CN103793652A - 一种基于静态分析的应用系统代码安全扫描装置 - Google Patents
一种基于静态分析的应用系统代码安全扫描装置 Download PDFInfo
- Publication number
- CN103793652A CN103793652A CN201210419735.9A CN201210419735A CN103793652A CN 103793652 A CN103793652 A CN 103793652A CN 201210419735 A CN201210419735 A CN 201210419735A CN 103793652 A CN103793652 A CN 103793652A
- Authority
- CN
- China
- Prior art keywords
- analysis
- code
- rule
- application system
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Abstract
本发明公开了一种基于静态分析的应用系统代码安全扫描装置,包括:代码解析模型单元,用于对源代码进行词法和语法解析,将源代码转化为标准的AST;代码分析引擎单元,用于对所述的AST执行数据流分析和控制流分析,得出分析结果;规则扫描库单元,用于在所述的单元代码分析引擎中利用发现安全漏洞的规则来定义规则库。本发明提供的基于静态分析的应用系统代码安全扫描装置缩短应用系统代码中安全漏洞检测的时间,帮助技术人员快速精确的定位问题代码的位置。
Description
技术领域
本发明涉及应用系统领域,特别涉及一种基于静态分析的应用系统代码安全扫描装置。
背景技术
随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。
根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题,也是我们面临的一个新的领域,需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程,将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。
发明内容
为解决以上的问题,本发明提供一种提高整个软件开发的整个流程安全性的基于静态分析的应用系统代码安全扫描装置。
本发明提供一种基于静态分析的应用系统代码安全扫描装置,包括:
代码解析模型单元,用于对源代码进行词法和语法解析,将源代码转化为标准的AST;
代码分析引擎单元,用于对所述的AST执行数据流分析和控制流分析,得出分析结果;
规则扫描库单元,用于在所述的单元代码分析引擎中利用发现安全漏洞的规则来定义规则库。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述代码解析模型单元根据具有规范语法结构定义的开发语言的文法定义,对源程序进行词法分析和语法分析,并转换成中间表示,生成源代码相应的抽象语法树结构、类结构图和类关系图,建立起代码的解析模型。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述的开发语言包括:Java或C#。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述代码分析引擎单元由数据流分析引擎、控制流分析引擎、代码结构分析引擎和安全规则分析引擎组成。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述的数据流分析引擎主要在代码解析的基础上,提取程序的数据流信息,数据流分析通过遍历AST,提取出分析需要的数据信息,并根据定义的规则,对信息进行筛选,并向程序分析模块提供接口以读取这些信息。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述的控制流分析引擎主要在代码解析的基础上,提取程序的控制流信息,控制流分析根据规则,通过遍历AST,生成对应的类结构图和类关系图,并向代码结构分析引擎和安全规则分析引擎提供接口以读取该信息。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述的代码结构分析引擎主要在提取的语法树的基础上,根据扫描规则库提供的代码分析规则,提取源代码的主要结构,并调度数据流分析引擎和控制流分析引擎,完成对规则指定的关键变量的安全分析。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述的安全规则分析引擎是可根据扫描规则库提供的信息,调度代码结构分析引擎进行安全性分析,扫描源代码中可能存在的安全漏洞,并生成相应的问题清单和检测报告。
在本发明所述的基于静态分析的应用系统代码安全扫描装置中,所述规则扫描库单元是根据我们参考常见的、流行的高危风险代码特征及安全缺陷,总结出扫描工具的安全规则库来定义风险代码特征库。
本发明的一种基于静态分析的应用系统代码安全扫描装置,具有以下有益效果:
可以帮助软件开发人员和测评人员在代码安全领域筑起第一道防线,尽力将代码安全漏洞扼杀在开发和测试阶段。它还可以缩短应用系统代码中安全漏洞检测的时间,帮助技术人员快速精确的定位问题代码的位置,方便研发人员立刻修改,减少应用安全测试、安全审查和安全漏洞排查的时间,最终实现增强发现应用系统中代码安全漏洞的合理性、科学性及快速反应,提高了决策的效率和效益。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于静态分析的应用系统代码安全扫描装置结构方框图;
图2为图1中功能单元分解示意图。
具体实施方式
通过下面给出的本发明的具体实施例可以进一步了解本发明,但它们不是对本发明的限定。对于本领域的技术人员根据上述发明内容所作的一些非本质的改进与调整,也视为落在本发明的保护范围内。
为了保证各个业务系统更加稳定安全的运行,本技术方案从主动防御的角度出发,决定采用国际/国内成熟、规范的白盒测试方法,针对Asp、ASP.NET、VBScript、jsp、c#、java等语言的WEB应用程序研制了代码审查工具,协助测评和开发人员快速与准确的查找和定位源码中存在的问题和安全漏洞,提出及时、详细以及合理的改进建议和修改策略。
帮助客户解决以下问题:
协助用户发现组织中的安全最短板,协助企业有效的了解目前降低风险的初始任务;
一份文档齐全有效的应用系统源码审核报告有助于组织IT管理者以案例说明目前安全现状,从而增强信息安全的认知程度,甚至提高组织在安全方面的预算;
信息安全是一个整体工程,系统源码审核有助于组织中的所有成员意识到自己的岗位同样可能提高或降低风险,有助于内部安全的提升;
当然,系统源码审核并不能保证发现目标系统的“所有”弱点,因此我们不宜片面强调它的重要性。
请参阅图1及图2,本发明的实施例,一种基于静态分析的应用系统代码安全扫描装置1,包括:
代码解析模型单元10,用于对源代码进行词法和语法解析,将源代码转化为标准的AST;
代码分析引擎单元20,用于对所述的AST执行数据流分析和控制流分析,得出分析结果;
规则扫描库单元30,用于在所述的单元代码分析引擎中利用发现安全漏洞的规则来定义规则库。
其中,代码解析模型单元10根据具有规范语法结构定义的开发语言的文法定义,对源程序进行词法分析和语法分析,并转换成中间表示,生成源代码相应的抽象语法树结构、类结构图和类关系图,建立起代码的解析模型,开发语言包括:Java或C#。
代码分析引擎单元20由数据流分析引擎、控制流分析引擎、代码结构分析引擎和安全规则分析引擎组成。
数据流分析引擎主要在代码解析的基础上,提取程序的数据流信息,数据流分析通过遍历AST,提取出分析需要的数据信息,并根据定义的规则,对信息进行筛选,并向程序分析模块提供接口以读取这些信息。
控制流分析引擎主要在代码解析的基础上,提取程序的控制流信息,控制流分析根据规则,通过遍历AST,生成对应的类结构图和类关系图,并向代码结构分析引擎和安全规则分析引擎提供接口以读取该信息。
代码结构分析引擎主要在提取的语法树的基础上,根据扫描规则库提供的代码分析规则,提取源代码的主要结构,并调度数据流分析引擎和控制流分析引擎,完成对规则指定的关键变量的安全分析。
安全规则分析引擎是可根据扫描规则库提供的信息,调度代码结构分析引擎进行安全性分析,扫描源代码中可能存在的安全漏洞,并生成相应的问题清单和检测报告。
规则扫描库单元30是根据我们参考常见的、流行的高危风险代码特征及安全缺陷,总结出扫描工具的安全规则库来定义风险代码特征库。
本技术方案中,代码解析模型单元10、代码分析引擎单元20、规则扫描库单元30环环相扣缺一不可;代码解析模型单元10通过对将源代码转化成AST后,经由代码分析引擎单元20对其进行分析,在分析过程的最后阶段根据规则扫描库单元30的规则,发现可能存在的安全漏洞。
代码解析模型单元10用于读入需要扫描的源代码,并且根据不同的编程语言使用不同的分析方式,如JAVA、C#这种类型的开发语言,它们具有规范语法结构定义的,所以代码分析模型将会根据它们各自的文法,使用各自的词法和语法分析器生成AST,然后依赖于AST生成类关系图和类结构图,从而建立起代码的解析模型以供代码分析引擎使用;而ASP、ASP.NET、JSP、JAVASCRIPT这类没有规范语法定义的开发语言,因此没有办法为其进行词法和语法分析,所以这类开发语言将不使用代码解析模型,而是直接进入代码分析引擎。
代码分析引擎单元20用于在代码解析模型单元10生成的AST上进行分析,根据规则扫描库单元30扫描源代码中存在的安全漏洞;其中代码分析引擎由数据流分析引擎、控制流分析引擎、代码结构分析引擎和安全规则分析引擎四部份组成;数据流分析引擎用于跟踪程序的数据流信息,通过遍历AST分析并跟踪路径结点表达式为变量表达式的路径,如变量x的值的来源或变量x的值被赋值给谁,都是数据流分析引擎需要分析的内容;控制流分析引擎用于通过遍历AST生成对应的程序控制依赖图,即是对程序中每个函数结构的图形化表示,它既表示了函数的控制结构信息,也表示了程序语句执行的流向,定义程序的控制流程图,首先需要针对程序语言中各种语句的结构特点,定义分支及其相关概念,建立起分支与程序语句之间准确简明的对应关系,如if语法结构中,引出了两个分支,一个是if判断表达式为真的分支,另一个是if判断表达式为假的分支,从而分析出程序的执行流向;代码分析引擎用于根据规则扫描库中对应开发语言的安全规则对AST进行分析,查找安全规则中提供的API集合,提取出特定的AST子集,此后根据规则将关键API需要检测的参数提取出来,如JAVA语言中SQL注入漏洞的其中一个规则定义了
开始API为:
java.lang.String getParameter(java.lang.String),
结束API为:
java.sql.ResultSet executeQuery(java.lang.String),把匹配该规则的AST子集通过控制流分析引擎提取变量相关的结构特征,并交给数据流分析引擎提取变量的数据流信息,最后,根据两个引擎返回的结果传送到安全规则分析引擎;安全分析引擎用于将代码结构分析引擎的分析结果依据JAVA规则扫描库中的规则进行分析,如分析SQL注入漏洞规则时,从代码结构分析引擎的分析结果中提取可能存在SQL注入漏洞的AST子集,分析该AST子集中java.sql.ResultSetexecuteQuery此API中执行SQL语句的内容是否包含变量,然后通过控制流跟踪该变量的数据流是否来自java.lang.String getParameter,并且在跟踪过程中,分析该数据流是否经过诸如Integer转换之类的处理,如果该数据流并没有经过任何函数的处理,即可判断为SQL注入漏洞。
规则扫描库单元30用于定义不同开发语言的安全漏洞规则,其中包含大量常见漏洞的产生规则,如SQL注入、跨站点脚本攻击、不恰当随机函数等,不同的漏洞定义了多种不同的API集合,而当代码分析引擎在扫描过程中将调用相应开发语言的扫描规则库,查找匹配安全漏洞规则的AST子集,从而审核出该源代码是否存在相应的安全漏洞。
本技术方案是基于B/S-client架构开发的一款应用系统静态源码审核工具,其主要功能包括项目管理、自动化审核、报告输出、统计分析等。其产品可以帮助软件开发人员和测评人员在代码安全领域筑起第一道防线,尽力将代码安全漏洞扼杀在开发和测试阶段。缩短应用系统代码漏洞的检测时间,提高决策的效益和效率,可用于“电力企业应用系统代码安全扫描工具”。
本发明的一种基于静态分析的应用系统代码安全扫描装置,具有以下有益效果:
可以帮助软件开发人员和测评人员在代码安全领域筑起第一道防线,尽力将代码安全漏洞扼杀在开发和测试阶段。它还可以缩短应用系统代码中安全漏洞检测的时间,帮助技术人员快速精确的定位问题代码的位置,方便研发人员立刻修改,减少应用安全测试、安全审查和安全漏洞排查的时间。最终实现增强发现应用系统中代码安全漏洞的合理性、科学性及快速反应,提高了决策的效率和效益。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于静态分析的应用系统代码安全扫描装置,其特征在于,包括:
代码解析模型单元,用于对源代码进行词法和语法解析,将源代码转化为标准的AST;
代码分析引擎单元,用于对所述的AST执行数据流分析和控制流分析,得出分析结果;
规则扫描库单元,用于在所述的单元代码分析引擎中利用发现安全漏洞的规则来定义规则库。
2.根据权利要求1所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述代码解析模型单元根据具有规范语法结构定义的开发语言的文法定义,对源程序进行词法分析和语法分析,并转换成中间表示,生成源代码相应的抽象语法树结构、类结构图和类关系图,建立起代码的解析模型。
3.根据权利要求2所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述的开发语言包括:Java或C#。
4.根据权利要求1所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述代码分析引擎单元由数据流分析引擎、控制流分析引擎、代码结构分析引擎和安全规则分析引擎组成。
5.根据权利要求4所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述的数据流分析引擎主要在代码解析的基础上,提取程序的数据流信息,数据流分析通过遍历AST,提取出分析需要的数据信息,并根据定义的规则,对信息进行筛选,并向程序分析模块提供接口以读取这些信息。
6.根据权利要求4所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述的控制流分析引擎主要在代码解析的基础上,提取程序的控制流信息,控制流分析根据规则,通过遍历AST,生成对应的类结构图和类关系图,并向代码结构分析引擎和安全规则分析引擎提供接口以读取该信息。
7.根据权利要求4所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述的代码结构分析引擎主要在提取的语法树的基础上,根据扫描规则库提供的代码分析规则,提取源代码的主要结构,并调度数据流分析引擎和控制流分析引擎,完成对规则指定的关键变量的安全分析。
8.根据权利要求4所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述的安全规则分析引擎是可根据扫描规则库提供的信息,调度代码结构分析引擎进行安全性分析,扫描源代码中可能存在的安全漏洞,并生成相应的问题清单和检测报告。
9.根据权利要求1所述的基于静态分析的应用系统代码安全扫描装置,其特征在于,所述规则扫描库单元是根据我们参考常见的、流行的高危风险代码特征及安全缺陷,总结出扫描工具的安全规则库来定义的风险代码特征库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210419735.9A CN103793652A (zh) | 2012-10-29 | 2012-10-29 | 一种基于静态分析的应用系统代码安全扫描装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210419735.9A CN103793652A (zh) | 2012-10-29 | 2012-10-29 | 一种基于静态分析的应用系统代码安全扫描装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103793652A true CN103793652A (zh) | 2014-05-14 |
Family
ID=50669305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210419735.9A Pending CN103793652A (zh) | 2012-10-29 | 2012-10-29 | 一种基于静态分析的应用系统代码安全扫描装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103793652A (zh) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105022958A (zh) * | 2015-07-11 | 2015-11-04 | 复旦大学 | 一种安卓应用中基于代码库安全规约的应用程序漏洞检测分析方法 |
CN105912381A (zh) * | 2016-04-27 | 2016-08-31 | 华中科技大学 | 一种基于规则库的编译期代码安全检测方法 |
CN106033516A (zh) * | 2015-03-18 | 2016-10-19 | 中国移动通信集团陕西有限公司 | 一种检测终端源代码安全的方法、装置及系统 |
RU168346U1 (ru) * | 2016-06-23 | 2017-01-30 | Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" | Устройство выявления уязвимостей |
CN106548264A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种数据分析方法和装置 |
CN106790109A (zh) * | 2016-12-26 | 2017-05-31 | 东软集团股份有限公司 | 数据匹配方法和装置、协议数据分析方法、装置和系统 |
CN107103239A (zh) * | 2017-04-10 | 2017-08-29 | 中国民生银行股份有限公司 | 基于应用系统业务处理逻辑的源代码越权检测方法及装置 |
CN107133518A (zh) * | 2017-04-10 | 2017-09-05 | 中国民生银行股份有限公司 | 基于参数和信息流的源代码越权检测方法及装置 |
CN107908405A (zh) * | 2017-11-17 | 2018-04-13 | 苏州蜗牛数字科技股份有限公司 | 代码静态审核装置及方法 |
CN108153664A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态代码扫描方法和装置 |
CN108446213A (zh) * | 2017-02-15 | 2018-08-24 | 西门子公司 | 一种静态代码质量分析方法和装置 |
CN108959920A (zh) * | 2017-05-26 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 一种应用程序风险操作识别方法及装置 |
CN109446078A (zh) * | 2018-10-18 | 2019-03-08 | 网易(杭州)网络有限公司 | 代码测试方法及装置、存储介质、电子设备 |
CN109635569A (zh) * | 2018-12-10 | 2019-04-16 | 国家电网有限公司信息通信分公司 | 一种漏洞检测方法及装置 |
CN110061979A (zh) * | 2019-04-01 | 2019-07-26 | 视联动力信息技术股份有限公司 | 一种业务对象的检测方法和装置 |
CN110309660A (zh) * | 2019-07-09 | 2019-10-08 | 佛山市伏宸区块链科技有限公司 | 一种智能合约代码的自动化审计系统及方法 |
CN110489124A (zh) * | 2019-07-12 | 2019-11-22 | 浙江口碑网络技术有限公司 | 源代码执行方法、装置、存储介质及计算机设备 |
CN110990293A (zh) * | 2019-12-17 | 2020-04-10 | 北京同有飞骥科技股份有限公司 | 自动校验测试方法及系统 |
CN111008376A (zh) * | 2019-12-09 | 2020-04-14 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
CN112464237A (zh) * | 2020-11-26 | 2021-03-09 | 中国工商银行股份有限公司 | 一种静态代码安全诊断方法及装置 |
CN112507083A (zh) * | 2020-12-16 | 2021-03-16 | 中国南方电网有限责任公司 | 一种基于调度防误领域语言的防误规则库构建方法 |
CN112784290A (zh) * | 2021-01-28 | 2021-05-11 | 湖北宸威玺链信息技术有限公司 | 数据导出工具安全性分析方法及系统及数据导出方法 |
CN113110874A (zh) * | 2021-04-14 | 2021-07-13 | 北京沃东天骏信息技术有限公司 | 用于生成代码结构图的方法和装置 |
CN114707155A (zh) * | 2022-04-12 | 2022-07-05 | 广州大学 | 一种静态代码安全检查方法 |
CN115495745A (zh) * | 2022-10-14 | 2022-12-20 | 国家工业信息安全发展研究中心 | 一种基于风险函数的工业软件源代码静态检测方法及系统 |
CN113110874B (zh) * | 2021-04-14 | 2024-05-17 | 北京沃东天骏信息技术有限公司 | 用于生成代码结构图的方法和装置 |
-
2012
- 2012-10-29 CN CN201210419735.9A patent/CN103793652A/zh active Pending
Non-Patent Citations (1)
Title |
---|
牛婷芝: "一种java源代码安全分析系统的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106033516A (zh) * | 2015-03-18 | 2016-10-19 | 中国移动通信集团陕西有限公司 | 一种检测终端源代码安全的方法、装置及系统 |
CN105022958B (zh) * | 2015-07-11 | 2018-01-12 | 复旦大学 | 一种安卓应用中基于代码库安全规约的应用程序漏洞检测分析方法 |
CN105022958A (zh) * | 2015-07-11 | 2015-11-04 | 复旦大学 | 一种安卓应用中基于代码库安全规约的应用程序漏洞检测分析方法 |
CN106548264A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种数据分析方法和装置 |
WO2017050148A1 (zh) * | 2015-09-22 | 2017-03-30 | 阿里巴巴集团控股有限公司 | 一种数据分析方法和装置 |
CN105912381A (zh) * | 2016-04-27 | 2016-08-31 | 华中科技大学 | 一种基于规则库的编译期代码安全检测方法 |
CN105912381B (zh) * | 2016-04-27 | 2019-08-30 | 华中科技大学 | 一种基于规则库的编译期代码安全检测方法 |
RU168346U1 (ru) * | 2016-06-23 | 2017-01-30 | Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" | Устройство выявления уязвимостей |
CN108153664A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态代码扫描方法和装置 |
CN106790109B (zh) * | 2016-12-26 | 2020-01-24 | 东软集团股份有限公司 | 数据匹配方法和装置、协议数据分析方法、装置和系统 |
CN106790109A (zh) * | 2016-12-26 | 2017-05-31 | 东软集团股份有限公司 | 数据匹配方法和装置、协议数据分析方法、装置和系统 |
CN108446213B (zh) * | 2017-02-15 | 2021-08-17 | 西门子公司 | 一种静态代码质量分析方法和装置 |
CN108446213A (zh) * | 2017-02-15 | 2018-08-24 | 西门子公司 | 一种静态代码质量分析方法和装置 |
CN107133518B (zh) * | 2017-04-10 | 2019-09-24 | 中国民生银行股份有限公司 | 基于参数和信息流的源代码越权检测方法及装置 |
CN107103239B (zh) * | 2017-04-10 | 2019-11-12 | 中国民生银行股份有限公司 | 基于应用系统业务处理逻辑的源代码越权检测方法及装置 |
CN107103239A (zh) * | 2017-04-10 | 2017-08-29 | 中国民生银行股份有限公司 | 基于应用系统业务处理逻辑的源代码越权检测方法及装置 |
CN107133518A (zh) * | 2017-04-10 | 2017-09-05 | 中国民生银行股份有限公司 | 基于参数和信息流的源代码越权检测方法及装置 |
CN108959920A (zh) * | 2017-05-26 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 一种应用程序风险操作识别方法及装置 |
CN107908405A (zh) * | 2017-11-17 | 2018-04-13 | 苏州蜗牛数字科技股份有限公司 | 代码静态审核装置及方法 |
CN109446078B (zh) * | 2018-10-18 | 2022-02-18 | 网易(杭州)网络有限公司 | 代码测试方法及装置、存储介质、电子设备 |
CN109446078A (zh) * | 2018-10-18 | 2019-03-08 | 网易(杭州)网络有限公司 | 代码测试方法及装置、存储介质、电子设备 |
CN109635569A (zh) * | 2018-12-10 | 2019-04-16 | 国家电网有限公司信息通信分公司 | 一种漏洞检测方法及装置 |
CN110061979A (zh) * | 2019-04-01 | 2019-07-26 | 视联动力信息技术股份有限公司 | 一种业务对象的检测方法和装置 |
CN110061979B (zh) * | 2019-04-01 | 2022-01-11 | 视联动力信息技术股份有限公司 | 一种业务对象的检测方法和装置 |
CN110309660A (zh) * | 2019-07-09 | 2019-10-08 | 佛山市伏宸区块链科技有限公司 | 一种智能合约代码的自动化审计系统及方法 |
CN110489124A (zh) * | 2019-07-12 | 2019-11-22 | 浙江口碑网络技术有限公司 | 源代码执行方法、装置、存储介质及计算机设备 |
CN111008376A (zh) * | 2019-12-09 | 2020-04-14 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
CN111008376B (zh) * | 2019-12-09 | 2021-11-05 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
CN110990293A (zh) * | 2019-12-17 | 2020-04-10 | 北京同有飞骥科技股份有限公司 | 自动校验测试方法及系统 |
CN110990293B (zh) * | 2019-12-17 | 2023-08-11 | 北京同有飞骥科技股份有限公司 | 自动校验测试方法及系统 |
CN112464237A (zh) * | 2020-11-26 | 2021-03-09 | 中国工商银行股份有限公司 | 一种静态代码安全诊断方法及装置 |
CN112464237B (zh) * | 2020-11-26 | 2023-10-31 | 中国工商银行股份有限公司 | 一种静态代码安全诊断方法及装置 |
CN112507083A (zh) * | 2020-12-16 | 2021-03-16 | 中国南方电网有限责任公司 | 一种基于调度防误领域语言的防误规则库构建方法 |
CN112784290A (zh) * | 2021-01-28 | 2021-05-11 | 湖北宸威玺链信息技术有限公司 | 数据导出工具安全性分析方法及系统及数据导出方法 |
CN113110874A (zh) * | 2021-04-14 | 2021-07-13 | 北京沃东天骏信息技术有限公司 | 用于生成代码结构图的方法和装置 |
CN113110874B (zh) * | 2021-04-14 | 2024-05-17 | 北京沃东天骏信息技术有限公司 | 用于生成代码结构图的方法和装置 |
CN114707155A (zh) * | 2022-04-12 | 2022-07-05 | 广州大学 | 一种静态代码安全检查方法 |
CN115495745A (zh) * | 2022-10-14 | 2022-12-20 | 国家工业信息安全发展研究中心 | 一种基于风险函数的工业软件源代码静态检测方法及系统 |
CN115495745B (zh) * | 2022-10-14 | 2023-04-21 | 国家工业信息安全发展研究中心 | 一种基于风险函数的工业软件源代码静态检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103793652A (zh) | 一种基于静态分析的应用系统代码安全扫描装置 | |
CN112131882B (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
Zhong et al. | An empirical study on API usages | |
Liu et al. | Software vulnerability discovery techniques: A survey | |
CN100461132C (zh) | 基于源代码静态分析的软件安全代码分析器及其检测方法 | |
CN111460450B (zh) | 一种基于图卷积网络的源代码漏洞检测方法 | |
Sun et al. | On the importance of building high-quality training datasets for neural code search | |
Kosar et al. | A systematic mapping study driven by the margin of error | |
CN105677574B (zh) | 基于函数控制流的安卓应用漏洞检测方法和系统 | |
Saccente et al. | Project achilles: A prototype tool for static method-level vulnerability detection of Java source code using a recurrent neural network | |
TWI439097B (zh) | 跨站腳本攻擊產生方法 | |
Avancini et al. | Comparison and integration of genetic algorithms and dynamic symbolic execution for security testing of cross-site scripting vulnerabilities | |
CN107133518B (zh) | 基于参数和信息流的源代码越权检测方法及装置 | |
CN112733156A (zh) | 基于代码属性图的软件脆弱性智能检测方法、系统及介质 | |
Jimenez et al. | Software vulnerabilities, prevention and detection methods: A review1 | |
Partenza et al. | Automatic identification of vulnerable code: Investigations with an ast-based neural network | |
CN115291836A (zh) | 一种基于stride方法的威胁建模自动化识别系统和方法 | |
Lu et al. | GRACE: Empowering LLM-based software vulnerability detection with graph structure and in-context learning | |
Lingzi et al. | An overview of source code audit | |
AfzaliSeresht et al. | Investigating cyber alerts with graph-based analytics and narrative visualization | |
Avancini et al. | Circe: A grammar-based oracle for testing cross-site scripting in web applications | |
Zhang et al. | Threat analysis of IoT security knowledge graph based on confidence | |
Sethi et al. | EEVi-framework for evaluating the effectiveness of visualization in cyber-security | |
CN103116543A (zh) | 白黑盒结合的Web应用安全检测方法 | |
Xiong et al. | BUAA_AntiPlagiarism: A System To Detect Plagiarism for C Source Code |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140514 |
|
RJ01 | Rejection of invention patent application after publication |