公开(公告)号：CN116781327B

公开(公告)日：2024-01-16

申请号：CN202310594008.4

申请日：2023-05-24

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  徐博文 ,  马原 ,  郑昉昱

IPC: H04L9/40 ,  H04L9/08 ,  H04L9/32 ,  G06F16/2458 ,  G06F21/57

Abstract: 本发明公开了一种自动化密码应用安全漏洞挖掘方法、装置、介质及设备，涉及面向密码应用安全的漏洞挖掘领域，通过制定面向密码应用的密码漏洞规则集合；将被分析的程序文件转换成Jimple格式中间代码，生成该程序文件的系统依赖图；分析系统依赖图，确定用于静态切片分析的切片准则，包括第一类切片准则和第二类切片准则；在系统依赖图中定位第一类切片准则，根据第一类切片准则执行静态程序切片，得到对密钥参数以及所在指令产生影响的程序指令集；在该程序指令集中根据第二类切片准则执行静态程序切片，对对应不同密码漏洞检测规则的底层密码库API进行搜索，根据底层密码库API判断程序文件是否包含密码漏洞规则集合中的任一密码应用安全漏洞，得到程序文件的密码应用安全漏洞挖掘结果。本发明能够实现对密码应用中的密码相关安全漏洞的挖掘。

公开(公告)号：CN116781327A

公开(公告)日：2023-09-19

申请号：CN202310594008.4

申请日：2023-05-24

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  徐博文 ,  马原 ,  郑昉昱

IPC: H04L9/40 ,  H04L9/08 ,  H04L9/32 ,  G06F16/2458 ,  G06F21/57

Abstract: 本发明公开了一种自动化密码应用安全漏洞挖掘方法及装置，涉及面向密码应用安全的漏洞挖掘领域，通过制定面向密码应用的密码漏洞规则集合；将被分析的程序文件转换成Jimple格式中间代码，生成该程序文件的系统依赖图；分析系统依赖图，确定用于静态切片分析的切片准则，包括第一类切片准则和第二类切片准则；在系统依赖图中定位第一类切片准则，根据第一类切片准则执行静态程序切片，得到对密钥参数以及所在指令产生影响的程序指令集；在该程序指令集中根据第二类切片准则执行静态程序切片，对对应不同密码漏洞检测规则的底层密码库API进行搜索，根据底层密码库API判断程序文件是否包含密码漏洞规则集合中的任一密码应用安全漏洞，得到程序文件的密码应用安全漏洞挖掘结果。本发明能够实现对密码应用中的密码相关安全漏洞的挖掘。