【技术实现步骤摘要】
一种程序漏洞挖掘方法、装置、终端及存储介质
本专利技术涉及计算机安全
,尤其涉及一种程序漏洞挖掘方法、装置、终端及存储介质。
技术介绍
漏洞是由安全域切换到非安全域的触发点,即在计算机安全领域因设计不周而导致的系统或软件存在的缺陷,从而可以使攻击者在非授权的情况下访问或者破坏系统。漏洞是静态的、被动的,但是可触发的。漏洞挖掘是指对未知漏洞的探索,综合应用各种技术和工具,尽可能地找出软件中的潜在漏洞。常用漏洞挖掘技术包括了用户层和内核层两个方向。现有的用户层漏洞挖掘技术的主要目标是应用广泛的用户软件,比如web浏览器、office办公软件及outlook邮箱软件等。现有的内核层漏洞挖掘技术的主要目标是操作系统核心层、文件系统层和网络层等。目前的漏洞挖掘方案大多数是针对用户层软件的分析,有少数针对内核层的方案也很难覆盖到图形库程序,主要原因是图形库并不属于系统核心,易被忽视,其实现又比较复杂,现有技术无法进行深入有效的测试。
技术实现思路
本专利技术所要解决的技术问题在于,提供一种程序漏洞挖掘方法、装置、终端及存储介质,能够准确、有效地发现程序代码中的安全漏洞,提高...
【技术保护点】
1.一种程序漏洞挖掘方法,其特征在于,所述方法包括:根据测试目标选择对应的策略模板;根据所述策略模板生成测试用例,其中,所述生成测试用例包括生成接口测试用例、生成数据关系测试用例和生成数据流测试用例;将所述测试用例注入到所述测试目标中,对所述测试目标进行测试,并对测试过程中的日志进行保存;根据所述策略模板和所述日志生成复现脚本。
【技术特征摘要】
1.一种程序漏洞挖掘方法,其特征在于,所述方法包括:根据测试目标选择对应的策略模板;根据所述策略模板生成测试用例,其中,所述生成测试用例包括生成接口测试用例、生成数据关系测试用例和生成数据流测试用例;将所述测试用例注入到所述测试目标中,对所述测试目标进行测试,并对测试过程中的日志进行保存;根据所述策略模板和所述日志生成复现脚本。2.根据权利要求1所述的一种程序漏洞挖掘方法,其特征在于,所述生成接口测试用例包括:构建接口数据,所述接口数据根据预设的标准生成;对所述根据预设的标准生成的接口数据进行数据随机化;对所述接口进行分类组装,并按照预设的逻辑对所述分类组装后的接口进行排序;对所述接口的执行序列进行序列随机化。3.根据权利要求1所述的一种程序漏洞挖掘方法,其特征在于,所述生成数据关系测试用例包括:构建关系数据,所述关系数据根据预设的标准生成;对所述关系数据进行关系数据随机化;对所述关系进行分类;在基本关系正确的基础上,对所述关系进行关系复杂化。4.根据权利要求1所述的一种程序漏洞挖掘方法,其特征在于,所述生成数据流测试用例包括:构建数据流,所述数据流根据预设的标准生成;对上一次的测试中的数据流进行分析,以获得所述数据流的走向;根据当前数据流的可达路径对当前数据流进行数据广度优化;根据所述数据流的可达路径对当前数据流进行数据深度优化。5.根据权利要求1所述的一种程序漏洞挖掘方法,其特征在于,所述方法包括:当需要改变挖掘策略时,根据所述测试目标的测试需求远程热更新所述策略模板。6.根据权利要求5所述的一种程序漏洞挖掘方法,其特征在于,所述方法还包括:在测试过程中,根据返回的测试结果对所述策略模板进行动态调整。7.一种程序漏洞挖掘装置,其特征在于,包括:策略模板选择模块,用于根据测试目标选择对应的策略模板;测试用例生成模块,用于根据所述策略模板生成测试用例,其中,所述测试用例生成模块包括接口测试用例生成模块、关系测试用例生成模块和数据流测试用例生成模块;测试执行模块,用于将所述测试用例注入到所述测试目标中,对所述测试目标进行测试,并对测试过程中的日志进行保存;脚本用例复现模块,用于根据所述策略模板和所述日志生成复现脚本。8.根据权利要求7所述的一种程序漏洞挖掘装置,其特征在于,所述接口测试用例生成模块包括:接口数据构建模块,用于构建接口数据,所述接口数据根据预设的标准生成;接口数据随机化模块,用于对所述根...
【专利技术属性】
技术研发人员:韩鸷桐,陈楠,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。