【技术实现步骤摘要】
本申请涉及计算机,具体涉及一种csrf风险的检测方法、系统、装置、电子设备和计算机存储介质。
技术介绍
1、随着时代的发展,信息技术深远的改变着人们的工作和生活。但是在给人们带来便利的同时,信息技术也带来了新的安全隐患。
2、在过去几年中,csrf(跨站请求伪造,cross-site request forgery)是一种常见的漏洞,任何具有数据库/持久层内容增删改功能的接口,如果没有实现签名机制或token随机化,都有可能存在csrf漏洞,根据其特点,这种漏洞一般是出现在程序的web入口中。因此,在现有的应用场景中,开发人员需要对提交的代码进行相应的性能测试,以提前进行csrf风险检测。
3、然而,在传统的静态分析检测方法中,由于传统静态分析检测能力本身的局限性,容易出现风险漏报的情况,大部分漏报是因为在检测过程中常常会遇到控制流中断的情况,即“断边”现象,即调用图中出现的缺少函数或方法之间实际调用关系的情况,这种情况会导致无法完整识别出接口的潜在风险操作。因此,如何完整准确的识别出接口潜在的风险操作是目前亟需
本文档来自技高网...【技术保护点】
1.一种CSRF风险的检测方法,其特征在于,包括:
2.根据权利要求1所述的CSRF风险的检测方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的CSRF风险的检测方法,其特征在于,所述对待检测的源代码数据进行静态分析扫描,包括:
4.根据权利要求3所述的CSRF风险的检测方法,其特征在于,所述生成用于表示所述源代码数据控制流的调用图之前,进行如下分析:
5.根据权利要求3所述的CSRF风险的检测方法,其特征在于,所述分析所述调用图,判断所述调用图上是否具有CSRF风险特征的节点,包括:
6.根据权利...
【技术特征摘要】
1.一种csrf风险的检测方法,其特征在于,包括:
2.根据权利要求1所述的csrf风险的检测方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的csrf风险的检测方法,其特征在于,所述对待检测的源代码数据进行静态分析扫描,包括:
4.根据权利要求3所述的csrf风险的检测方法,其特征在于,所述生成用于表示所述源代码数据控制流的调用图之前,进行如下分析:
5.根据权利要求3所述的csrf风险的检测方法,其特征在于,所述分析所述调用图,判断所述调用图上是否具有csrf风险特征的节点,包括:
6.根据权利要求3所述的csrf风险的检测方法,其特征在于,所述分析所述调用图,判断所述调用图上是否存在csrf风险特征的节点,包括:
7.根据权利要求1所述的csrf风险的检测方法,其特征在于,所述算法模型包括第二csrf风险缺陷识别子模型和接口场景识别子模型;所述算法模型按照下述方式训练获得的:
8.根据权利要求1或2所述的csrf风险的检测方...
【专利技术属性】
技术研发人员:何君尧,杨可静,陈思依,林子敏,李奇,卢一宁,
申请(专利权)人:阿里巴巴中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。