基本信息:
- 专利标题: 一种基于Java字节码技术的代码审计方案
- 申请号:CN202111669815.5 申请日:2021-12-30
- 公开(公告)号:CN114528553A 公开(公告)日:2022-05-24
- 发明人: 郑振宇 , 王振 , 张氣箔 , 张坤洋
- 申请人: 天翼电子商务有限公司
- 申请人地址: 北京市西城区阜成门外大街31号4层429D
- 专利权人: 天翼电子商务有限公司
- 当前专利权人: 天翼电子商务有限公司
- 当前专利权人地址: 北京市西城区阜成门外大街31号4层429D
- 主分类号: G06F21/57
- IPC分类号: G06F21/57 ; G06F8/75 ; G06F8/41 ; G06T11/20 ; G06T11/40
摘要:
本发明公开了一种基于Java字节码技术的代码审计方案,简叙如下:通过ASM扫描Jar包或者War包中的字节码,获取包中的方法调用关系,父方法调用子方法;对方法调用关系进行逆拓扑排序,生成方法关系的有向无环图(TAG);分析每个方法的返回值和参数的关系,对参数进行污点标记;分析子方法的参数是否会被父方法参数影响,获取“污点”传递关系;最后根据用户提供的输入入口(source)和漏洞方法(sink)搜索整个方法调用关系图,找出输入入口到漏洞方法的方法调用链。
IPC结构图谱:
| G | 物理 |
| --G06 | 计算;推算;计数 |
| ----G06F | 电数字数据处理 |
| ------G06F21/00 | 防止未授权行为的保护计算机或计算机系统的安全装置 |
| --------G06F21/10 | .保护分布式程序或内容,例如版权资料的出售或许可 |
| ----------G06F21/57 | ..确保或维持可信任的计算机平台,例如安全引导或断电、版本控制、系统软件检查、安全更新或评估漏洞 |