公开(公告)号：CN115270131A

公开(公告)日：2022-11-01

申请号：CN202210672646.9

申请日：2022-06-14

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  冯薪澄 ,  刘玉岭 ,  曹雅琴 ,  陈星辰 ,  李香龙 ,  刘清越 ,  刘潮歌

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/55 ,  G06F11/36

Abstract: 本发明公开了一种Java反序列化漏洞检测方法及系统，涉及计算机网络安全领域，结合代码属性图技术、静态分析技术、动态插桩技术，选择在源码层面进行静态分析，提取程序语义信息；并通过设计三种不同维度的子图，将Java项目源代码转换为为线性的中间表示，共同构造代码属性图，在此基础上进行污点分析，自动化挖掘Java反序列化漏洞利用链；选择结合Java动态插桩技术以植入检测探针的方式在动态维度进行二次检测，辅以动态插桩技术进行实时监测。本发明解决了现有技术无法检测Java Web应用组件中潜在的Java反序列化漏洞以及检测效率低的问题。