[发明专利]一种拦截脏数据的方法和系统

说明书

本发明涉及计算机软件安全测试技术领域中的一种拦截脏数据的方法和系统，包括以下步骤：启动漏洞检测任务，加载对应用程序以及应用程序与数据库通信的底层代码；获取底层代码并编辑检测逻辑代码，得到底层检测代码；获取应用程序的原始请求，通过主动IAST发起重放请求，应用程序响应重放请求得到数据流；应用程序与数据库进行网络通信，触发底层检测代码启动；根据底层检测代码，检测数据流的结构化查询语言的类型；构造异常结构化查询语言，并发送给数据库；数据库返回报错信息到应用程序，并停止数据流写入数据库，具有拦截脏数据写入数据库、不影响用户请求以及查询类型的结构化查询语言正常执行的优点，突破了脏数据被携带写入数据库的瓶颈。

技术领域

本发明涉及计算机软件安全测试技术领域，具体涉及一种拦截脏数据的方法和系统。

背景技术

随着安全生命周期(简称SDL)、安全敏捷框架(简称DevSecOps)在企业的落地实施，交互式应用安全测试技术(简称IAST)作为评定网络安全领域的前十技术之一，融合了动态安全测试技术(简称DAST)和静态安全测试技术(简称SAST)的优势，具有高检出率、低误报率的优势，被越来越多的用户认可，并纳入SDL、DevSecOps流程中。

IAST的实现模式较多，其中最具代表性的是主动插桩模式和被动插桩模式，相较于被动插桩模式，主动插桩模式在运行时字节码插桩的基础上，基于原始请求构造重放请求验证漏洞，而应用程序的重要数据绝大部分是保存在数据库的，当重放请求被应用程序处理时，可能造成非用户预期的数据写入数据库，即脏数据写入数据库。

现有实现的主动IAST数据污染处理方案为基于socket底层函数判断重放请求，抛出异常的方案，但该方案会导致数据库连接耗尽后用户请求失败、查询类型的结构化查询语言(简称SQL)无法正常执行(查询类型的SQL不会造成数据污染，大部分SQL注入漏洞是需要执行查询类型的SQL的)等问题，这两项致命问题导致该方案实际无法落地。

发明内容

本发明针对现有技术中的缺点，提供了一种拦截脏数据的方法和系统，具有拦截脏数据写入数据库、不影响用户请求以及查询类型的结构化查询语言正常执行的优点，突破了应用程序处理重放请求时会携带脏数据写入数据库的瓶颈。

为了解决上述技术问题，本发明通过下述技术方案得以解决：

一种拦截脏数据的方法，包括以下步骤：

启动应用程序的漏洞检测任务，同时对应用程序以及应用程序与数据库通信的底层代码进行加载；

获取所述底层代码并编辑检测逻辑代码，将所述检测逻辑代码编入底层代码中，得到底层检测代码；

获取应用程序的原始请求，并通过主动IAST发起重放请求，应用程序响应重放请求；

获取应用程序响应重放请求时的数据流，应用程序携带数据流与数据库进行网络通信，并触发所述底层检测代码启动执行程序；

根据所述底层检测代码，检测数据流的结构化查询语言的类型是否为增删改类型；

当数据流的结构化查询语言为增删改类型时，构造异常结构化查询语言，并发送给数据库；

根据接收到的异常结构化查询语言，返回报错信息到应用程序，并根据报错信息停止数据流写入数据库。

可选的，获取应用程序的原始请求，并通过主动IAST发起重放请求，应用程序响应重放请求，包括以下步骤：

根据所述原始请求，主动IAST构造重放请求，并将重放请求发送至应用程序；

应用程序接收所述重放请求，并形成数据流。

可选的，所述检测数据流的结构化查询语言的类型是否为增删改类型，包括以下步骤：