公开(公告)号：CN116595533A

公开(公告)日：2023-08-15

申请号：CN202310312434.4

申请日：2023-03-28

Applicant: 中国科学院信息工程研究所

Inventor： 刘潮歌 ,  李香龙 ,  刘奇旭 ,  陈星辰 ,  刘清越 ,  谭儒 ,  汪旭童 ,  尹捷

IPC: G06F21/57

Abstract: 本发明公开一种针对Java Web应用的注入型漏洞检测方法及系统，涉及计算机网络安全领域，为提高Java Web应用的安全性对其进行注入型漏洞检测，为安全分析人员和SDLC环节中的测试人员提供漏洞检测服务，本发明通过对注入型漏洞产生原理进行建模，构建了先验知识规则库，来对类方法进行标记。通过广度优先的污点分析算法对Source方法进行分析，构建局部函数调用图，并将函数调用时的污点传播信息存储到该图中。根据图中的污点传播信息进行分支路径的剪枝操作，最后通过深度遍历局部函数调用图来输出注入型漏洞调用链。此方式极大地提高了漏洞分析的效率以及漏洞的检出率。

公开(公告)号：CN114912110A

公开(公告)日：2022-08-16

申请号：CN202210279951.1

申请日：2022-03-21

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  陈文岗 ,  靳泽 ,  刘清越 ,  李香龙 ,  刘潮歌 ,  谭儒

IPC: G06F21/56 ,  G06F40/30 ,  G06F40/284

Abstract: 本发明提出一种Node.js代码安全检测方法及系统，涉及计算机网络安全领域，对待检测的程序代码及其所使用的第三方库代码进行TypeScript化处理，并将处理后的程序代码打包为单文件形式的程序代码；将打包后的程序代码编译为抽象语法树，并对程序代码中的动态特性进行静态化处理；将静态化处理后的抽象语法树编译为中间表示，标记入口函数、危险函数及无害化处理函数；对标记后的中间表示构建值流图，在图上进行双向污点分析，搜索潜在风险利用路径。本发明弥补了现有检测方法不能检测出控制流和数据流较为复杂中代码的安全风险的缺陷，有效地提高了Node.js代码的安全性。

公开(公告)号：CN114912110B

公开(公告)日：2024-08-06

申请号：CN202210279951.1

申请日：2022-03-21

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  陈文岗 ,  靳泽 ,  刘清越 ,  李香龙 ,  刘潮歌 ,  谭儒

IPC: G06F21/56 ,  G06F40/30 ,  G06F40/284

Abstract: 本发明提出一种Node.js代码安全检测方法及系统，涉及计算机网络安全领域，对待检测的程序代码及其所使用的第三方库代码进行TypeScript化处理，并将处理后的程序代码打包为单文件形式的程序代码；将打包后的程序代码编译为抽象语法树，并对程序代码中的动态特性进行静态化处理；将静态化处理后的抽象语法树编译为中间表示，标记入口函数、危险函数及无害化处理函数；对标记后的中间表示构建值流图，在图上进行双向污点分析，搜索潜在风险利用路径。本发明弥补了现有检测方法不能检测出控制流和数据流较为复杂中代码的安全风险的缺陷，有效地提高了Node.js代码的安全性。

公开(公告)号：CN116738437A

公开(公告)日：2023-09-12

申请号：CN202310702059.4

申请日：2023-06-14

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  刘清越 ,  曹雅琴 ,  谭儒 ,  李香龙 ,  何松林 ,  姚敦宇

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明公开了一种Java Web系统的越权漏洞检测方法及系统，涉及计算机网络安全和程序的静态分析领域，通过获取网站的JAR包或网站源码编译成的JAR包，通过编译得到Jimple中间代码；构建先验知识库；基于先验知识库和Jimple中间代码，构建Statement链结构；基于先验知识库和Jimple中间代码，构建ChainNode链结构；根据Statement链结构形成的调用链进行漏洞检测，找出鉴权框架越权漏洞；根据ChainNode链结构形成的调用图进行漏洞检测，找出控制器越权漏洞。本发明通过获取网站JAR包或者源代码，通过在源码和字节码层面的检测分析，即可分析并检测网站中存在的越权漏洞。

公开(公告)号：CN115270131A

公开(公告)日：2022-11-01

申请号：CN202210672646.9

申请日：2022-06-14

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  冯薪澄 ,  刘玉岭 ,  曹雅琴 ,  陈星辰 ,  李香龙 ,  刘清越 ,  刘潮歌

IPC: G06F21/57 ,  G06F21/56 ,  G06F21/55 ,  G06F11/36

Abstract: 本发明公开了一种Java反序列化漏洞检测方法及系统，涉及计算机网络安全领域，结合代码属性图技术、静态分析技术、动态插桩技术，选择在源码层面进行静态分析，提取程序语义信息；并通过设计三种不同维度的子图，将Java项目源代码转换为为线性的中间表示，共同构造代码属性图，在此基础上进行污点分析，自动化挖掘Java反序列化漏洞利用链；选择结合Java动态插桩技术以植入检测探针的方式在动态维度进行二次检测，辅以动态插桩技术进行实时监测。本发明解决了现有技术无法检测Java Web应用组件中潜在的Java反序列化漏洞以及检测效率低的问题。