【技术实现步骤摘要】
漏洞测试方法、装置、计算机设备和存储介质
[0001]本申请涉及应用安全测试
,特别是涉及一种漏洞测试方法、装置、计算机设备和存储介质。
技术介绍
[0002]为了发现软件应用的漏洞和缺陷,确保WEB应用程序在交付前后的安全性,需要利用安全测试技术来主动识别WEB应用程序(可以通过WEB访问的应用程序)中架构的薄弱点和漏洞,防止相应应用被黑客及非法人员利用,造成安全危害。
[0003]WEB应用安全测试技术经过多年的发展,已有如SAST,DAST,IAST这些测试技术,但是专利技术人在实施过程中发现,传统的WEB应用安全测试技术,多存在无法确定具体漏洞位置的缺陷,而对于那些能够实现漏洞位置检测的,又难以适用于不同类型的代理,导致投入的研发成本高,应用场景受限。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够进行漏洞动态追踪回溯和漏洞发现的漏洞测试方法、装置、计算机设备和存储介质。
[0005]一方面,提供了一种漏洞测试方法,该方法包括:
[0006]获取待...
【技术保护点】
【技术特征摘要】
1.一种漏洞测试方法,其特征在于,所述方法包括:获取待检测的源代码,并按照预设规则将所述源代码进行切割得到令牌文件;利用分析引擎对所述令牌文件进行跟踪,以确定所述源代码的输入接口;通过正反向跟踪与所述源代码的输入接口相关联的变量,进行变量跟踪过程的回溯检查,查找所述变量传递过程中的漏洞;对所述源代码进行语义分析和语法分析,得到对应的语法树;遍历所述语法树并结合正反向跟踪与各所述代码的输入接口相关联的变量所查找到的所述变量传递过程中的漏洞,确定所述源代码经系统编译后所述漏洞对应的网络地址路径和所述源代码中漏洞位置之间的逻辑关系。2.根据权利要求1所述的方法,其特征在于,所述通过正反向跟踪与所述源代码的输入接口相关联的变量,进行变量跟踪过程的回溯检查,查找所述变量传递过程中的漏洞的步骤包括:正反向跟踪与所述输入接口相关联的变量,通过检查所述变量在传递过程中有代码逻辑漏洞,和/或,检查所述变量是否传入到高危函数,和/或,检查敏感函数的参数,以确定所述变量传递过程中的漏洞。3.根据权利要求1所述的方法,其特征在于,所述令牌文件为令牌列表,所述获取待检测的源代码,并按照预设规则将所述源代码进行切割得到令牌文件的步骤包括:按照预设规则将所述源代码切割后得到多个令牌;将所述源代码的各所述令牌切割到一个列表中形成所述令牌列表。4.根据权利要求3所述的方法,其特征在于,所述按照预设规则将所述源代码切割后得到多个令牌的步骤包括:移除所述源代码中不影响代码语义的内容;对移除不影响代码语义的内容的源代码进行逐行切割,并将每一行代码转化为相应的令牌。5.根据权利要求1所述的方法,其特征在于,所述利用分析引擎对所述令牌文件进行跟踪,以确定所述源代码的输入接口的步骤包括:利用分析引擎通过正反向跟踪对比所述令牌文件...
【专利技术属性】
技术研发人员:黄士超,钟国新,吴梓宏,梁兆楷,温诗华,王辉鹏,陈浩云,
申请(专利权)人:广东电网有限责任公司广州供电局,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。