【技术实现步骤摘要】
本专利技术涉及计算机,尤其涉及一种越权分析方法、装置、系统、计算机可读存储介质。
技术介绍
1、目前随着计算机技术的发展、各种新技术的接踵而至再加上开发人员在开发时缺少安全意识,所以导致了各种各样的软件漏洞层出不穷,并且黑客会利用这些漏洞进行网络攻击、破坏整个网络环境的安全。
2、为了保证整个网络环境的安全、降低黑客攻击的威胁,需要在黑客利用这些漏洞之前,通过漏洞挖掘技术发现软件的安全漏洞。因此漏洞挖掘技术成为网络空间安全领域深受关注的领域。
3、目前,通过静态分析软件的源码,主要对源码的语法、语义进行分析,重点分析源码中可能存在问题的敏感函数,比如,未进行边界检查的函数、用户编写的输入函数和缓冲区操作函数等。
4、但是,上述方案有时会造成将一些正确代码被定位为缺陷的问题,导致误报率较高,不能较为准确的反映出软件的实际问题。
5、公开于该
技术介绍
部分的信息仅仅旨在增加对本专利技术的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
技术实现思路
1、本专利技术实施例提供了一种越权分析方法、装置、系统、计算机可读存储介质,通过源码插桩完成基于业务逻辑的越权漏洞的检测,采集更多方法的执行信息,进而基于追踪到调用链信息对具有调用关系的多个方法进行整合,得到表示方法调用关系的调用链信息,辅助安全研究者更快速分析漏洞成因,能够快速发现越权漏洞,完成基于业务逻辑的越权漏洞的检测。
2、
3、本实施例中,通过源码插桩完成基于业务逻辑的越权漏洞的检测,采集更多方法的执行信息,进而基于追踪到第一调用链信息对具有调用关系的多个方法进行整合,得到表示方法调用关系的第二调用链信息,辅助安全研究者更快速分析漏洞成因,能够快速发现越权漏洞,完成基于业务逻辑的越权漏洞的检测。
4、在一种可能的实现方式中,所述基于所述多个第二调用链信息对所述第一测试请求进行风险分析,包括:对于所述多个第二调用链信息中的目标调用链信息,基于目标调用链信息确定目标调用栈,对预先设置的参考调用栈和所述目标调用栈进行匹配,确定调用栈匹配结果。
5、本实现方式中,通过与预先设置的调用栈的匹配情况,实现风险分析。
6、在一种可能的实现方式中,所述参考调用栈指示了多个栈帧和多个栈帧之间的先后顺序关系,所述对预先设置的参考调用栈和所述目标调用栈进行匹配,包括:在确定所述目标调用栈包括所述多个栈帧和多个栈帧之间的先后顺序关系,确定所述目标调用栈和所述参考调用栈匹配。
7、本实现方式中,基于调用栈的栈帧和栈帧之间的先后顺序关系实现调用栈的匹配,确保调用帧匹配结果的参考价值。
8、在一种可能的实现方式中,所述第一测试请求包括所述第一资源的第一资源标识,所述确定第一测试请求,包括:确定测试组;其中,所述测试组包括包括第一接口和第二接口,所述第一接口用于创建资源,所述第二接口用于对响应所述第一接口所创建的资源进行操作;基于所述第一接口和第二用户的用户标识,确定所述分布式系统在所述第二用户下创建第一资源后分配的第一资源标识;基于所述第二接口、第一用户的用户标识和所述第一资源标识,自动创建所述第一测试请求。
9、本实现方式中,考虑到资源标识是分布式系统在创建资源后分配的,而对已经创建的资源的后续操作依赖于资源标识,这里,通过针对一类资源的相关操作的接口汇集到一个测试组,体现资源的创建和创建后操作的流程,进一步以测试组为单位生成测试请求,确保测试过程依赖于实际情况,使得测试结果具有较高的参考价值。
10、在一种可能的实现方式中,所述确定测试组,包括:基于所述目标分布式应用的接口文档,确定多个接口和多个节点;其中,所述多个节点中每个节点表示一类资源的第一描述;确定所述多个节点和所述多个接口的关联关系;建立所述多个节点之间的关系实现接口关联,得到字典树;其中,所述字典树包括根节点和多个节点,从所述根节点到所述多个节点中任一节点所经过的节点表示了一类资源的第二描述;基于所述字典树中子树中每个节点所关联的接口,确定测试组;其中,所述子树中的根节点对应的接口中包括第一接口。
11、本实现方式中,通过资源的描述信息确定节点,并将具有相同的资源描述的接口关联到接口,之后,将可能归属于同一类资源的节点建立联系,实现接口关系,得到字典树;进一步的,以创建类的接口作为根节点对字典树进行剪枝,将不同节点关联的资源归并到测试组,得到的测试组可以较为准确的反映出对于资源的创建和创建后处理的流程。
12、在一种可能的实现方式中,所述测试组还包括第三接口,所述第三接口用于创建所述第一资源依赖的第二资源;所述方法还包括:基于所述第三接口和所述第二用户的用户标识,确定所述分布式系统在所述第二用户下创建第二资源后分配的第二资源标识;所述基于所述第一接口和第二用户的用户标识,确定所述分布式系统在所述第二用户下创建第一资源后分配的第一资源标识,包括:基于所述第一接口、第二用户的用户标识和所述第二资源标识,确定所述分布式系统在所述第二用户下创建第一资源后分配的第一资源标识。
13、本实现方式中,考虑资源依赖从而得到的测试请求更加符合实际情况,确保测试请求的参考价值。
14、在一种可能的实现方式中,所述基于所述第一接口和第二用户的用户标识,确定所述分布式系统在第二用户下创建第一资源后分配的第一资源标识,包括:基于所述第二用户的用户标识、第一资源和所述第一接口生成第一请求,确定所述分布式系统响应所述第一请求返回的返回信息;基于所述返回信息,确定所述分布式系统创建所述第一资源后分配的第一资源标识。
15、本实现方式中,基于真实的返回信息确保得到的资源标识的参考价值。
16、在一种可能的实现方式中,所述基于所述返回信息,确定所述分布式系统创建所述第一资源后分配的第一资源标识,包括:从所述测试组中确定所述第一接口的子接口;其中,所述子接口包括目标参数,所述第一接本文档来自技高网...
【技术保护点】
1.一种越权分析方法,其特征在于,应用于追踪分析系统,所述追踪分析系统用于和分布式系统交互,所述方法包括:
2.根据权利要求1所示的方法,其特征在于,所述基于所述多个第二调用链信息对所述第一测试请求进行风险分析,包括:
3.根据权利要求2所述的方法,其特征在于,所述参考调用栈指示了多个栈帧和多个栈帧之间的先后顺序关系,所述对预先设置的参考调用栈和所述目标调用栈进行匹配,包括:
4.根据权利要求1所述的方法,其特征在于,所述第一测试请求包括所述第一资源的第一资源标识,所述确定第一测试请求,包括:
5.根据权利要求4所述的方法,其特征在于,所述确定测试组,包括:
6.根据权利要求4所示的方法,其特征在于,所述测试组还包括第三接口,所述第三接口用于创建所述第一资源依赖的第二资源;
7.根据权利要求4所示的方法,其特征在于,所述基于所述第一接口和第二用户的用户标识,确定所述分布式系统在第二用户下创建第一资源后分配的第一资源标识,包括:
8.根据权利要求7所述的方法,其特征在于,所述基于所述返回信息,确定所
9.根据权利要求4所示的方法,其特征在于,所述第二接口用于对响应所述第一接口所创建的资源进行删除操作,所述测试组还包括第四接口,所述第四接口用于对创建的第一资源进行删除操作之外的其他操作;所述方法还包括:
10.根据权利要求1所示的方法,其特征在于,所述攻击操作为创建,所述第一资源为计算资源、存储资源或网络资源。
11.一种越权分析装置,其特征在于,所述越权分析装置和分布式系统交互,包括:
12.一种越权分析系统,其特征在于,所述越权分析系统包括追踪分析系统和分布式系统,所述追踪分析系统和分布式系统交互,其中,所述追踪分析系统用于执行如权利要求1-10任一所述的方法。
13.一种计算设备集群,其特征在于,包括:至少一个计算设备,每个计算设备包括处理器和存储器;
14.一种计算机可读存储介质,其特征在于,包括计算机程序指令,当所述计算机程序指令由计算设备集群执行时,所述计算设备集群执行如权利要求1-10任一所述的方法。
15.一种包含指令的计算机程序产品,其特征在于,包括计算机程序指令,当所述计算机程序指令被计算设备集群运行时,使得所述计算设备集群执行如权利要求1-10任一所述的方法。
...【技术特征摘要】
1.一种越权分析方法,其特征在于,应用于追踪分析系统,所述追踪分析系统用于和分布式系统交互,所述方法包括:
2.根据权利要求1所示的方法,其特征在于,所述基于所述多个第二调用链信息对所述第一测试请求进行风险分析,包括:
3.根据权利要求2所述的方法,其特征在于,所述参考调用栈指示了多个栈帧和多个栈帧之间的先后顺序关系,所述对预先设置的参考调用栈和所述目标调用栈进行匹配,包括:
4.根据权利要求1所述的方法,其特征在于,所述第一测试请求包括所述第一资源的第一资源标识,所述确定第一测试请求,包括:
5.根据权利要求4所述的方法,其特征在于,所述确定测试组,包括:
6.根据权利要求4所示的方法,其特征在于,所述测试组还包括第三接口,所述第三接口用于创建所述第一资源依赖的第二资源;
7.根据权利要求4所示的方法,其特征在于,所述基于所述第一接口和第二用户的用户标识,确定所述分布式系统在第二用户下创建第一资源后分配的第一资源标识,包括:
8.根据权利要求7所述的方法,其特征在于,所述基于所述返回信息,确定所述分布式系统创建所述第一资源后分配的第一资源标识,包括:
9....
【专利技术属性】
技术研发人员:聂辰峰,崔宝江,宋绪言,卜德宝,王子奇,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。