【技术实现步骤摘要】
基于优化变异策略的漏洞检测方法、装置、设备及介质
本公开涉及计算机
,尤其涉及一种基于优化变异策略的应用测试方法、装置、设备及介质。
技术介绍
随着互联网规模的快速增大和网络用户人数的快速增加,各种基于WEB的网络应用程序和服务也在海量增长。近几年来,伴随着越来越多的用户需求,各种应用程序也随着不断发展,促使应用程序的源代码规模不断地增大。应用程序的开发语言可以有多种选择,由于开发人员对信息安全以及网络安全缺乏足够的认知,同时对代码质量和代码安全问题没有足够的重视,因此在各种应用程序中都存在一些危险的安全漏洞,如果被黑产人员利用会对企业乃至个人造成巨大的损失。而由于程序员在开发应用程序时造成的高耦合性,使得易被利用的安全漏洞、代码后门也不再局限于过去的形式,采用传统方法检测源代码中的安全漏洞难度增加,不仅导致漏洞检测的效率降低还无法有效地检测漏洞。
技术实现思路
有鉴于此,本公开的目的在于提出一种基于优化变异策略的漏洞检测方法、装置、设备及介质。基于上述目的,根据本公开的第一方面,提供了一种...
【技术保护点】
1.一种基于优化变异策略的漏洞检测方法,包括:/n获取目标应用程序的源代码;/n对所述源代码进行编译和插桩,得到所述源代码的结构中每个分支的内部变量和判断条件,并形成分支-内部变量映射关系;/n对所述目标应用程序的输入变量所包括的各输入字节进行逐字节变动,确定所述源代码中随变动的所述输入字节发生变化的所述内部变量,得到输入字节-内部变量映射关系;/n基于所述分支-内部变量映射关系和所述输入字节-内部变量映射关系生成关于输入字节的优化变异策略;/n基于所述优化变异策略对所述源代码进行模糊测试,得到漏洞检测结果。/n
【技术特征摘要】
1.一种基于优化变异策略的漏洞检测方法,包括:
获取目标应用程序的源代码;
对所述源代码进行编译和插桩,得到所述源代码的结构中每个分支的内部变量和判断条件,并形成分支-内部变量映射关系;
对所述目标应用程序的输入变量所包括的各输入字节进行逐字节变动,确定所述源代码中随变动的所述输入字节发生变化的所述内部变量,得到输入字节-内部变量映射关系;
基于所述分支-内部变量映射关系和所述输入字节-内部变量映射关系生成关于输入字节的优化变异策略;
基于所述优化变异策略对所述源代码进行模糊测试,得到漏洞检测结果。
2.根据权利要求1所述的方法,其中,所述对所述源代码进行插桩包括:
对所述源代码进行词法分析和语法分析得到插桩的位置;
在所述插桩的位置插入信息采集代码,以获取所述源代码被执行时的特征数据。
3.根据权利要求2所述的方法,其中,得到所述源代码的结构中每个分支的内部变量和判断条件,包括:在所述插桩过程中对所述源代码进行词法分析和语法分析得到每个分支的内部变量和判断条件。
4.根据权利要求1所述的方法,其中,基于所述分支-内部变量映射关系和所述输入字节-内部变量映射关系生成关于输入字节的优化变异策略,包括:
基于所述输入字节-内部变量映射关系得到所述输入字节对应的内部变量;
基于所述输入字节对应的内部变量和所述分支-内部变量映射关系确定所述输入字节对应的所述判断条件;
基于所述判断条件生成所述输入字节对应的优化变异策略。
5.根据权利要求1所述的方法,其中,基于所述优化变异策略对所述源代码进行模糊测试,包括:
重新对所述源代码进行编译和插桩,得到经重新插桩的源代码;
基于所述优化变异策略针对所述输入变量的至少部分...
【专利技术属性】
技术研发人员:张嘉玮,何跃鹰,张晓明,杜鹏,曹可建,谷杰铭,邢燕祯,张程鹏,关广振,何连瑶,周雨晨,涂腾飞,
申请(专利权)人:国家计算机网络与信息安全管理中心,中时瑞安北京网络科技有限责任公司,北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。