(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211112965.0 (22)申请日 2022.09.14 (71)申请人 深圳开源互联网安全技 术有限公司 地址 518000 广东省深圳市龙华区民治街 道民乐社区星河WORLD二期E栋401- 405 (72)发明人 刘海涛　万振华　王颉　李华　 董燕　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 刘光明 (51)Int.Cl. G06F 21/57(2013.01) G06F 11/36(2006.01) G06F 9/451(2018.01)G06F 9/448(2018.01) (54)发明名称 基于IAST的安全测试方法及装置 (57)摘要 本申请公开一种基于IAST的安全测试方法 及装置， 其中方法包括： S1、 将检测逻辑织入被测 应用程序， 所述检测逻辑能够获取所述被测应用 程序的每一个请求执行过程的上下文； S2、 在jsp 页面跳转时， 插桩jsp跳转函数以从jsp跳转逻辑 中获取所述jsp页面跳转的请求地址并进行存 储； S3、 在利用所述检测逻辑检测到请求时， 实时 将该请求的地址与存储的所述jsp页面跳转的请 求地址进行匹配以确定该请求的地址是否与存 储的所述jsp页面跳转的请求地址相一致。 本申 请可以有效降低JSP页面内置跳转导致的IAS T误 报， 提高准确性， 而且能够减少人工审核， 有利于 提高效率， 降低成本 。 权利要求书1页 说明书6页 附图2页 CN 115186274 A 2022.10.14 CN 115186274 A 1.一种基于IAST的安全测试 方法， 其特 征在于， 包括如下步骤： S1、 将检测逻辑织入被测应用程序， 所述检测逻辑能够获取所述被测应用程序的每一 个请求执 行过程的上 下文； S2、 在jsp页面跳转时， 插桩jsp跳转函数以从jsp跳转逻辑中获取所述jsp页面跳转的 请求地址并进行存 储； S3、 在利用所述检测逻辑检测到请求时， 实时将该请求的地址与存储的所述jsp页面跳 转的请求地址进行匹配以确定该请求的地址是否与存储的所述jsp页面跳转的请求地址相 一致。 2.如权利要求1所述的基于IAST的安全测试 方法， 其特 征在于， 所述jsp页面跳转的请求 地址包括uri和对应的参数。 3.如权利要求1所述的基于IAST的安全测试 方法， 其特 征在于， 步骤S3中， 如果确定该请求的地址与存储的所述jsp页面跳转的请求地址不一致， 则继 续跟踪该请求的数据流。 4.如权利要求1所述的基于IAST的安全测试 方法， 其特 征在于， 步骤S3中， 该请求的地址在数据流跟踪的输入阶段时获取。 5.一种基于IAST的安全测试装置， 其特 征在于， 包括： 织入模块， 其用于将检测逻辑织入被测应用程序， 所述检测逻辑能够获取所述被测应 用程序的每一个请求执 行过程的上 下文； 获取模块， 其用于在jsp页面跳转时， 插桩jsp跳转函数以从jsp跳转逻辑中获取所述 jsp页面跳转的请求 地址并进行存 储； 匹配模块， 其用于在利用所述检测逻辑检测到请求时， 实时将该请求的地址与存储的 所述jsp页面跳转的请求地址进行匹配以确定该请求的地址是否与存储的所述jsp页面跳 转的请求 地址相一 致。 6.如权利要求5所述的基于IAST的安全测试装置， 其特 征在于， 所述jsp页面跳转的请求 地址包括uri和对应的参数。 7.如权利要求5所述的基于IAST的安全测试装置， 其特 征在于， 所述匹配模块如果确定该请求的地址与存储的所述jsp页面跳转的请求地址不一致， 则继续跟踪该请求的数据流。 8.如权利要求5所述的基于IAST的安全测试装置， 其特 征在于， 该请求的地址在数据流跟踪的输入阶段时获取。 9.一种电子设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1至4任一项所述的 基于IAST的安全测试 方法。 10.一种计算机可读存储介质， 其上存储有程序， 其特征在于， 所述程序被处理器执行 时实现如权利要求1至4任一项所述的基于IAST的安全测试 方法。权　利　要　求　书 1/1 页 2 CN 115186274 A 2基于IAST的安全测试方 法及装置 技术领域 [0001]本申请涉及计算机技 术领域， 具体涉及一种基于IAST的安全测试 方法及装置 。 背景技术 [0002]JSP （全称J avaServer  Pages） 是由Sun  Microsystems公司主导创建的一种动态网 页技术标准。 JSP部署于网络服务器上， 可以响应客户端发送的请求， 并根据请求内容动态 地生成HTML、 XML或其 他格式文档的Web网页， 然后返回给请求 者。 [0003]JSP动作元素用来控制JSP的行为， 执行一些常用的JSP页面动作。 通过动作元素可 以实现使用多行Java代码能够实现 的效果， 如包含页面文件、 实现请求转发等。 在JSP页面 中， 为了把其他资源的输出内容插入到当前JSP页面的输出内容中， JSP技术提供了<jsp: include>动作元素， 并且 可以通过使用<jsp:param>动作标记向这个程序传递参数信息。 其 语法格式如下： <jsp:include page="relativeURL  | <%=expres sion%>"> <jsp:param  name="pName1"  value="pValue1  | <%=expres sion1%>" /> <jsp:param  name="pName2 " value="pValue2  | <%=expres sion2%>" /> ... </jsp:include> 说明： <jsp:param>动作的name属性用于指 定参数名， value属性用于指定参数值。 在<jsp:include>动作 标记中， 可以使用多个<jsp:param>传递参数。 另外， <jsp:forward> 和<jsp:plugi n>动作标记中都可以利用<jsp:param>传递 参数。 [0004]<jsp:include>等动作元素会导致基于IAST基于跟踪污点数据时， 误把<jsp: param>传递的信息认为是外界输入， 当作污点数据跟踪， 引起不必 要的误报， 目前业界解决 的方案有两点： 人工二次审核： 花费时间长， 人力成本较高， jsp页面多或者层级复杂时， 会 加剧人力， 时间成本的消耗。 程序判断污点数据是否存在恶意字符， 匹配恶意字符容易出现 匹配不上或者匹配错 误的问题， 准确率 不高。 发明内容 [0005]本申请的目的在于提供一种基于IAST的安全测 试方法、 装置、 电子设备及计算机 可读存储介质， 可以有效降低JSP页面内置跳转导致的IAST误报， 提高准确性， 而且 能够减 少人工审核， 有利于提高效率， 降低成本 。 [0006]为实现上述目的， 本申请提供了一种基于IAST的安全测试 方法， 包括如下步骤： S1、 将检测逻辑织入被测应用程序， 所述检测逻辑能够获取所述被测应用程序的 每一个请求执 行过程的上 下文； S2、 在jsp页面跳转时， 插桩jsp跳转函数以从jsp跳转逻辑中获取所述jsp页面跳 转的请求 地址并进行存 储； S3、 在利用所述检测逻辑检测到请求时， 实 时将该请求的地址与 存储的所述jsp页说　明　书 1/6 页 3 CN 115186274 A 3