CN111382437A

CN111382437A - 基于配置分析引擎的缺陷检测方法、设备和计算机可读存储介质

Info

Publication number: CN111382437A
Application number: CN202010137730.1A
Authority: CN
Inventors: 王宏
Original assignee: Sikeyun Beijing Software Technology Co Ltd
Current assignee: Sikeyun Beijing Software Technology Co Ltd
Priority date: 2020-03-03
Filing date: 2020-03-03
Publication date: 2020-07-07

Abstract

本发明涉及一种基于配置分析引擎的缺陷检测方法、设备和计算机可读存储介质。该方法包括：步骤1：输入文件；步骤2：判断该输入文件属于的类型，使用相应的分析引擎对该输入文件进行分析；步骤3：查找和判断符合缺陷特征的内容；步骤4：针对所查找的缺陷，查找对应的缺陷知识库；步骤5：生成缺陷结果文件。本发明解决了用户没有办法对缺陷库进行扩展的问题，能够构建一种系统型的配置分析方法，可扩展性强，使用简单，每次只需要增加一种规则，通过简单的培训即可以使用，系统的最终用户可以方便地进行扩展和添加新的缺陷，并且对配置型漏洞的管理具有系统性和统一性，可以广泛推广，便于开发人员和安全人员学习和使用。

Description

基于配置分析引擎的缺陷检测方法、设备和计算机可读存储介质

技术领域

本发明涉及源代码安全检测的技术领域，具体地涉及一种基于配置分析引擎的缺陷检测方法、设备和计算机可读存储介质。

背景技术

目前，随着互联网和移动互联网的发展，Web应用系统越来越普遍和流行，移动互联网使用的HTML5和Web页面都是基于 HTML语言。动态语言的最终生成结果也是HTML页面，如JSP 语言，ASP语言，以及PHP和Python语言的页面输出。这些基于HTML的静态和动态语言中通常会存在配置型的安全漏洞，给信息安全保障带来巨大的挑战。

另一方面在web开发中大量地使用XML和properties来存储配置信息，如数据库连接信息，应用链接信息，404页面跳转信息及http端口信息等，这些文件中同样存在一些配置型的安全漏洞。

本发明通过发明一种配置分析引擎来构建一种缺陷检测系统。主要解决静态和动态页面中的不安全的配置，以及应用系统常用的XML和properties中的不安全的配置，为企业所开发使用的应用系统安全保驾护航。

发明内容

本发明所要解决的技术问题是提供一种基于配置分析引擎的缺陷检测方法、设备和计算机可读存储介质，使得能够完整地表达数据传播的流程。

具体地，现有的技术只是针对特定的安全漏洞进行查找，如病毒库，每次只能针对一种，并且形式比较固定，可扩展性差。对一种新的安全漏洞的开发需要非常专业的人员并且需要大量的时间和成本。系统的最终用户几乎没有办法对缺陷库进行扩展。本发明构建一种系统型的配置分析方法，可扩展性强，使用简单，每次只需要增加一种规则，一般的业务人员通过简单的培训即可以使用。系统的最终用户可以方便地进行扩展和添加新的缺陷，并且本系统对配置型漏洞的管理具有系统性和统一性，可以广泛推广，便于开发人员和安全人员学习和使用。

通过本发明可以实现的技术目的不限于上文已经特别描述的内容，并且本领域技术人员将从下面的详细描述中更加清楚地理解本文中未描述的其他技术目的。

本发明解决上述技术问题的技术方案如下：

根据本公开的一方面，本发明提供一种基于配置分析引擎的缺陷检测方法，其特征在于，所述方法包括：

步骤1：输入文件；

步骤2：判断该输入文件属于的类型，使用相应的分析引擎对该输入文件进行分析；

步骤3：查找和判断符合缺陷特征的内容；

步骤4：针对所查找的缺陷，查找对应的缺陷知识库；

步骤5：生成缺陷结果文件。

可选地，在步骤2中，如果所述输入文件是属性文件，则K-V 分析引擎利用java.util.Properties类来解析所述输入文件，然后在解析后获得所述输入文件的所有Key-Value对的值。

可选地，在步骤3中，使用K-V分析引擎加载K-V规则来分析所述输入文件的所有Key-Value对的值中的每一个Key-Value对的值是否匹配K-V规则的格式，以来判断当前的Key-Value对是否是缺陷，所述K-V规则使用正则表达式来匹配Key-Value对，如果该Key-Value对的值匹配K-V规则的格式，则确定该 Key-Value对存在缺陷，确定所述输入文件的该Key-Value对所位于的一行存在缺陷。

可选地，在步骤2中，如果所述输入文件是xml文件，则使用X分析引擎对所述输入文件进行解析。

可选地，在步骤3中，所述X分析引擎加载相应的规则，使用该规则中的<XPathMatch>中的表达式内容来查找和判断在所述 xml文件中是否存在缺陷。

可选地，所述属性文件包括jdbc.properties文件。

可选地，所述xml文件包括asp、jsp、html、htmlx、html5、 xml文件。

根据本公开的一方面，本发明提供一种基于配置分析引擎的缺陷检测设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上任一项所述的基于配置分析引擎的缺陷检测方法的步骤。

根据本公开的一方面，本发明提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上任一项所述的基于配置分析引擎的缺陷检测方法的步骤。

上述技术方案仅为本发明实施例的一些部分，本领域技术人员从以下本发明的详细描述中可以导出和理解包含了本发明的技术特征的各种实施例。

本发明的技术方案采用数据节点的方式记录数据信息简单易于扩展，易于使用。数据信息表中的数据按名称排序，可以实现快速查找，使用起来更方便。数据信息表中存放所有的节点信息，后续所有数据方面的操作可以直接查找该表，不用再查找语法树，大大地提高了使用的效率。数据交叉的节点单独记录为多条数据链路，不容易产生混乱。以数组的方式记录数据链路，简单而易于使用。数据信息表可以作为数据字典表，也可以作为数据索引表来使用。数据污染点和数据传递过程记录详细，使用简单。。

本领域技术人员将会理解，通过本发明可以实现的效果不限于上文已经具体描述的内容，并且从以下详细说明中将更清楚地理解本发明的其他优点。

附图说明

被包括以提供对本发明的进一步理解的附图示出本发明的实施例，并且与说明书一起用于解释本发明的原理。

图1为本发明实施例提供的一种基于配置分析引擎的缺陷检测方法的流程图。

图2为本发明实施例的技术方案所使用的模块的示意图。

图3为本发明实施例提供的一种基于配置分析引擎的缺陷检测方法的示意图。

图4为本发明实施例提供的一种基于配置分析引擎的缺陷检测设备的示意图。

具体实施方式

现在将详细参考本发明的示例性实施例，其示例在附图中示出。下面将参考附图给出的详细描述旨在解释本发明的示例性实施例，而不是示出可以根据本发明实现的唯一实施例。以下详细描述包括具体细节以便提供对本发明的透彻理解。然而，对于本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下实践本发明。

在一些情况下，已知的结构和设备被省略或以框图形式示出，集中于结构和设备的重要特征，以免模糊本发明的概念。在整个说明书中将使用相同的附图标记来表示相同或相似的部分。

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

在本发明的描述中，需要理解的是，术语“上”、“下”、“中心”、“内”、“外”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。HTML是指超文本标记语言，标准通用标记语言下的一个应用。“超文本”就是指页面内可以包含图片、链接，甚至音乐、程序等非文字元素。超文本标记语言的结构包括“头”部分(英语：Head)、和“主体”部分(英语：Body)，其中“头”部提供关于网页的信息，“主体”部分提供网页的具体内容。XML是指可扩展标记语言，标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言。JSP 是指全名为Java ServerPages，中文名叫java服务器页面，其根本是一个简化的Servlet设计，它是在传统的网页HTML(标准通用标记语言的子集)文件(*.htm,*.html)中插入Java程序段(Scriptlet) 和JSP标记(tag)，从而形成JSP文件，后缀名为(*.jsp)。ASP是指 Active Server Pages，是MicroSoft公司开发的服务器端脚本环境，可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASP文件的请求时，它会处理包含在用于构建发送给浏览器的HTML(Hyper Text Markup Language，超文本置标语言) 网页文件中的服务器端脚本代码。除服务器端脚本代码外，ASP 文件也可以包含文本、HTML(包括相关的客户端脚本)和com 组件调用。XPATH是指XPath基于XML的树状结构，提供在数据结构树中找寻节点的能力。起初XPath的提出的初衷是将其作为一个通用的、介于XPointer与XSL间的语法模型。但是XPath很快的被开发者采用来当作小型查询语言。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

图1示出本发明实施例提供的一种基于配置分析引擎的缺陷检测方法的流程图。本发明实施例提供一种基于配置分析引擎的缺陷检测方法，所述方法包括：步骤1：输入文件；步骤2：判断该输入文件属于的类型，使用相应的分析引擎对该输入文件进行分析；步骤3：查找和判断符合缺陷特征的内容；步骤4：针对所查找的缺陷，查找对应的缺陷知识库；步骤5：生成缺陷结果文件。可选地，在步骤2中，如果所述输入文件是属性文件，则K-V 分析引擎利用java.util.Properties类来解析所述输入文件，然后在解析后获得所述输入文件的所有Key-Value对的值。可选地，在步骤3中，使用K-V分析引擎加载K-V规则来分析所述输入文件的所有Key-Value对的值中的每一个Key-Value对的值是否匹配 K-V规则的格式，以来判断当前的Key-Value对是否是缺陷，所述K-V规则使用正则表达式来匹配Key-Value对，如果该 Key-Value对的值匹配K-V规则的格式，则确定该Key-Value对存在缺陷，确定所述输入文件的该Key-Value对所位于的一行存在缺陷。可选地，在步骤2中，如果所述输入文件是xml文件，则使用X分析引擎对所述输入文件进行解析。可选地，在步骤3中，所述X分析引擎加载相应的规则，使用该规则中的<XPathMatch> 中的表达式内容来查找和判断在所述xml文件中是否存在缺陷。可选地，所述属性文件包括jdbc.properties文件。可选地，所述xml文件包括asp、jsp、html、htmlx、html5、xml文件。

图2示出了本发明实施例的技术方案所使用的模块。根据本发明的具体实施方式，本发明的技术方案将输入文件分为两类，一类是propeties属性文件，这种文件里面存储格式是Key-Value 的形式。

利用JAVA的jdk自带类java.util.Properties类来解析，解析后可到得所有Key和Value的值。然后用K-V分析引擎对其进行分析。分析引擎加载规则来分析Key和Value的值是否满足这种格式或不满足这种格式，以此来判断当前值是否是缺陷。如果是缺陷则把当前值、规则信息和缺陷知识库相关联得到完整的缺陷结果。

输入文件的另一类是xml格式的文件，这类文件包括asp，jsp， html，htmlx，html5，xml等，只要文件内容符合xml格式。对这类文件的分析使用X分析引擎，X分析引擎主要用Xpath对这些文件进行解析，主要是利用Xpath丰富的查找功能和强大的表达式功能。解析完目标文件后加载对应的规则来判定当前值是否是缺陷，如图3所示。

根据更具体的实施方式，本发明的详细步骤如下所示，步骤 01：输入文件jdbc.propertes，struts.xml。步骤02：判断文件 jdbc.properties属于第一类文件(属性文件)。步骤03：用K-Values 分析引擎进行分析，用java.util.Properties解析后得到Key值 database.password，Value的值为hao123456。步骤04：然后加载如下K-V规则，

V规则主要是用正则表达式来匹配name和valuse，如果匹配上，说明当前缺陷成立。匹配模式如上<NameMatch>中的值和 <ValueMatch>中的值。步骤05：在匹配成功后判定当前文件 jdbc.propertes的这一行是一个缺陷，缺陷名称是Password Management。步骤06：查找当前这类缺陷的知识库，例如

步骤07：生成漏洞结果文件，例如

步骤08：解析struts.xml文件。步骤09：用X分析引擎对当前文件进行分析。步骤10：加载X分析引擎对应的规则，例如

步骤10主要用<XPathMatch>中的表达式内容来查找和判断是否有符合要求的内容。如果有则为查找的缺陷。步骤11：查找对应的缺陷知识库，其过程与如上所述的步骤06相同。步骤12：生成缺陷结果文件，其过程与如上所述的步骤07相同。

实施例2

根据本发明的实施例，本发明提供一种基于配置分析引擎的缺陷检测设备，如图4所示，包括：存储器10、处理器12及存储在所述存储器10上并可在所述处理器12上运行的计算机程序，所述计算机程序被所述处理器12执行时实现如上实施例1中所述的基于配置分析引擎的缺陷检测方法的步骤。

实施例3

根据本发明的实施例，本发明提供一种计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上实施例1中所述的基于配置分析引擎的缺陷检测方法的步骤。

本发明的技术方案采用数据节点的方式记录数据信息简单易于扩展，易于使用。数据信息表中的数据按名称排序，可以实现快速查找，使用起来更方便。数据信息表中存放所有的节点信息，后续所有数据方面的操作可以直接查找该表，不用再查找语法树，大大地提高了使用的效率。数据交叉的节点单独记录为多条数据链路，不容易产生混乱。以数组的方式记录数据链路，简单而易于使用。数据信息表可以作为数据字典表，也可以作为数据索引表来使用。数据污染点和数据传递过程记录详细，使用简单。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本申请可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现。基于这样的理解，本申请的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

如上所述，已经给出了本发明的优选实施例的详细描述，以使本领域技术人员能够实施和实践本发明。虽然已经参照示例性实施例描述了本发明，但是本领域技术人员将会理解，在不脱离所附权利要求书中描述的本发明的精神或范围的情况下，可以在本发明中进行各种修改和改变。因此，本发明不应限于在此描述的特定实施例，而应被赋予与本文公开的原理和新颖特征一致的最宽范围。

Claims

1.一种基于配置分析引擎的缺陷检测方法，其特征在于，所述方法包括：

步骤1：输入文件；

步骤3：查找和判断符合缺陷特征的内容；

步骤4：针对所查找的缺陷，查找对应的缺陷知识库；

步骤5：生成缺陷结果文件。

2.根据权利要求1所述的方法，

其特征在于，在步骤2中，如果所述输入文件是属性文件，则K-V分析引擎利用java.util.Properties类来解析所述输入文件，然后在解析后获得所述输入文件的所有Key-Value对的值。

3.根据权利要求2所述的方法，

其特征在于，在步骤3中，使用K-V分析引擎加载K-V规则来分析所述输入文件的所有Key-Value对的值中的每一个Key-Value对的值是否匹配K-V规则的格式，以来判断当前的Key-Value对是否是缺陷，所述K-V规则使用正则表达式来匹配Key-Value对，如果该Key-Value对的值匹配K-V规则的格式，则确定该Key-Value对存在缺陷，确定所述输入文件的该Key-Value对所位于的一行存在缺陷。

4.根据权利要求1所述的方法，

其特征在于，在步骤2中，如果所述输入文件是xml文件，则使用X分析引擎对所述输入文件进行解析。

5.根据权利要求4所述的方法，

其特征在于，在步骤3中，所述X分析引擎加载相应的规则，使用该规则中的<XPathMatch>中的表达式内容来查找和判断在所述xml文件中是否存在缺陷。

6.根据权利要求2所述的方法，

其特征在于，所述属性文件包括jdbc.properties文件。

7.根据权利要求4所述的方法，

其特征在于，所述xml文件包括asp、jsp、html、htmlx、html5、xml文件。

8.一种基于配置分析引擎的缺陷检测设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的基于配置分析引擎的缺陷检测方法的步骤。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如权利要求1至7中任一项所述的基于配置分析引擎的缺陷检测方法的步骤。