(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111524450.7 (22)申请日 2021.12.14 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 魏强　王允超　武泽慧　马琪灿　 王新蕾　周国淼　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 张立强 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01) (54)发明名称 一种基于状态偏离分析的访问控制漏洞检 测方法及系统 (57)摘要 本发明公开一种基于状态偏离分析的访问 控制漏洞检测方法及系统， 该方法包括： 将Web应 用程序的源代码作为输入， 通过静态分析提取出 站点地图以及代码中包含的预期行为逻辑， 然后 将生成的站点地图作为动态分析的引导， 并输入 多角色多用户的登录凭据， 用以获得不同登录状 态下的HTTP请求与响应； 使用有限状态机FSM对 Web应用程序进行建模， 将访问控制漏洞的发现 形式化为预期FSM行为模型和实 际FSM行为模型 之间的差异性比对， 识别出访问控制漏洞并生成 漏洞报告。 本发 明能够检测出静态分析难以发现 的复杂逻辑， 而且指向性的功能测试也会使 得检 测效率大幅度提高， 能够实现全路径 覆盖。 权利要求书2页 说明书10页 附图1页 CN 114417346 A 2022.04.29 CN 114417346 A 1.一种基于状态偏离分析的访问控制漏洞检测方法， 其特 征在于， 包括： 将Web应用程序的源代码作为输入， 通过静态分析提取出站点地图以及代码中包含的 预期行为逻辑， 然后将生成的站点地图作为动态分析 的引导， 并输入多角色多用户的登录 凭据， 用以获得不同登录状态下的HT TP请求与HT TP响应； 使用有限状态机FSM对Web应用程序进行建模， 将访问控制漏洞的发现形式化为预期 FSM行为模型和实际FSM行为模型之间的差异性比对， 识别出访问控制漏洞并生成漏洞报 告； 包括： 采用静态分析对Web应用程序的源代码中展现的预期行为逻辑中的访问控制 信息 进行分析， 建立预期FSM行为模型， 再与动态分析时Web应用程序实际运行过程中通过HTTP 请求与HT TP响应中蕴含的访问控制信息建立的实际FSM行为模型寻找差异点。 2.根据权利要求1所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 所述有限状态机FSM为(S,s0, σ,Λ,A, δ,F)， 其中S表示有限的状态集， 这些状态被表示 为Web应用程序具有唯一URL的页； s0表示初始状态， 即Web应用程序的主页； σ 表示有限的输 入集合； Λ表 示输出集合； A是一个三元 组<R,P,Se>， R表 示访问该页面的用户的访问权限级 别， P表示HTTP请求中的参数的集合及其对应的值， Se表 示会话变量的集合及其对应的值； δ 表示过渡函数， 其定义为 从S×σ×A到S的映射； F表 示最终状态的集合， 即Web应用程序内导 航结束的页面。 3.根据权利要求1所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 按照如下 方式构建预期FSM行为模型： 遍历Web应用程序的源代码， 如果有路由文件能够获得URL到文件的映射， 则读取该路 由文件， 构建关系映射， 提取参数； 查找页面内是否有与访问控制有关的函数， 确定访问控 制函数约束的范围， 建立应用功 能与角色的约束关系， 生成页面应用功能与约束的映射关 系， 如果该映射关系已经存在但约束不同， 则对该映射关系进行标记， 添加约束到列表， 以 此得到各个功能页面所 受约束关系列表， 作为功能节点状态集， 表 示为Web应用程序预期访 问有限状态机行为模型、 即预期FSM行为模型。 4.根据权利要求2所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 按照如下 方式构建实际FSM行为模型： 遍历HTTP请求和HTTP响应， 获得Session状态， 如果页面之前没有被访问过， 就创建一 个新状态， 生成请求响应的映射， 如果页面之前被访问过， 则直接获得存储过的状态， 建立 映射， 如果该映射已经存在但Session不同， 则将该Se添加到当前映射的Se集合中， 通过遍 历各个功能节 点的状态 集， 以此构建表示Web应用程序实际访问有限状态机行为模 型、 即实 际FSM行为模型。 5.根据权利要求2所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 所述访问控制漏洞的类型包括： 认证绕过， 垂直越权， 水平越权 。 6.根据权利要求5所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 所述认证绕过的检测过程包括： 通过在不存在会话检测及访问控制的页面中， 查询调用关系来建立起与登录状态的关 联， 从而分析 出是否存在认证绕过漏洞。 7.根据权利要求5所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 所述垂直越权的检测过程包括：权　利　要　求　书 1/2 页 2 CN 114417346 A 2识别预期FSM行为模型和 实际FSM行为模型中通往同一目标状态的转换以及能够访问 该状态的角色集， 将可以进入该状态的角色从会话变量中提取出来， 并存储在可访问的角 色列表中； 将所述角色列表从用于应用程序的全部角色集合中排除， 得到该状态的不应访问角色 集合， 列表被更新 为目标状态的URL和不能访问该状态的角色集 合； 上述过程 不断重复， 直到Web应用程序中的所有特权页面都被识别出来； 识别出特权页面后， 对特权页面和非特权角色提交攻击请求， 将攻击请求得到的响应、 即预期FS M行为模型得到的响应与正常执行时得到的响应、 即实际FS M行为模型得到的响应 进行比较， 从而分析 出是否存在垂直越权漏洞。 8.根据权利要求5所述的一种基于状态偏离分析的访问控制漏洞检测方法， 其特征在 于， 所述水平越权的检测过程包括： 确定任何参数和会话变量具有相同值的过渡函数； 对过渡函数的目标状态提出攻击请 求： 参数的值与会话变量的值不同； 将攻击请求得到的响应、 即预期FSM行为模型得到的响 应与正常执行时得到的响应、 即实际FS M行为模型得到的响应进 行比较， 从而确定是否存在 水平越权漏洞。 9.一种基于状态偏离分析的访问控制漏洞检测系统， 其特 征在于， 包括： 站点地图及行为逻辑提取模块， 用于将Web应用程序的源代码作为输入， 通过静态分析 提取出站点地图以及代码中包含的预期行为逻辑， 然后 将生成的站 点地图作为动态分析的 引导， 并输入多角色多用户的登录凭据， 用以获得不同登录状态下的HT TP请求与HT TP响应； FSM建模及漏洞检测模块， 用于使用有限状态机FSM对Web应用程序进行建模， 将访问控 制漏洞的发现形式化为预期FS M行为模型和实际FSM行为模型之间的差异 性比对， 识别出访 问控制漏洞并生 成漏洞报告； 包括： 采用静态分析对Web应用程序的源代码中展现的预期行 为逻辑中的访问控制信息进行分析， 建立预期FSM行为模型， 再与动态分析时Web应用程序 实际运行过程中通过HTTP请求与HTTP响应中蕴含的访问控制 信息建立的实际FS M行为模型 寻找差异点。权　利　要　求　书 2/2 页 3 CN 114417346 A 3