获取微服务间的服务调用链，以及确定所述服务调用链是源自首次请求数据还是源自步骤S4的重放请求，若源自所述首次请求数据，则进入步骤S3，若源自所述重放请求，则进入步骤S5；S3、对所述首次请求数据进行参数污染；S4、对参数污染后得到的请求数据进行请求重放，重放请求中添加特征标记；S5、确定所述服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数，如果是，则对该微服务添加参数污染标记，添加有所述参数污染标记的所有微服务形成参数污染传播链。
[0005]可选地，所述获取微服务间的服务调用链，包括：监听服务调用函数，获取当前微服务调用其他微服务的请求数据；获取所述当前微服务的身份信息；获取所述其他微服务被调用时接收到的请求数据；基于所述当前微服务调用所述其他微服务的请求数据、所述当前微服务的身份信息以及所述其他微服务被调用时接收到的请求数据，得到所述服务调用链。
[0006]可选地，通过所述特征标记随请求数据的传播确定所述服务调用链是否源自步骤S4的重放请求。
[0007]可选地，通过污点数据跟踪分析技术确定所述服务调用链是否源自所述首次请求数据。
[0008]可选地，所述确定所述服务调用链源自所述首次请求数据与否，包括：若所述服务调用链的第一个请求数据是所述首次请求数据，依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度；若均符合相似度要求，确定所述服务调用链源自所述首次请求数据。
[0009]可选地，所述对所述首次请求数据进行参数污染，包括：基于所述服务调用链的第二个请求数据添加的参数对所述首次请求数据进行污染。
[0010]为实现上述目的，本申请还提供了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的装置，包括：织入模块，用于利用插桩工具将检测逻辑织入应用程序；获取及确定模块，用于基于所述检测逻辑获取微服务间的服务调用链，以及确定所述服务调用链是源自首次请求数据还是源自步骤S4的重放请求，若源自所述首次请求数据，则进入步骤S3，若源自所述重放请求，则进入步骤S5；污染模块，用于对所述首次请求数据进行参数污染；重放模块，用于对参数污染后得到的请求数据进行请求重放，重放请求中添加特征标记；确定及添加模块，用于确定所述服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数，如果是，则对该微服务添加参数污染标记，添加有所述参数污染标记的所有微服务形成参数污染传播链。
[0011]可选地，所述确定所述服务调用链源自所述首次请求数据与否，包括：若所述服务调用链的第一个请求数据是所述首次请求数据，依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度；若均符合相似度要求，确定所述服务调用链源自所述首次请求数据。
[0012]为实现上述目的，本申请还提供了一种电子设备，包括：处理器；存储器，其中存储有所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行如前所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
[0013]为实现上述目的，本申请还提供了一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时实现如前所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
[0014]本申请还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行如上所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
[0015]本申请基于织入应用程序的检测逻辑获取微服务间的服务调用链，在确定服务调用链源自首次请求数据时，对首次请求数据进行参数污染后再重放请求，且在重放请求中添加特征标记，以能够根据特征标记确定重放请求引发的服务调用链是源自该重放请求，在确定服务调用链是源自该重放请求后，再确定该服务调用链的各微服务调用时的请求数
据是否包含上述污染参数，如果是，则对该微服务添加参数污染标记，进而添加有参数污染标记的所有微服务形成参数污染传播链。本申请可以覆盖东西向流量的HTTP参数污染传播链确认，且能够准确地获取微服务间的参数污染传播链。
附图说明
[0016]图1是本申请实施例基于IAST技术确认微服务调用中HTTP参数污染传播链的方法的流程图。
[0017]图2是本申请实施例基于IAST技术确认微服务调用中HTTP参数污染传播链装置的示意框图。
[0018]图3是本申请实施例电子设备的示例框图。
具体实施方式
[0019]为了详细说明本申请的
技术实现思路
、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。
[0020]实施例一请参阅图1，本申请公开了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，包括：S1、利用插桩工具将检测逻辑织入应用程序。
[0021]具体地，利用IAST技术将检测逻辑的组件织入到应用程序中，其中检测逻辑的组件是与应用程序处于同一个容器的agent进程。
[0022]检测逻辑能够获取应用程序的每一个请求执行过程的上下文。在检测到应用程序的请求时，检测逻辑即开始跟踪数据流。关于如何利用插桩工具将检测逻辑织入应用程序以及检测逻辑如何跟踪应用程序的每一个请求执行过程并获取其上下文为本领域技术人员所知悉，这里不作详述。
[0023]S2、基于检测逻辑获取微服务间的服务调用链，以及确定服务调用链是源自首次请求数据还是源自步骤S4的重放请求（对首次请求数据进行参数污染后进行的重放请求），若源自首次请求数据，则进入步骤S3，若源自重放请求，则进入步骤S5。
[0024]具体地，获取微服务间的服务调用链，包括：监听服本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，其特征在于，包括：S1、利用插桩工具将检测逻辑织入应用程序；S2、基于所述检测逻辑获取微服务间的服务调用链，以及确定所述服务调用链是源自首次请求数据还是源自步骤S4的重放请求，若源自所述首次请求数据，则进入步骤S3，若源自所述重放请求，则进入步骤S5；S3、对所述首次请求数据进行参数污染；S4、对参数污染后得到的请求数据进行请求重放，重放请求中添加特征标记；S5、确定所述服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数，如果是，则对该微服务添加参数污染标记，添加有所述参数污染标记的所有微服务形成参数污染传播链。2.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，其特征在于，所述获取微服务间的服务调用链，包括：监听服务调用函数，获取当前微服务调用其他微服务的请求数据；获取所述当前微服务的身份信息；获取所述其他微服务被调用时接收到的请求数据；基于所述当前微服务调用所述其他微服务的请求数据、所述当前微服务的身份信息以及所述其他微服务被调用时接收到的请求数据，得到所述服务调用链。3.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，其特征在于，通过所述特征标记随请求数据的传播确定所述服务调用链是否源自步骤S4的重放请求。4.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，其特征在于，通过污点数据跟踪分析技术确定所述服务调用链是否源自所述首次请求数据。5.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法，其特征在于，所述确定所述服务调用链源自所述首次请求数据与否，包括：若所述服务调用链的第一个请求数据是所述首次请求数据，依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度；若均符合相似度要求，确定所述服务调...

【专利技术属性】
技术研发人员：刘海涛，万振华，王颉，李华，董燕，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：