公开(公告)号：CN119918059A

公开(公告)日：2025-05-02

申请号：CN202411937923.X

申请日：2024-12-26

Applicant: 中国科学院信息工程研究所 ,  国家电网有限公司信息通信分公司 ,  国网天津市电力公司

Inventor： 刘玉岭 ,  章孟君 ,  韩冬旭 ,  程杰 ,  张越 ,  冯睿智 ,  夏昂 ,  李烁 ,  刘奇旭

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及计算机网络安全领域，具体涉及一种Java Web系统的越权漏洞检测方法及系统。本发明提出一种Java Web系统的越权漏洞检测方法，其步骤包括：获取Java Web应用待检测代码；利用Soot框架将所述待检测代码转化为JIMPLE IR；基于先验规则库和所述JIMPLE IR得到所述待检测代码中的各鉴权相关函数和各敏感函数；基于各鉴权相关函数的函数调用点是否可以到达一个或多个敏感函数，得到该鉴权相关函数的各鉴权出口；分析各鉴权出口结构的鉴权路径，以检测是否存在越权漏洞。本发明可以对API内部的存在缺陷的鉴权逻辑代码进行检测，而不仅仅停留于配置层面。同时通过引入大语言模型的推理能力，能检测出更深度和更复杂的越权漏洞。

公开(公告)号：CN112988325A

公开(公告)日：2021-06-18

申请号：CN202110137137.1

申请日：2021-02-01

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  陈浪平 ,  张金莉 ,  王晓茜 ,  张越 ,  刘潮歌

IPC: G06F9/455 ,  G06K9/62 ,  G06N20/10

Abstract: 本发明公开了一种基于用户信息的安卓模拟器识别方法及系统，包括：服务端收集客户端的用户设备信息，其中所述用户设备信息通过在APP中嵌入设备指纹SDK得到；根据用户设备信息，构建M维的特征向量，其中M为属性的数量；将所述特征向量输入至安卓模拟器识别模型，获取识别结果。本发明所提及的设备信息完全不会泄露用户的个人信息，保证了用户个人信息安全，采集的数据不需要任何用户的授权，在不影响用户体验的同时，能够有效地检测出安卓模拟器。