公开(公告)号：CN119918059A

公开(公告)日：2025-05-02

申请号：CN202411937923.X

申请日：2024-12-26

Applicant: 中国科学院信息工程研究所 ,  国家电网有限公司信息通信分公司 ,  国网天津市电力公司

Inventor： 刘玉岭 ,  章孟君 ,  韩冬旭 ,  程杰 ,  张越 ,  冯睿智 ,  夏昂 ,  李烁 ,  刘奇旭

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及计算机网络安全领域，具体涉及一种Java Web系统的越权漏洞检测方法及系统。本发明提出一种Java Web系统的越权漏洞检测方法，其步骤包括：获取Java Web应用待检测代码；利用Soot框架将所述待检测代码转化为JIMPLE IR；基于先验规则库和所述JIMPLE IR得到所述待检测代码中的各鉴权相关函数和各敏感函数；基于各鉴权相关函数的函数调用点是否可以到达一个或多个敏感函数，得到该鉴权相关函数的各鉴权出口；分析各鉴权出口结构的鉴权路径，以检测是否存在越权漏洞。本发明可以对API内部的存在缺陷的鉴权逻辑代码进行检测，而不仅仅停留于配置层面。同时通过引入大语言模型的推理能力，能检测出更深度和更复杂的越权漏洞。