[发明专利]一种检测python代码漏洞的方法及装置在审

专利信息
申请号: 201510708735.4 申请日: 2015-10-27
公开(公告)号: CN105243019A 公开(公告)日: 2016-01-13
发明(设计)人: 廖新喜 申请(专利权)人: 北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司
主分类号: G06F11/36 分类号: G06F11/36
代理公司: 北京同达信恒知识产权代理有限公司 11291 代理人: 朱佳
地址: 100089 北京*** 国省代码: 北京;11
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 检测 python 代码 漏洞 方法 装置
【说明书】:

技术领域

发明涉及网络安全领域,特别涉及一种检测python代码漏洞的方法及装置。

背景技术

检测python代码漏洞是系统运维的必备手段,准确检测出python代码漏洞,可以有效防止非法攻击,从而保障系统的平稳运行。

现有技术下,检测python代码漏洞都是通过正则匹配方式实现的,即使用字符串来描述、匹配一系列符合某个句法规则的字符串。当通过正则匹配方式匹配了危险函数之后则确定选取到危险代码,即检测到python代码漏洞。

然而,并非每一种危险函数都对应着代码漏洞,部分危险函数包含的参数属于不可控参数,不存在危险性,而采用正则匹配方式仅仅是对代码做粗暴的分析,如果代码中存在“换行”,“注释”等规则难以描述的内容,则无法对其中的参数进行跟踪,无法确认当前参数是否可控。

显然,通过正则匹配方式进行python代码漏洞检测,误报率非常高,在很大程度上也浪费了系统资源。

发明内容

本发明实施例提供一种检测代码漏洞的方法及装置,用以解决现有技术下提高python代码漏洞检测的精准度。

本发明实施例提供的具体技术方案如下:

一种检测python代码漏洞的方法,包括:

对待检测的python代码进行语法解析,生成相应的语法树,以及对语法树进行数据流分析,提取出使用的危险函数;

对提取出的危险函数的外层函数所包含的参数进行跟踪,将赋值类型满足预设传递规则的参数确定为可控参数,组成可控参数集合;

将获得的危险函数中包含的参数与可控参数集合中的每一个可控参数进行匹配,若匹配成功,则确定危险函数中包含的参数为可控参数;

根据包含有可控参数的危险函数确定相应的代码漏洞。

这样,基于语法树对python代码进行语法分析,避免了代码中的复杂内容对分析过程所造成的干扰(如,“换行”、“注释”所来来的干扰),能够在语法树中识别出参数,并且能根据预设传递规则判断参数在流动的过程中是否可控,如果在整个解析范围内可控,则认定为可控参数,若识别出的危险函数中存在可控参数,则认为相应的一段代码存在漏洞,这样,大大提高了python代码漏洞检测的准确性,解决了python代码语法灵活正则表达式维护困难的问题,由于是自动化的跟踪参数,免去了人工单步跟踪参数,降低了操作复杂度。

较佳的,进一步包括:

在对python代码进行语法解析的过程中,根据指示删除非必要代码。

较佳的,进一步包括,

在进行数据流跟踪的过程中,基于输入import机制,从数据流以及python代码的环境变量中获取引入的第三方模块或/和第三方函数,并对所述第三方模块或/和第三方函数进行解析;

根据解析结果判断所述第三方模块或/和第三方函数包含的参数在整个函数处理过程是否发生改变,将未发生改变的参数归属于可控参数集合中。

较佳的,将赋值类型满足预设传递规则的参数确定为可控参数,具体包括:

将赋值类型满足以下规则中的一种或任意组合的参数确定为可控参数:

参数的赋值类型为:指定的属性取值;

参数的赋值类型为:字符串拼接,且被拼接的字符串中包含已认定的可控参数;

参数的赋值类型为:分片符取值;

参数的赋值类型为:列表解析式,且所述列表解析式基于至少一个可控因子进行迭代,或者,且所述列表解析式为包含有可控因子的列表相加;

参数为赋值类型为:经字符串操作函数处理的返回值,或/和,经未过滤函数处理的返回值。

较佳的,进一步包括:

对所述语法树进行类分析,在分析过程中将各个类的初始化参数归属于所述可控参数集合,以及对各个类的变量赋值进行跟踪,若任一危险函数中使用了类的变量,则确定所述任一危险函数包含有可控参数。

较佳的,确定任一危险函数中包含的参数为可控参数后,在根据所述任一危险函数确定相应的代码漏洞之前,进一步包括:

采用用户预设的安全函数或者python自带的安全函数对所述任一危险函数包含的可控参数进行处理,确定经处理后的可控参数仍可控时,最终判定所述任一危险函数为真正的危险函数。

一种检测python代码漏洞的装置,包括:

提取单元,用于对待检测的python代码进行语法解析,生成相应的语法树,以及对语法树进行数据流分析,提取出使用的危险函数;

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司,未经北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201510708735.4/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top