一种基于多重特征因子签名的IAST应用漏洞聚合方法与流程
- 国知局
- 2024-08-22 15:08:36
本申请涉及漏洞检测的,尤其是涉及一种基于多重特征因子签名的iast应用漏洞聚合方法。
背景技术:
1、 iast(交互式应用程序安全测试)是一种主流的漏洞检测工具,该工具可以辅助安全工程师发现软件中的漏洞。
2、 iast在实际使用中可以发现多种漏洞,并输出大量的检测结果,而这里既有真实漏洞,也存在误报和重复漏洞,需要人工判断并处理这些检测结果。
3、相关技术中,若产生的检测结果数量较多,需要人工一条一条进行识别,会消耗大量的工作量,且数量极多的检测结果中,可能会存在冗余,例如多个漏洞的代码执行流程是相同的,但是检测结果显示了几百个,导致人工分类和漏洞甄别的成本大大增大,同时,因为每一个漏洞记录都会在用户的研发流程中产生一个事件,每一个事件都需要走完一个完整的流程才能关闭,故每一个冗余的漏洞都会多浪费一个事件的处理成本。
技术实现思路
1、为了降低漏洞检测时的结果冗余性以减轻人工工作负担,本申请提供一种基于多重特征因子签名的iast应用漏洞聚合方法。
2、本申请提供的一种基于多重特征因子签名的iast应用漏洞聚合方法,采用如下的技术方案:
3、一种基于多重特征因子签名的iast应用漏洞聚合方法,应用于iast检测工具,包括以下步骤:
4、获取漏洞信息,所述漏洞信息包括漏洞sink点的调用栈、污点跟踪传播路径、上下文信息;
5、基于所述漏洞信息获取漏洞多重特征因子,所述漏洞多重特征因子包括漏洞位置、漏洞类型和输入点信息中的部分或全部;
6、根据所述多重特征因子计算所述漏洞的签名;
7、将所述漏洞的签名作为所述漏洞的唯一key以进行入库。
8、通过上述技术方案,通过对获取的漏洞信息提取多重特征因子,以多重特征因子来进行聚合,可将关联的漏洞信息进行批量处理入库处理,这样便能达到剔除冗余漏洞记录的目的,有效降低了漏洞检测时的结果冗余性,减少了人工工作负担。
9、在其中的一些实施例中,基于所述漏洞信息获取漏洞位置,包括以下步骤:
10、基于多级算法从所述漏洞sink点的所述调用栈提取所述漏洞位置,其中,所述漏洞sink点表征为所述漏洞的实际执行点。
11、在其中的一些实施例中,基于多级算法从所述漏洞sink点的所述调用栈提取所述漏洞位置,包括以下步骤:
12、采用第一优先级算法,在所述调用栈的行中从上至下依次搜索被测试应用的包名,并将搜索到的第一个结果作为所述漏洞位置;
13、若所述调用栈中未包含用户的所述包名,则采用第二优先级算法;
14、在所述第二优先级算法中,通过包名黑名单清洗从所述调用栈中删除属于预设的常见框架包名或路径的行,并从通过包名黑名单清洗后剩余的所述调用栈中的第一行作为所述漏洞位置;
15、若通过所述包名黑名单清洗后所述调用栈为空,则采用第三优先级算法;
16、在所述第三优先级算法中,直接调取所述调用栈的第一行数据作为所述漏洞位置。
17、在其中的一些实施例中,搜索被测试应用的包名,具体包括以下步骤:
18、获取所述被测试应用所使用的框架信息;
19、基于所述框架信息获取所述包名对应的固定存放位置。
20、在其中的一些实施例中,所述调用栈具体为逆序调用栈,其中,所述逆序调用栈表征为最上方一行表示所述调用栈获取位置的方法,最下方一行表示为被测试应用的当前线程的入口方法。
21、在其中的一些实施例中,基于所述漏洞信息获取所述输入点信息,包括以下步骤:
22、获取所述污点跟踪传输路径中的污染源路径节点信息;
23、获取所述污染源路径节点信息中所携带的输入点信息。
24、在其中的一些实施例中,根据所述多重特征因子计算所述漏洞的签名,包括以下步骤:
25、将所述漏洞多重特征因子按预设的顺序进行拼接以得到字符串;
26、依次进行hash算法以得到所述漏洞对应的签名。
27、在其中的一些实施例中,将所述漏洞多重特征因子按预设的顺序进行拼接时,允许部分字段为空或不存在。
28、综上所述,首先,通过获取漏洞信息,并生成漏洞多重特征因子,以此作为漏洞入库的唯一标识,降低了漏洞检测时的结果冗余性;另外,漏洞去重因子的计算方法可以根据实际需求进行调整和优化,以适应不同类型的漏洞应用场景;此外,本技术方案适用于多种iast检测工具,具有较强的通用性和可扩展性。
技术特征:1.一种基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,应用于iast检测工具,包括以下步骤:
2.根据权利要求1所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,基于所述漏洞信息获取漏洞位置,包括以下步骤:
3.根据权利要求2所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,基于多级算法从所述漏洞sink点的所述调用栈提取所述漏洞位置,包括以下步骤:
4.根据权利要求3所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,搜索被测试应用的包名,具体包括以下步骤:
5.根据权利要求3所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,所述调用栈具体为逆序调用栈,其中,所述逆序调用栈表征为最上方一行表示所述调用栈获取位置的方法,最下方一行表示为被测试应用的当前线程的入口方法。
6.根据权利要求3所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,基于所述漏洞信息获取所述输入点信息,包括以下步骤:
7.根据权利要求1所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于,根据所述多重特征因子计算所述漏洞的签名,包括以下步骤:
8.根据权利要求7所述的基于多重特征因子签名的iast应用漏洞聚合方法,其特征在于:将所述漏洞多重特征因子按预设的顺序进行拼接时,允许部分字段为空或不存在。
技术总结本申请涉及漏洞检测的技术领域,尤其是涉及一种基于多重特征因子签名的IAST应用漏洞聚合方法,其包括以下步骤:获取漏洞信息,漏洞信息包括漏洞sink点的调用栈、污点跟踪传播路径、上下文信息;基于漏洞信息获取漏洞多重特征因子,漏洞多重特征因子包括漏洞位置、漏洞类型和输入点信息中的部分或全部;根据多重特征因子计算漏洞的签名;将漏洞的签名作为漏洞的唯一key以进行入库。本申请具有降低漏洞检测时的结果冗余性以减轻人工工作负担的效果。技术研发人员:王剑锋,徐锋,范丙华,应勇受保护的技术使用者:杭州孝道科技有限公司技术研发日:技术公布日:2024/8/20本文地址:https://www.jishuxx.com/zhuanli/20240822/281348.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。