【技术实现步骤摘要】
一种应用软件漏洞扫描方法及相关设备
[0001]本说明书一个或多个实施例涉及网络安全
,尤其涉及一种应用软件漏洞扫描方法及相关设备。
技术介绍
[0002]随着计算机技术、网络技术的飞速发展和普及,网络安全已日渐成为人们关注的焦点问题之一。近几年来,各种线上应用的不断发展,越来越多的用户需求需要得到满足,随之而来的其程序源代码的规模也不断增大,同时由于程序开发时出现的高耦合性,使得易被利用的安全漏洞、代码后门也不再局限于过去的形式,这大大增加了使用传统方法检测源代码中安全漏洞的难度。因此,如何有效提高当前检测源代码漏洞的效率变成了亟待解决的问题
[0003]保障应用软件安全的最好方法,就是从其源代码入手进行检测和分析,既可以确保应用软件不被设立后门,也可以提前发现并解决潜在的漏洞安全威胁。灰盒测试是目前常见的源代码缺陷测试技术之一,该方法的主要特点是检测效率比白盒测试更高,从程序的整体出发,而非陷入程序的细节,同时具有一定的先验知识,比黑盒测试更加关注程序的内部逻辑,常常会通过一些表征性的现象、事件、标志来判断
【技术保护点】
【技术特征摘要】
1.一种应用软件漏洞扫描方法,包括:获取所述应用软件的程序源代码和程序基本信息;对所述程序源代码进行插桩;通过所述程序基本信息与程序信息数据库进行匹配,得到测试种子;根据预先设定的变异策略对所述测试种子进行变异,得到第一测试用例;通过所述第一测试用例对所述程序源代码进行预设轮数测试,得到所述应用软件的崩溃结果;根据所述应用软件的崩溃结果确定所述应用软件的漏洞。2.根据权利要求1所述的方法,其中,所述通过所述第一测试用例对所述程序源代码进行预设轮数测试,包括:利用所述第一测试用例对所述程序源代码进行第一轮测试;获取基于边和块的代码覆盖率;根据所述代码覆盖率,得到产生新路径的变异策略;在进行下一轮测试时增加产生新路径的变异策略的调度次数;基于产生新路径的变异策略对所述测试种子进行变异,以得到第二测试用例;利用所述第二测试用例对所述程序源代码进行新一轮测试,并返回步骤所述获取基于边和块的代码覆盖率的步骤继续执行,直至达到所述预设轮数。3.根据权利要求1所述的方法,其中,所述根据所述应用软件的崩溃结果确定所述应用软件的漏洞,之后还包括:获取所述应用软件崩溃时操作系统内核函数产生的第一崩溃信号;基于所述程序基本信息,确定所述程序源代码发生崩溃时相应产生的第二崩溃信号;响应于确定所述第一崩溃信号与所述第二崩溃信号相同...
【专利技术属性】
技术研发人员:张嘉玮,何跃鹰,张晓明,曹可建,杜鹏,孙中豪,罗冰,何连瑶,关广振,周雨晨,涂腾飞,王华伟,秦佳伟,崔栋,
申请(专利权)人:中时瑞安北京网络科技有限责任公司北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。