CN116760650B - 基于iast技术确认微服务调用中http参数污染传播链的方法 - Google Patents
基于iast技术确认微服务调用中http参数污染传播链的方法 Download PDFInfo
- Publication number
- CN116760650B CN116760650B CN202311061377.3A CN202311061377A CN116760650B CN 116760650 B CN116760650 B CN 116760650B CN 202311061377 A CN202311061377 A CN 202311061377A CN 116760650 B CN116760650 B CN 116760650B
- Authority
- CN
- China
- Prior art keywords
- micro
- request data
- service call
- parameter
- pollution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000001514 detection method Methods 0.000 claims abstract description 22
- 238000009941 weaving Methods 0.000 claims abstract description 3
- 238000011109 contamination Methods 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000004454 trace mineral analysis Methods 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 abstract description 4
- 238000004590 computer program Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,包括:S1、利用插桩工具将检测逻辑织入应用程序;S2、获取微服务间的服务调用链,以及确定服务调用链是源自首次请求数据还是源自重放请求,若源自首次请求数据,则进入步骤S3,若源自重放请求,则进入步骤S5;S3、对首次请求数据进行参数污染;S4、对参数污染后的请求数据进行请求重放,重放请求中添加特征标记;S5、确定服务调用链的各微服务调用时的请求数据是否包含污染参数,如果是,则对该微服务添加参数污染标记,添加有参数污染标记的所有微服务形成参数污染传播链。本申请可以覆盖东西向流量的HTTP参数污染传播链确认,且能够准确地获取微服务间的参数污染传播链。
Description
技术领域
本申请涉及HTTP参数污染跟踪技术领域,具体涉及一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
背景技术
HTTP参数污染是一种常见的Web应用程序攻击,攻击者可以通过篡改HTTP请求中的参数来绕过应用程序的输入验证和过滤机制,从而执行恶意操作。目前主流技术一般是通过黑盒扫描的方式对收集到的流量(南北向流量)进行重放验证,但是在分布式微服务场景,参数污染可能存在服务间调用的场景,传统方式无法覆盖微服务调用(东西向)中的HTTP协议请求。
发明内容
本申请的目的在于提供一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法、装置、电子设备及计算机可读存储介质,可以解决上述背景技术中存在的至少一技术问题。
为实现上述目的,本申请提供了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,包括:
S1、利用插桩工具将检测逻辑织入应用程序;
S2、基于所述检测逻辑获取微服务间的服务调用链,以及确定所述服务调用链是源自首次请求数据还是源自步骤S4的重放请求,若源自所述首次请求数据,则进入步骤S3,若源自所述重放请求,则进入步骤S5;
S3、对所述首次请求数据进行参数污染;
S4、对参数污染后得到的请求数据进行请求重放,重放请求中添加特征标记;
S5、确定所述服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数,如果是,则对该微服务添加参数污染标记,添加有所述参数污染标记的所有微服务形成参数污染传播链。
可选地,所述获取微服务间的服务调用链,包括:
监听服务调用函数,获取当前微服务调用其他微服务的请求数据;
获取所述当前微服务的身份信息;
获取所述其他微服务被调用时接收到的请求数据;
基于所述当前微服务调用所述其他微服务的请求数据、所述当前微服务的身份信息以及所述其他微服务被调用时接收到的请求数据,得到所述服务调用链。
可选地,通过所述特征标记随请求数据的传播确定所述服务调用链是否源自步骤S4的重放请求。
可选地,通过污点数据跟踪分析技术确定所述服务调用链是否源自所述首次请求数据。
可选地,所述确定所述服务调用链源自所述首次请求数据与否,包括:
若所述服务调用链的第一个请求数据是所述首次请求数据,依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度;
若均符合相似度要求,确定所述服务调用链源自所述首次请求数据。
可选地,所述对所述首次请求数据进行参数污染,包括:
基于所述服务调用链的第二个请求数据添加的参数对所述首次请求数据进行污染。
为实现上述目的,本申请还提供了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的装置,包括:
织入模块,用于利用插桩工具将检测逻辑织入应用程序;
获取及确定模块,用于基于所述检测逻辑获取微服务间的服务调用链,以及确定所述服务调用链是源自首次请求数据还是源自步骤S4的重放请求,若源自所述首次请求数据,则进入步骤S3,若源自所述重放请求,则进入步骤S5;
污染模块,用于对所述首次请求数据进行参数污染;
重放模块,用于对参数污染后得到的请求数据进行请求重放,重放请求中添加特征标记;
确定及添加模块,用于确定所述服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数,如果是,则对该微服务添加参数污染标记,添加有所述参数污染标记的所有微服务形成参数污染传播链。
可选地,所述确定所述服务调用链源自所述首次请求数据与否,包括:
若所述服务调用链的第一个请求数据是所述首次请求数据,依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度;
若均符合相似度要求,确定所述服务调用链源自所述首次请求数据。
为实现上述目的,本申请还提供了一种电子设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行如前所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
为实现上述目的,本申请还提供了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时实现如前所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行如上所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
本申请基于织入应用程序的检测逻辑获取微服务间的服务调用链,在确定服务调用链源自首次请求数据时,对首次请求数据进行参数污染后再重放请求,且在重放请求中添加特征标记,以能够根据特征标记确定重放请求引发的服务调用链是源自该重放请求,在确定服务调用链是源自该重放请求后,再确定该服务调用链的各微服务调用时的请求数据是否包含上述污染参数,如果是,则对该微服务添加参数污染标记,进而添加有参数污染标记的所有微服务形成参数污染传播链。本申请可以覆盖东西向流量的HTTP参数污染传播链确认,且能够准确地获取微服务间的参数污染传播链。
附图说明
图1是本申请实施例基于IAST技术确认微服务调用中HTTP参数污染传播链的方法的流程图。
图2是本申请实施例基于IAST技术确认微服务调用中HTTP参数污染传播链装置的示意框图。
图3是本申请实施例电子设备的示例框图。
具体实施方式
为了详细说明本申请的技术内容、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。
实施例一
请参阅图1,本申请公开了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,包括:
S1、利用插桩工具将检测逻辑织入应用程序。
具体地,利用IAST技术将检测逻辑的组件织入到应用程序中,其中检测逻辑的组件是与应用程序处于同一个容器的agent进程。
检测逻辑能够获取应用程序的每一个请求执行过程的上下文。在检测到应用程序的请求时,检测逻辑即开始跟踪数据流。关于如何利用插桩工具将检测逻辑织入应用程序以及检测逻辑如何跟踪应用程序的每一个请求执行过程并获取其上下文为本领域技术人员所知悉,这里不作详述。
S2、基于检测逻辑获取微服务间的服务调用链,以及确定服务调用链是源自首次请求数据还是源自步骤S4的重放请求(对首次请求数据进行参数污染后进行的重放请求),若源自首次请求数据,则进入步骤S3,若源自重放请求,则进入步骤S5。
具体地,获取微服务间的服务调用链,包括:
监听服务调用函数,获取当前微服务调用其他微服务的请求数据;
获取当前微服务的身份信息;
获取其他微服务被调用时接收到的请求数据;
基于当前微服务调用其他微服务的请求数据、当前微服务的身份信息以及其他微服务被调用时接收到的请求数据,得到服务调用链。
服务调用函数指的是对当前微服务调用其他微服务使用的执行函数,比如HttpClient,OkHttpClient。
以下是OkHttpClient的调用示例:OkHttpClient client = new OkHttpClient();
String url = "http://other-service.com/api/some-resource?paramA=A¶mB=B¶mA=B";
Request request = new Request.Builder()
.url(url)
.build();
Response response = client.newCall(request).execute()
为了便于理解何为当前微服务和其他微服务,举例如下:
假设存在微服务A、微服务B、微服务C、微服务D,微服务A调用微服务B,则微服务A为当前微服务,微服务B为其他微服务,被调用的微服务B接收到请求数据后被触发转换为当前微服务调用微服务C,此时微服务C为其他微服务,被调用的微服务C接收到请求数据后被触发转换为当前微服务调用微服务D,此时微服务D为其他微服务。
具体地,获取当前微服务的身份信息一般可以通过微服务启动的命令行参数或者微服务中某个文件里面的参数得知。
具体地,对其他微服务的监听在其他微服务接收到调用请求时触发,以获取其他微服务被调用时接收到的请求数据。
在获取到当前微服务调用其他微服务的请求数据、当前微服务的身份信息以及其他微服务被调用时接收到的请求数据之后,可以得到服务调用链。对于步骤S4的重放请求而言,由于重放请求有进行特征标记,因此可以通过特征标记随请求数据的传播准确地得到服务调用链。另外,对于首次请求数据引发的调用过程,也可以通过在客户端将要发出的请求数据中注入污点数据,以便于通过污点数据跟踪分析技术准确地得到服务调用链。
需要解释的是,客户端提交请求数据后,接收到对应请求数据的微服务为服务调用链的第一个微服务,第一个微服务接收到的请求数据即为首次请求数据。举例而言,客户端提交到微服务A的URL 为 http://www.pay.com/?money=10&to=Bob,微服务A即为第一个微服务,money=10&to=Bob即为首次请求数据。
确定服务调用链源自首次请求数据意味着,自服务调用链的第一个微服务至最后一个微服务的所有调用都是基于首次请求数据引发的。比如,服务调用链包括微服务A、微服务B、微服务C,微服务A在对首次请求数据添加参数后将请求数据发送给被调用对象微服务B,微服务B接收到的请求数据确定是来自微服务A发出的请求数据,微服务B接收到请求数据后再基于自身处理逻辑发送调用微服务C的请求数据,微服务C接收到的请求数据确定是来自微服务B发出的请求数据,如此即确定服务调用链源自首次请求数据。
具体地,可以通过上述污点数据跟踪分析技术确定服务调用链是否源自首次请求数据。当然,并不局限于该方式,比如:
确定服务调用链源自首次请求数据与否,可以包括:
若服务调用链的第一个请求数据是首次请求数据,依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度;
若均符合相似度要求,确定服务调用链源自首次请求数据。
具体地,通过特征标记随请求数据的传播确定服务调用链是否源自步骤S4的重放请求,若服务调用链中各微服务发出/接收的请求均含有特征标记,即可确定服务调用链源自步骤S4的重放请求。
需要注意的是,确定服务调用链是源自首次请求数据还是源自步骤S4的重放请求,并不是说确定的结果一定是其中之一,并不排除一些原因导致的意外情况。
S3、对首次请求数据进行参数污染。
具体地,对首次请求数据进行参数污染,包括:
基于服务调用链的第二个请求数据添加的参数对首次请求数据进行污染。即以与第二个请求数据中添加的参数相同的参数进行污染,惟,参数值不同。当然,并不局限于此。
需要解释的是,第二个请求数据即服务调用链中排在首次请求数据之后的首个请求数据,为服务调用链中第一个微服务发出的请求数据。
为了便于理解如何对首次请求数据进行参数污染,举例说明如下:
客户端提交到微服务A的URL:http://www.pay.com/?money=10&to=Bob,目的为转账给Bob10块钱;
微服务A会根据cookie(当前调用者名称) 添加from 参数,然后发送给微服务B,具体处理业务的代码为:
http://10.0.0.11/?from=Tom&money=10&to=Bob
money=10&to=Bob即为首次请求数据,from=Tom&money=10&to=Bob即为第二个请求数据;
在对首次请求数据进行参数污染时,添加from=Alice,污染后请求数据和URL分别为:
money=10&to=Bob&from=Alice
http://www.pay.com/?money=10&to=Bob&from=Alice
意味着可以从任何人账户中转账给Bob。
接着,微服务A会根据cookie(当前调用者名称) 添加from 参数,然后发送给微服务B,具体处理业务的代码为:
http://10.0.0.11/?from=Tom&money=10&to=Bob&from=Alice
在该示例中,若后端具体处理业务服务端为php+apache 架构则可以从任何人账户中转账给Bob。
需要注意的是,参数污染并不限制添加参数的具体位置,比如根据实际情况,可以添加在原有数据之前,也可以在原有数据之后。
S4、对参数污染后得到的请求数据进行请求重放,重放请求中添加特征标记(可以对请求头或请求参数中加入特征标记数据)。即以参数污染后得到的请求数据替换首次请求数据进行重放。
S5、确定服务调用链的各微服务调用时(调用其他微服务时)的请求数据是否包含步骤S3产生的污染参数,如果是,则对该微服务添加参数污染标记,添加有参数污染标记的所有微服务形成参数污染传播链。
具体说明如下:
从第一个节点(微服务)开始,如果第一个节点调用第二个节点的请求数据包含步骤S3产生的污染参数,则对第一个节点添加参数污染标记,如果第二个节点调用第三个节点的请求数据包含步骤S3产生的污染参数,则对第二个节点添加参数污染标记,如果第三个节点调用第四个节点的请求数据包含步骤S3产生的污染参数,则对第三个节点添加参数污染标记,如果第四个节点调用第五个节点的请求数据不包含步骤S3产生的污染参数,说明第四个节点对参数污染进行了处理,此时可以根据添加有参数污染标记的节点形成参数污染传播链,即第一个节点至第三节点的参数污染传播链。
本申请基于织入应用程序的检测逻辑获取微服务间的服务调用链,在确定服务调用链源自首次请求数据时,对首次请求数据进行参数污染后再重放请求,且在重放请求中添加特征标记,以能够根据特征标记确定重放请求引发的服务调用链是源自该重放请求,在确定服务调用链是源自该重放请求后,再确定该服务调用链的各微服务调用时的请求数据是否包含上述污染参数,如果是,则对该微服务添加参数污染标记,进而添加有参数污染标记的所有微服务形成参数污染传播链。本申请可以覆盖东西向流量的HTTP参数污染传播链确认,且能够准确地获取微服务间的参数污染传播链。
实施例二
请结合图2,本申请公开了一种基于IAST技术确认微服务调用中HTTP参数污染传播链的装置,包括:
织入模块201,用于利用插桩工具将检测逻辑织入应用程序;
获取及确定模块202,用于基于检测逻辑获取微服务间的服务调用链,以及确定服务调用链是源自首次请求数据还是源自步骤S4的重放请求,若源自首次请求数据,则进入步骤S3,若源自重放请求,则进入步骤S5;
污染模块203,用于对首次请求数据进行参数污染;
重放模块204,用于对参数污染后得到的请求数据进行请求重放,重放请求中添加特征标记;
确定及添加模块205,用于确定服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数,如果是,则对该微服务添加参数污染标记,添加有参数污染标记的所有微服务形成参数污染传播链。
具体地,确定服务调用链源自首次请求数据与否,包括:
若服务调用链的第一个请求数据是首次请求数据,依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度;
若均符合相似度要求,确定服务调用链源自首次请求数据。
本申请基于织入应用程序的检测逻辑获取微服务间的服务调用链,在确定服务调用链源自首次请求数据时,对首次请求数据进行参数污染后再重放请求,且在重放请求中添加特征标记,以能够根据特征标记确定重放请求引发的服务调用链是源自该重放请求,在确定服务调用链是源自该重放请求后,再确定该服务调用链的各微服务调用时的请求数据是否包含上述污染参数,如果是,则对该微服务添加参数污染标记,进而添加有参数污染标记的所有微服务形成参数污染传播链。本申请可以覆盖东西向流量的HTTP参数污染传播链确认,且能够准确地获取微服务间的参数污染传播链。
实施例三
请结合图3,本申请公开了一种电子设备,包括:
处理器30;
存储器40,其中存储有处理器30的可执行指令;
其中,处理器30配置为经由执行可执行指令来执行如实施例一所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
实施例四
本申请公开了一种计算机可读存储介质,其上存储有程序,程序被处理器执行时实现如实施例一所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
实施例五
本申请实施例公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行上述基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
应当理解,在本申请实施例中,所称处理器可以是中央处理模块(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application SpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上所揭露的仅为本申请的较佳实例而已,不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,均属于本申请所涵盖的范围。
Claims (9)
1.一种基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,其特征在于,包括:
S1、利用插桩工具将检测逻辑织入应用程序;
S2、基于所述检测逻辑获取微服务间的服务调用链,以及确定所述服务调用链是源自首次请求数据还是源自步骤S4的重放请求,若源自所述首次请求数据,则进入步骤S3,若源自所述重放请求,则进入步骤S5;
S3、对所述首次请求数据进行参数污染;
S4、对参数污染后得到的请求数据进行请求重放,重放请求中添加特征标记,通过所述特征标记随请求数据的传播确定所述服务调用链是否源自步骤S4的重放请求;
S5、确定所述服务调用链的各微服务调用时的请求数据是否包含步骤S3产生的污染参数,如果是,则对该微服务添加参数污染标记,添加有所述参数污染标记的所有微服务形成参数污染传播链。
2.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,其特征在于,
所述获取微服务间的服务调用链,包括:
监听服务调用函数,获取当前微服务调用其他微服务的请求数据;
获取所述当前微服务的身份信息;
获取所述其他微服务被调用时接收到的请求数据;
基于所述当前微服务调用所述其他微服务的请求数据、所述当前微服务的身份信息以及所述其他微服务被调用时接收到的请求数据,得到所述服务调用链。
3.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,其特征在于,
通过污点数据跟踪分析技术确定所述服务调用链是否源自所述首次请求数据。
4.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,其特征在于,
所述确定所述服务调用链源自所述首次请求数据与否,包括:
若所述服务调用链的第一个请求数据是所述首次请求数据,依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度;
若均符合相似度要求,确定所述服务调用链源自所述首次请求数据。
5.如权利要求1所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法,其特征在于,
所述对所述首次请求数据进行参数污染,包括:
基于所述服务调用链的第二个请求数据添加的参数对所述首次请求数据进行污染。
6.一种基于IAST技术确认微服务调用中HTTP参数污染传播链的装置,其特征在于,包括:
织入模块,用于利用插桩工具将检测逻辑织入应用程序;
获取及确定模块,用于基于所述检测逻辑获取微服务间的服务调用链,以及确定所述服务调用链是源自首次请求数据还是源自重放请求,若源自所述首次请求数据,则对所述首次请求数据进行参数污染,若源自所述重放请求,则确定及添加模块执行其功能;
污染模块,用于对所述首次请求数据进行参数污染;
重放模块,用于对参数污染后得到的请求数据进行请求重放,重放请求中添加特征标记,通过所述特征标记随请求数据的传播确定所述服务调用链是否源自所述重放模块的重放请求;
确定及添加模块,用于确定所述服务调用链的各微服务调用时的请求数据是否包含对所述首次请求数据进行参数污染所产生的污染参数,如果是,则对该微服务添加参数污染标记,添加有所述参数污染标记的所有微服务形成参数污染传播链。
7.如权利要求6所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的装置,其特征在于,
所述确定所述服务调用链源自所述首次请求数据与否,包括:
若所述服务调用链的第一个请求数据是所述首次请求数据,依次确定第一个微服务之后的微服务接收到的请求数据和前一微服务发出的请求数据的相似度;
若均符合相似度要求,确定所述服务调用链源自所述首次请求数据。
8.一种电子设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至5任一项所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
9.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1至5任一项所述的基于IAST技术确认微服务调用中HTTP参数污染传播链的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311061377.3A CN116760650B (zh) | 2023-08-23 | 2023-08-23 | 基于iast技术确认微服务调用中http参数污染传播链的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311061377.3A CN116760650B (zh) | 2023-08-23 | 2023-08-23 | 基于iast技术确认微服务调用中http参数污染传播链的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116760650A CN116760650A (zh) | 2023-09-15 |
| CN116760650B true CN116760650B (zh) | 2023-11-21 |
Family
ID=87953810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311061377.3A Active CN116760650B (zh) | 2023-08-23 | 2023-08-23 | 基于iast技术确认微服务调用中http参数污染传播链的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116760650B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381033A (zh) * | 2019-06-24 | 2019-10-25 | 深圳开源互联网安全技术有限公司 | Web应用漏洞检测方法、装置、系统、存储介质和服务器 |
| CN113055492A (zh) * | 2021-03-25 | 2021-06-29 | 深圳云之家网络有限公司 | 服务灰度链路的控制方法、装置、计算机设备和存储介质 |
| CN114116426A (zh) * | 2021-11-30 | 2022-03-01 | 平安养老保险股份有限公司 | 基于微服务的跟踪日志生成方法、装置、设备及介质 |
| CN114417353A (zh) * | 2021-12-24 | 2022-04-29 | 深圳开源互联网安全技术有限公司 | 一种字节数组检测方法、装置及计算机可读存储介质 |
| CN115580647A (zh) * | 2022-08-29 | 2023-01-06 | 江苏安超云软件有限公司 | 一种服务调用链路追踪方法、系统及电子设备 |
| CN116360931A (zh) * | 2022-11-17 | 2023-06-30 | 深圳前海微众银行股份有限公司 | 一种链路追踪方法、装置、系统及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893280B2 (en) * | 2009-12-15 | 2014-11-18 | Intel Corporation | Sensitive data tracking using dynamic taint analysis |
| US10860390B2 (en) * | 2017-06-28 | 2020-12-08 | Intel Corporation | Microservices architecture |
| US10983769B2 (en) * | 2019-05-16 | 2021-04-20 | Citrix Systems, Inc. | Systems and methods for using a call chain to identify dependencies among a plurality of microservices |
-
2023
- 2023-08-23 CN CN202311061377.3A patent/CN116760650B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381033A (zh) * | 2019-06-24 | 2019-10-25 | 深圳开源互联网安全技术有限公司 | Web应用漏洞检测方法、装置、系统、存储介质和服务器 |
| CN113055492A (zh) * | 2021-03-25 | 2021-06-29 | 深圳云之家网络有限公司 | 服务灰度链路的控制方法、装置、计算机设备和存储介质 |
| CN114116426A (zh) * | 2021-11-30 | 2022-03-01 | 平安养老保险股份有限公司 | 基于微服务的跟踪日志生成方法、装置、设备及介质 |
| CN114417353A (zh) * | 2021-12-24 | 2022-04-29 | 深圳开源互联网安全技术有限公司 | 一种字节数组检测方法、装置及计算机可读存储介质 |
| CN115580647A (zh) * | 2022-08-29 | 2023-01-06 | 江苏安超云软件有限公司 | 一种服务调用链路追踪方法、系统及电子设备 |
| CN116360931A (zh) * | 2022-11-17 | 2023-06-30 | 深圳前海微众银行股份有限公司 | 一种链路追踪方法、装置、系统及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于参数污点分析的软件行为模型;尹芷仪;沈嘉荟;郭晓博;查达仁;;中国科学院大学学报(05);第122-131页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116760650A (zh) | 2023-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| CN109034660B (zh) | 基于预测模型的风险控制策略的确定方法及相关装置 | |
| CN103888490B (zh) | 一种全自动的web客户端人机识别的方法 | |
| CN102833212B (zh) | 网页访问者身份识别方法及系统 | |
| CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
| CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
| CN110782374A (zh) | 基于区块链的电子取证方法及系统 | |
| CN104956372A (zh) | 使用运行时和静态代码分析来确定动态安全扫描的覆盖率 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| CN112632637A (zh) | 防篡改取证方法、系统、装置、存储介质及电子设备 | |
| CN111931189B (zh) | Api接口转用风险检测方法、装置和api服务系统 | |
| Bhatia et al. | Tipped Off by Your Memory Allocator: Device-Wide User Activity Sequencing from Android Memory Images. | |
| CN107306251B (zh) | 一种信息认证方法及网关设备 | |
| CN109150700A (zh) | 一种数据采集的方法及装置 | |
| CN110309669B (zh) | 一种数据标注方法、装置及设备 | |
| CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
| CN116760650B (zh) | 基于iast技术确认微服务调用中http参数污染传播链的方法 | |
| CN113852639A (zh) | 数据处理方法、装置、电子设备和计算机可读存储介质 | |
| CN111625837A (zh) | 识别系统漏洞的方法、装置和服务器 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN113392297A (zh) | 一种爬取数据的方法、系统及设备 | |
| CN111666541A (zh) | 版权的购买与使用方法、装置、电子设备及可读存储介质 | |
| CN115858320A (zh) | 操作日志记录方法、装置、介质及产品 | |
| CN105956173A (zh) | 页面内容获取方法和装置 | |
| CN112671615B (zh) | 前端用户操作行为数据的收集方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |