基于参数流动模拟的Java Spring SQL/SSRF漏洞自动化挖掘方法

本发明涉及计算机安全领域，提出了一种基于参数流动模拟的Java Spring SQL/SSRF漏洞自动化挖掘方法，包括以下步骤：S1、解析待挖掘的JAR包中由源项目编译成的class文件，遍历Jar包中的class文件，提取控制器Controller下属的Mapping方法的输入参数为污点分析的起始点，作为污点传播的源头；基于方法参数单步所传播到的方法集合S‑1、SQL注入漏洞污点函数集合S‑2和SSRF污点函数集合S‑3进行漏洞链路检测。本发明旨在改进现有静态分析工具在识别Java Spring框架中的SQL/SSRF漏洞准确性和覆盖率不足的问题，具有高效性、准确性、高覆盖度等优点。