买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉复旦大学申请的专利一种基于小程序框架的漏洞检测方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN115422543B 。

龙图腾网通过国家知识产权局官网在2025-08-15发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202211000984.4，技术领域涉及：G06F21/57；该发明授权一种基于小程序框架的漏洞检测方法是由杨珉;张磊;张智搏设计研发完成，并于2022-08-19向国家知识产权局提交的专利申请。

本一种基于小程序框架的漏洞检测方法在说明书摘要公布了：本发明属于漏洞检测与测试技术领域，具体为一种基于小程序框架的漏洞检测方法。本发明所述漏洞为两种类型：云侧软件成分加载漏洞和端侧应用API访问控制漏洞；对于前者，用模糊测试技术，将启动小程序的链接中的部分字段进行变异，然后通过安卓中的intent机制启动对应的APP并在其对应的小程序中加载相应的软件成分，通过加载结果来判断是否存在该类型的漏洞；对于后者，采用动态测试技术，在每次测试中控制单一变量，通过观察同一个敏感API的在不同实验环境下的调用结果来判断是否存在该类型的漏洞。本发明能够自动、快速检测出APP中类小程序框架中的两种漏洞，发现其在安全策略上存在的缺陷，从而阻挡攻击者的恶意攻击。

本发明授权一种基于小程序框架的漏洞检测方法在权利要求书中公布了：1.一种基于小程序框架的漏洞检测方法，其特征在于，具体步骤为： （一）收集端云结合的小程序数据集； （二）云侧软件成分加载漏洞的测试； 通过模糊测试来检测相应小程序是否存在云侧软件成分加载漏洞； 首先通过静态分析从小程序的代码资源中提取小程序的ID、该小程序包含的页面名称以及每一个页面启动时接收的参数字段名称，用于构造后续进行模糊测试的链接； 对于超级应用程序，从其官方文档中收集与小程序相关的DeepLink，或者通过静态分析从应用程序代码中提取可能的DeepLink；提取到DeepLink之后，DeepLink的格式如下：scheme:pathIDpage?Key=value；其中scheme的值与超级应用程序一一对应，每一个超级应用程序都有自己的scheme值，指定该值就指定了这个DeepLink将要启动哪一个超级应用程序；path字段也与超级应用程序强相关，超级应用程序使用该字段标识不同的业务；ID、page以及Key字段与小程序框架强相关，分别指定该DeepLink要启动的小程序、对应的页面以及向该页面传递的启动参数Key；对于这样一个DeepLink格式，根据不同的超级应用程序，向对应的字段填充相应的值，并且变异其中的value字段； 对于变异出来的每一个不同的DeepLink，其对应的内容能否被相应的小程序成功加载，通过hook住WebView组件的loadUrl函数执行结果来进行判断；如果该函数接收的参数与DeepLink中的内容一致，则说明该小程序存在云侧软件成分加载漏洞； （三）端侧敏感API发现 通过静态分析和动态测试相结合的方式发现更多的端侧的敏感API； 为了测试超级应用程序是否存在端侧API访问控制漏洞，首先从超级应用程序中提取出对应的API列表；此步骤的目标是定位APIpool并提取出其中存储的内容；识别API框架分为两步： 第一步，识别WebView组件并定位其绑定的JavaScriptBridge入口，该入口函数接收的参数就是每次的API调用，因此对入口函数接收的参数进行污点分析，当污染到APIpool时，将对应的APIpool所在类以及访问到该APIpool的方法签名输出成JSON格式的文件记录保存，用于后续的动态分析输入； 第二步，使用基于Xposed的hook框架，用于编写hook函数实时获取被触发的函数信息；将第一步的输出作为第二步的输入，通过读取JSON文件自动化hook住在第一步中被污染到的目标函数及可能的目标APIPool；接下来启动不同的超级应用程序，使用其中的小程序功能，被hook住的函数，如果被触发，就输出对应的信息，被触发的APIPool也会被打印出其中存储的内容，从而获取到超级应用程序提供给小程序框架的敏感API； （四）端侧API访问控制漏洞测试 通过动态测试来检测超级应用程序是否存在端侧API访问控制漏洞； 超级应用程序基于调用敏感API的小程序ID或调用敏感API的页面所属者身份做权限校验，对于某些特权小程序或某些特权页面所属者，他们拥有调用所有敏感API的权力；但结合“云侧软件成分加载漏洞”，就可以将攻击者的身份提权到特权级别的身份，攻击者就拥有了调用敏感特权API的能力； 为了检测超级应用程序的API访问控制是否存在漏洞，针对同一个API，将其在不同的身份下进行调用，如果其调用结果出现差异，就判定该API的访问控制存在漏洞； 为了尽可能地保证测试API的完备性，在小程序正常运行的过程中，收集不同API调用的示例，将其与端侧发现的敏感API求并集，将这个并集作为API调用库，建构测试用例； 对于同一个API，固定同一个小程序ID，改变不同的页面所属者身份，在这种实验条件下进行测试，比较其调用结果；如果在某一个页面所属者A身份条件下调用成功，而在其他页面所属者身份下调用失败，则说明该页面所属者A是特权身份，结合“云侧软件成分加载漏洞”模拟该页面所属者A，使攻击者拥有调用敏感API的能力； 对于同一个API，固定页面所属者身份，改变不同的小程序ID，在这种实验条件下进行测试，比较其调用结果；如果在某一个小程序ID“X”下调用成功，而在其他小程序ID下调用失败，则说明该小程序ID“X”是特权身份，结合“云侧软件成分加载漏洞”向该小程序中加载受攻击者控制的恶意页面，使攻击者拥有调用敏感API的能力。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人复旦大学，其通讯地址为：200433 上海市杨浦区邯郸路220号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。