買專利賣專利找龍圖騰，真高效！ 查專利查商標用IPTOP,全免費！專利年費監控用IP管家,真方便！

龍圖騰網獲悉復旦大學申請的專利一種基于小程序框架的漏洞檢測方法獲國家發明授權專利權，本發明授權專利權由國家知識產權局授予，授權公告號為：CN115422543B 。

龍圖騰網通過國家知識產權局官網在2025-08-15發布的發明授權授權公告中獲悉：該發明授權的專利申請號/專利號為：202211000984.4，技術領域涉及：G06F21/57；該發明授權一種基于小程序框架的漏洞檢測方法是由楊珉;張磊;張智搏設計研發完成，并于2022-08-19向國家知識產權局提交的專利申請。

本一種基于小程序框架的漏洞檢測方法在說明書摘要公布了：本發明屬于漏洞檢測與測試技術領域，具體為一種基于小程序框架的漏洞檢測方法。本發明所述漏洞為兩種類型：云側軟件成分加載漏洞和端側應用API訪問控制漏洞；對于前者，用模糊測試技術，將啟動小程序的鏈接中的部分字段進行變異，然后通過安卓中的intent機制啟動對應的APP并在其對應的小程序中加載相應的軟件成分，通過加載結果來判斷是否存在該類型的漏洞；對于后者，采用動態測試技術，在每次測試中控制單一變量，通過觀察同一個敏感API的在不同實驗環境下的調用結果來判斷是否存在該類型的漏洞。本發明能夠自動、快速檢測出APP中類小程序框架中的兩種漏洞，發現其在安全策略上存在的缺陷，從而阻擋攻擊者的惡意攻擊。

本發明授權一種基于小程序框架的漏洞檢測方法在權利要求書中公布了：1.一種基于小程序框架的漏洞檢測方法，其特征在于，具體步驟為： （一）收集端云結合的小程序數據集； （二）云側軟件成分加載漏洞的測試； 通過模糊測試來檢測相應小程序是否存在云側軟件成分加載漏洞； 首先通過靜態分析從小程序的代碼資源中提取小程序的ID、該小程序包含的頁面名稱以及每一個頁面啟動時接收的參數字段名稱，用于構造后續進行模糊測試的鏈接； 對于超級應用程序，從其官方文檔中收集與小程序相關的DeepLink，或者通過靜態分析從應用程序代碼中提取可能的DeepLink；提取到DeepLink之后，DeepLink的格式如下：scheme:pathIDpage?Key=value；其中scheme的值與超級應用程序一一對應，每一個超級應用程序都有自己的scheme值，指定該值就指定了這個DeepLink將要啟動哪一個超級應用程序；path字段也與超級應用程序強相關，超級應用程序使用該字段標識不同的業務；ID、page以及Key字段與小程序框架強相關，分別指定該DeepLink要啟動的小程序、對應的頁面以及向該頁面傳遞的啟動參數Key；對于這樣一個DeepLink格式，根據不同的超級應用程序，向對應的字段填充相應的值，并且變異其中的value字段； 對于變異出來的每一個不同的DeepLink，其對應的內容能否被相應的小程序成功加載，通過hook住WebView組件的loadUrl函數執行結果來進行判斷；如果該函數接收的參數與DeepLink中的內容一致，則說明該小程序存在云側軟件成分加載漏洞； （三）端側敏感API發現 通過靜態分析和動態測試相結合的方式發現更多的端側的敏感API； 為了測試超級應用程序是否存在端側API訪問控制漏洞，首先從超級應用程序中提取出對應的API列表；此步驟的目標是定位APIpool并提取出其中存儲的內容；識別API框架分為兩步： 第一步，識別WebView組件并定位其綁定的JavaScriptBridge入口，該入口函數接收的參數就是每次的API調用，因此對入口函數接收的參數進行污點分析，當污染到APIpool時，將對應的APIpool所在類以及訪問到該APIpool的方法簽名輸出成JSON格式的文件記錄保存，用于后續的動態分析輸入； 第二步，使用基于Xposed的hook框架，用于編寫hook函數實時獲取被觸發的函數信息；將第一步的輸出作為第二步的輸入，通過讀取JSON文件自動化hook住在第一步中被污染到的目標函數及可能的目標APIPool；接下來啟動不同的超級應用程序，使用其中的小程序功能，被hook住的函數，如果被觸發，就輸出對應的信息，被觸發的APIPool也會被打印出其中存儲的內容，從而獲取到超級應用程序提供給小程序框架的敏感API； （四）端側API訪問控制漏洞測試 通過動態測試來檢測超級應用程序是否存在端側API訪問控制漏洞； 超級應用程序基于調用敏感API的小程序ID或調用敏感API的頁面所屬者身份做權限校驗，對于某些特權小程序或某些特權頁面所屬者，他們擁有調用所有敏感API的權力；但結合“云側軟件成分加載漏洞”，就可以將攻擊者的身份提權到特權級別的身份，攻擊者就擁有了調用敏感特權API的能力； 為了檢測超級應用程序的API訪問控制是否存在漏洞，針對同一個API，將其在不同的身份下進行調用，如果其調用結果出現差異，就判定該API的訪問控制存在漏洞； 為了盡可能地保證測試API的完備性，在小程序正常運行的過程中，收集不同API調用的示例，將其與端側發現的敏感API求并集，將這個并集作為API調用庫，建構測試用例； 對于同一個API，固定同一個小程序ID，改變不同的頁面所屬者身份，在這種實驗條件下進行測試，比較其調用結果；如果在某一個頁面所屬者A身份條件下調用成功，而在其他頁面所屬者身份下調用失敗，則說明該頁面所屬者A是特權身份，結合“云側軟件成分加載漏洞”模擬該頁面所屬者A，使攻擊者擁有調用敏感API的能力； 對于同一個API，固定頁面所屬者身份，改變不同的小程序ID，在這種實驗條件下進行測試，比較其調用結果；如果在某一個小程序ID“X”下調用成功，而在其他小程序ID下調用失敗，則說明該小程序ID“X”是特權身份，結合“云側軟件成分加載漏洞”向該小程序中加載受攻擊者控制的惡意頁面，使攻擊者擁有調用敏感API的能力。

如需購買、轉讓、實施、許可或投資類似專利技術，可聯系本專利的申請人或專利權人復旦大學，其通訊地址為：200433 上海市楊浦區邯鄲路220號；或者聯系龍圖騰網官方客服，聯系龍圖騰網可撥打電話0551-65771310或微信搜索“龍圖騰網”。