面向小程序模板的漏洞挖掘方法研究

Research on Vulnerability Mining Method for Mini-program Templates

下载PDF

导出

摘要小程序模板在开发过程中被广泛使用,但其固有的安全漏洞导致大量模板小程序面临安全风险.由于小程序模板代码闭源且使用情况不透明,现有方法难以对小程序模板固有漏洞以及衍生的小程序漏洞进行挖掘.为此,本文提出了一种面向小程序模板的融合多阶段聚类分析和模板行为分析的漏洞挖掘方法.该方法通过提取代码特征汇总相同模板开发的小程序,采用基于图匹配的启发式方法来识别相似的程序行为,即模板行为,以此构建小程序模板过程间控制流图,从而快速定位并系统性评估模板开发行为导致的小程序漏洞及其扩散现象.基于该方法本文实现了一个面向小程序模板的漏洞挖掘工具MTVMiner,从小程序集中提取出11489套小程序模板过程间控制流图,准确率达93.35%,并将其用于密钥泄漏漏洞检测,检出690套存在密钥泄漏漏洞的模板,影响超2万个小程序. Mini-program templates are widely used in the development,but their inherent vulnerabilities expose a large number of mini-programs to security risks.Due to the closed-source nature of mini-program template code and the lack of transparency in their usage,existing methods struggle to detect both the inherent vulnerabilities in the templates and the derived vulnerabilities in mini-programs.To address this,this paper proposes a vulnerability mining method for mini-program templates,which combines multi-stage clustering analysis and template behavior analysis.This method extracts code features to group mini-programs developed by same template,and uses a graph-matching-based heuristic approach to identify similar program behaviors,i.e.,template behaviors for constructing an inter-procedural control flow graph of mini-program templates.By analyzing inter-procedural control flow graph of templates,this method can quickly locate and systematically evaluates mini-program vulnerabilities and their spread caused by template development.Based on this method,we have implemented a vulnerability mining tool called MTVMiner for mini-program template,which extracts 11489 inter-process control flow graphs from collection of mini-programs with an accuracy rate of 93.35%.MTVMiner has been used for key leakage vulnerability detection,identifying 690 templates with key leakage vulnerabilities,affecting over 20000 mini-programs.

作者杨雲腾史一哲杨哲慜 YANG Yunteng;SHI Yizhe;YANG Zhemin(System and Security Laboratory,School of Computer Science,Fudan University,Shanghai 200433,China)

机构地区复旦大学计算机科学技术学院系统软件与安全实验室

出处《小型微型计算机系统》北大核心 2026年第2期443-450,共8页 Journal of Chinese Computer Systems

基金国家自然科学基金项目(62172104)资助.

关键词小程序模板图匹配数据流分析漏洞检测 MiniApp template graph matching data flow analysis vulnerability detection

分类号 TP311 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

1程楠楠,魏璐露.大规模语言模型驱动的场景化知识图谱构建研究[J].信息技术与信息化,2025(6):15-19.
2刘倩,毕超.基于赋分的医院智慧管理水平自评估模板的构建[J].中国医院建筑与装备,2025,26(5):44-48.
3李国莹,徐祝欣,李国梁,李雪,卢志浩,于润之,杨诚.基于柯恩达效应的小区收获机高效除杂装置辅助板设计与机理研究[J].农业机械学报,2025,56(12):343-353.
4余双双.内蒙古绿色矿山建设评价指标体系优化研究[J].工程技术与管理(香港),2026(6):163-165.
5牟群.宠物犬行为驯导课程开发与实践[J].上海畜牧兽医通讯,2025(6):104-107.
6褚野.生成式AI在信息安全漏洞挖掘中的效能与风险分析[J].软件,2025,46(10):26-28.
7郭喜锋,李博朝,贺杰,韩子默,张泽松.基于MCF的改进VF2缺口识别算法研究[J].南京航空航天大学学报(自然科学版),2026,58(1):73-81.
8丁伟,张蕾,高凡.基于模糊测试的TLS协议漏洞挖掘工具[J].通信技术,2025,58(11):1260-1267.
9项德良,张格,李韶亮,孙晓坤,胡粲彬.基于深度线结构提取的点线联合光-SAR图像配准方法[J].空天预警研究学报,2026,40(1):8-14.
10王晓蓉.声音识别技术在计算机网络信息入侵检测中的应用[J].电声技术,2025,49(10):138-140.

小型微型计算机系统

2026年第2期

浏览历史

内容加载中请稍等...

面向小程序模板的漏洞挖掘方法研究

相关作者

相关机构

相关主题

浏览历史