公开(公告)号：CN108256338B

公开(公告)日：2021-04-27

申请号：CN201810160508.6

申请日：2018-02-27

Applicant: 中南大学

Inventor： 王伟平 ,  刘小玄 ,  张雨清 ,  宋虹 ,  王建新

IPC: G06F21/57 ,  G06F21/62

Abstract: 本发明提出了一种基于扩展API改写的Chrome扩展敏感数据跟踪方法，通过分析Chrome扩展API的输入输出数据关系，分别对扩展中的数据获取API、通信API、输出API以及与数据流无关API定义了不同的改写规则，使得改写后的扩展只包含原生的JavaScript函数，同时保持原扩展的输入输出数据流关系。进而再采用已有的JavaScript数据流跟踪方法进行跟踪，同时动态生成测试页面来有效触发扩展行为。测试结果表明本发明可有效覆盖扩展中的数据流通路以及有效触发扩展行为，从而检测出Chrome扩展中的敏感数据传输路径。

公开(公告)号：CN108256338A

公开(公告)日：2018-07-06

申请号：CN201810160508.6

申请日：2018-02-27

Applicant: 中南大学

Inventor： 王伟平 ,  刘小玄 ,  张雨清 ,  宋虹 ,  王建新

IPC: G06F21/57 ,  G06F21/62

Abstract: 本发明提出了一种基于扩展API改写的Chrome扩展敏感数据跟踪方法，通过分析Chrome扩展API的输入输出数据关系，分别对扩展中的数据获取API、通信API、输出API以及与数据流无关API定义了不同的改写规则，使得改写后的扩展只包含原生的JavaScript函数，同时保持原扩展的输入输出数据流关系。进而再采用已有的JavaScript数据流跟踪方法进行跟踪，同时动态生成测试页面来有效触发扩展行为。测试结果表明本发明可有效覆盖扩展中的数据流通路以及有效触发扩展行为，从而检测出Chrome扩展中的敏感数据传输路径。