【技术实现步骤摘要】
一种容器化Java应用的灰盒测试方法、装置及系统
[0001]本申请公开的实施例主要涉及容器化
Java
应用安全领域,且更具体地,涉及一种容器化
Java
应用的灰盒测试方法
、
装置及系统
。
技术介绍
[0002]Java
是当下非常流行的一种编程语言,其广泛应用于
Web
应用
、
移动应用
、
嵌入式应用等各种类型应用程序的开发
。
由于基于
Java
的应用
(
即
Java
应用
)
具有跨平台能力
、
面向对象编程等特性,且有着良好的生态系统与开发者社区资源等优势,因此,其也成为了开发人员的首选;而随着相关技术的发展,
Java
应用也被广泛应用于云计算
、
大数据
、
分布式等领域
。
然而,随着数据化进程的持续推进,应用程序之于人类社会的...
【技术保护点】
【技术特征摘要】
1.
一种容器化
Java
应用的灰盒测试方法,其特征在于,该方法包括:在目标
Java
应用容器化部署过程中,当有请求触发目标
Java
应用部署,在目标应用容器实例创建前,创建
IAST
预载容器;所述
IAST
预载容器中预载有
IAST Agent Jar
包文件;以及在容器云平台集群节点上创建目标应用容器实例时,对于每个目标应用容器实例,使其中的目标
Java
应用在启动过程中通过当前目标应用容器实例与
IAST
预载容器间的共享卷将预载的
IAST Agent Jar
包文件加载到目标
Java
应用中,并在目标
Java
应用在
Java
虚拟机上初始化的过程中通过执行所述
IAST Agent Jar
包文件中的相关代码片段,加载
IAST Agent
到
Java
虚拟机,进而通过所述
IAST Agent
收集
/
监控目标
Java
应用运行时上下文,即时分析和识别目标
Java
应用中的安全缺陷和潜藏漏洞,或者将所述目标
Java
应用运行时上下文发送至分析引擎以分析和识别目标
Java
应用中的安全缺陷和潜藏漏洞
。2.
根据权利要求1所述的方法,其特征在于,使所述
IAST Agent
被配置得包括探针
Agent
,并使所述探针
Agent
通过对目标
Java
应用实例插桩第一探针逻辑,用以:收集
/
监控目标
Java
应用运行时的函数执行
、
数据传输以捕获其中的包括数据流
、
控制流在内的目标
Java
应用运行时上下文,以及,进而基于所述目标
Java
应用运行时上下文分析和识别目标
Java
应用中的安全缺陷和潜藏漏洞,或者,输出所述目标
Java
应用运行时上下文到分析引擎以分析和识别目标
Java
应用中的安全缺陷和潜藏漏洞;和
/
或,使所述
IAST Agent
被配置得包括流量代理模块,并使目标流量经过所述流量代理模块,和在目标流量流经时以所述流量代理模块复制当前目标流量并改造为安全测试流量,继而以所述安全测试流量发起安全测试,收集所述安全测试过程中请求
、
响应的流量信息以分析识别目标
Java
应用中的安全缺陷和潜藏漏洞
。3.
根据权利要求2所述的方法,其特征在于,所述探针
Agent
对目标
Java
应用插桩第一探针逻辑的过程,包括:在所述探针
Agent
的初始化过程中,根据
IAST Agent Jar
包文件中的配置文件注册用于第一字节码转换器,所述第一字节码转换器用于插桩第一探针逻辑,在类加载时使已注册的第一字节码转换器根据第一字节码转换规则进行类的字节码转换以插桩第一探针逻辑;其中,所述第一字节码转换规则,是指对应第一探针逻辑的字节码转换规则
。4.
根据权利要求3所述的方法,其特征在于,在所述第一字节码转换器中注册一个监听器,使所述监听到新的类加载到
Java
虚拟机且满足匹配时,使所述第一字节码转换器根据对应的字节码转换规则进行该类的字节码转换;和
/
或,所述第一字节码转换规则被记载在第一探针逻辑配置中;第一探针逻辑配置,根据目标
Java
应用所属分类的软件特点灵活配置
。5.
一种容器化
Java
应用的灰盒测试系统,其特征在于,该系统包括:
IAST
预载单元,以及容器化
Java
应用灰盒测试单元;其中,所述
IAST
预载单元用于为容器云平台上部署的每个目标应用容器实例中的容器化
Java
应用灰盒测试单元预载
IAST Agent Jar
包文件;在目标
Java
应用容器化部署过程中,所述
IAST
预载单元在当有请求触发目标
Java
应用部署时,将在目标应用容器实例创建前,创建
IAST
预载容器;所述
IAST
预载容器中预载有
IAST Agent Jar
包文件;所述容器化
Java
应用灰盒测试单元用于为其所在目标应用容器实例中的目标
Java
应用提供灰盒测试;在容器云平...
【专利技术属性】
技术研发人员:张涛,宁戈,张弛,周雅飞,杜玉洁,
申请(专利权)人:北京安普诺信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。