web白盒扫描方法及装置制造方法及图纸

本发明专利技术提出一种web白盒扫描方法及装置。其中方法包括以下步骤：搭建web环境；使用关键字遍历所述web环境的静态代码；根据遍历结果并基于词法分析对所述静态代码进行跟踪和/或回溯；当跟踪到风险点并回溯至用户输入时，反馈所述风险点到所述用户输入的过程以及所述风险点的漏洞类型；根据所述漏洞类型、所述风险点以及所述用户输入构造攻击请求；将所述攻击请求发送到所述web环境；以及根据所述web环境对所述攻击请求的响应页面判断所述漏洞是否是真实漏洞。根据本发明专利技术实施例的方法，通过构造攻击请求进行真实攻击判断漏洞的真实性，大幅度提高了代码安全审计的准确度，降低误报率，同时大大提高了代码安全审计的效率，降低开发成本。

【技术实现步骤摘要】

【技术保护点】
一种web白盒扫描方法，其特征在于，包括以下步骤：搭建web环境；使用关键字遍历所述web环境的静态代码；根据遍历结果并基于词法分析对所述静态代码进行跟踪和/或回溯；当跟踪到风险点并回溯至用户输入时，反馈所述风险点到所述用户输入的过程以及所述风险点的漏洞类型；根据所述漏洞类型、所述风险点以及所述用户输入构造攻击请求；将所述攻击请求发送到所述web环境；以及根据所述web环境对所述攻击请求的响应页面判断所述漏洞是否是真实漏洞。

【技术特征摘要】

【专利技术属性】
技术研发人员：郑海鹏，
申请(专利权)人：百度在线网络技术北京有限公司，
类型：发明
国别省市：