【技术实现步骤摘要】
应用程序的漏洞挖掘方法及装置
[0001]本申请涉及网络安全
,具体涉及一种应用程序的漏洞挖掘方法及装置。
技术介绍
[0002]为确保应用程序的安全性,会在应用上线前对应用程序进行应用程序的漏洞挖掘,以检测出其中存在的漏洞。相关技术中,对应用程序进行应用程序的漏洞挖掘的方式,通常是对应用程序的源代码进行静态分析,以挖掘出应用程序的漏洞。然而,由于静态分析时应用程序的代码并没有运行,因此若代码中存在多个模块或者组件的调用关系时,可能会在静态分析中被误判断为应用程序的漏洞,导致静态分析挖掘出的漏洞误报率高。
技术实现思路
[0003]本申请旨在至少解决相关技术中存在的技术问题之一。为此,本申请提出一种应用程序的漏洞挖掘方法,能够提高挖掘出的应用程序的漏洞的准确性,减少漏洞误报率。
[0004]本申请还提出一种应用程序的漏洞挖掘装置。
[0005]本申请还提出一种电子设备。
[0006]本申请还提出一种计算机可读存储介质。
[0007]根据本申请第一方面实施例的应用程序的漏洞
【技术保护点】
【技术特征摘要】
1.一种应用程序的漏洞挖掘方法,其特征在于,包括:对应用程序的源代码进行静态分析,确定安全漏洞;从所述安全漏洞对应的污点源的类信息中,获取注解内容和方法参数,以根据所述注解内容和所述方法参数,生成测试链接;根据所述测试链接进行漏洞请求测试,确定所述安全漏洞的验证结果。2.根据权利要求1所述的应用程序的漏洞挖掘方法,其特征在于,对应用程序的源代码进行静态分析,确定安全漏洞,包括:对所述源代码进行解析,获取所述源代码的抽象语法树;对所述抽象语法树的各类声明进行遍历,从各所述类声明中,获取存在Controller注解的目标声明,以从所述抽象语法树的各节点中,获取存在所述目标声明的各目标节点;将存在Controller方法参数的所述目标节点作为所述污点源,以所述污点源为起点,对各所述目标节点进行遍历,获取所述污点源的传播路径;检测所述传播路径中调用的过滤函数,根据所述过滤函数的调用检测结果,确定所述安全漏洞。3.根据权利要求2所述的应用程序的漏洞挖掘方法,其特征在于,根据所述过滤函数的调用检测结果,确定所述安全漏洞,包括:所述传播路径中当前目标节点的子目标节点不存在所述过滤函数的调用,且所述子目标节点调用了入参可控的漏洞函数,确定存在所述安全漏洞。4.根据权利要求1所述的应用程序的漏洞挖掘方法,其特征在于,根据所述测试链接进行漏洞请求测试,确定所述安全漏洞的验证结果,包括:调用所述测试链接,请求预设的dnslog地址;所述dnslog地址接收到根据所述测试链接生...
【专利技术属性】
技术研发人员:何翔宇,李闪闪,郭勇生,张黎元,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。