公开(公告)号：CN114912110A

公开(公告)日：2022-08-16

申请号：CN202210279951.1

申请日：2022-03-21

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  陈文岗 ,  靳泽 ,  刘清越 ,  李香龙 ,  刘潮歌 ,  谭儒

IPC: G06F21/56 ,  G06F40/30 ,  G06F40/284

Abstract: 本发明提出一种Node.js代码安全检测方法及系统，涉及计算机网络安全领域，对待检测的程序代码及其所使用的第三方库代码进行TypeScript化处理，并将处理后的程序代码打包为单文件形式的程序代码；将打包后的程序代码编译为抽象语法树，并对程序代码中的动态特性进行静态化处理；将静态化处理后的抽象语法树编译为中间表示，标记入口函数、危险函数及无害化处理函数；对标记后的中间表示构建值流图，在图上进行双向污点分析，搜索潜在风险利用路径。本发明弥补了现有检测方法不能检测出控制流和数据流较为复杂中代码的安全风险的缺陷，有效地提高了Node.js代码的安全性。

公开(公告)号：CN114912110B

公开(公告)日：2024-08-06

申请号：CN202210279951.1

申请日：2022-03-21

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  陈文岗 ,  靳泽 ,  刘清越 ,  李香龙 ,  刘潮歌 ,  谭儒

IPC: G06F21/56 ,  G06F40/30 ,  G06F40/284

Abstract: 本发明提出一种Node.js代码安全检测方法及系统，涉及计算机网络安全领域，对待检测的程序代码及其所使用的第三方库代码进行TypeScript化处理，并将处理后的程序代码打包为单文件形式的程序代码；将打包后的程序代码编译为抽象语法树，并对程序代码中的动态特性进行静态化处理；将静态化处理后的抽象语法树编译为中间表示，标记入口函数、危险函数及无害化处理函数；对标记后的中间表示构建值流图，在图上进行双向污点分析，搜索潜在风险利用路径。本发明弥补了现有检测方法不能检测出控制流和数据流较为复杂中代码的安全风险的缺陷，有效地提高了Node.js代码的安全性。