公开(公告)号：CN117454378A

公开(公告)日：2024-01-26

申请号：CN202311241254.8

申请日：2023-09-25

Applicant: 中国科学院信息工程研究所

Inventor： 苏赫 ,  李丰 ,  许丽丽 ,  晁会娜 ,  霍玮

IPC: G06F21/56 ,  G06F21/57 ,  G06F16/242

Abstract: 本发明公开一种面向现代Web应用中存储型XSS漏洞的静态检测方法及装置，所述方法包括：获取目标程序的源代码；基于源代码，获取数据库操作三元组信息，数据库操作三元组信息包括：数据库的操作动作、操作动作的表名和操作动作的字段名；基于数据库操作三元组信息进行污点源到数据库写操作和数据库读操作到污点汇聚点的两段式污点分析，以得到存储型XSS漏洞的静态检测结果。本发明可以帮助静态污点分析工具识别污点数据在数据库中的读写位置，并在拼接污点读路径和污点写路径之后，发现存储型XSS漏洞在系统中的位置。

公开(公告)号：CN110147673B

公开(公告)日：2021-08-31

申请号：CN201910249282.1

申请日：2019-03-29

Applicant: 中国科学院信息工程研究所

Inventor： 袁子牧 ,  肖扬 ,  汤仟 ,  王世阳 ,  苏赫 ,  班固 ,  霍玮 ,  邹维

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及一种基于文本和源代码符号提取的漏洞位置标注方法和装置。该方法的步骤包括：1)从漏洞描述文本中提取出 四元组作为漏洞位置线索；2)对漏洞描述文本所在的网络资源链接进行分析和源代码符号提取，以对所述四元组进行补全，并获得源代码行集合；3)给定源代码项目的各版本代码，将源代码项目中所包含的信息与所述四元组、所述源代码行集合进行比对，以标注漏洞位置。本发明以网络资源上的漏洞描述文本作为标注信息源提取出漏洞位置线索，通过与源代码项目中的符号进行比对以标注漏洞位置，是相比现有的依赖于固定模式的相关方法更为通用的漏洞位置标注方法。

公开(公告)号：CN110147673A

公开(公告)日：2019-08-20

申请号：CN201910249282.1

申请日：2019-03-29

Applicant: 中国科学院信息工程研究所

Inventor： 袁子牧 ,  肖扬 ,  汤仟 ,  王世阳 ,  苏赫 ,  班固 ,  霍玮 ,  邹维

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及一种基于文本和源代码符号提取的漏洞位置标注方法和装置。该方法的步骤包括：1)从漏洞描述文本中提取出 四元组作为漏洞位置线索；2)对漏洞描述文本所在的网络资源链接进行分析和源代码符号提取，以对所述四元组进行补全，并获得源代码行集合；3)给定源代码项目的各版本代码，将源代码项目中所包含的信息与所述四元组、所述源代码行集合进行比对，以标注漏洞位置。本发明以网络资源上的漏洞描述文本作为标注信息源提取出漏洞位置线索，通过与源代码项目中的符号进行比对以标注漏洞位置，是相比现有的依赖于固定模式的相关方法更为通用的漏洞位置标注方法。