CN111309589A - 一种基于代码动态分析的代码安全扫描系统及方法 - Google Patents
一种基于代码动态分析的代码安全扫描系统及方法 Download PDFInfo
- Publication number
- CN111309589A CN111309589A CN201911202143.XA CN201911202143A CN111309589A CN 111309589 A CN111309589 A CN 111309589A CN 201911202143 A CN201911202143 A CN 201911202143A CN 111309589 A CN111309589 A CN 111309589A
- Authority
- CN
- China
- Prior art keywords
- code
- scanning
- security
- target
- intermediate language
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000007781 pre-processing Methods 0.000 claims description 8
- 238000011161 development Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000002203 pretreatment Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012356 Product development Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012858 packaging process Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于代码动态分析的代码安全扫描系统及方法,属于网络安全技术领域。本发明系统,包括:代码扫描引擎,所述代码扫描引擎定义安全漏洞类型的特征和扫描规则,读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件;数据存储层,所述数据存储层存储目标代码、目标中间代码和扫描报告文件。本发明提供高效率低误报的代码安全扫描能力,为用户构建高效安全的开发体系。
Description
技术领域
本发明涉及网络安全技术领域,并且更具体地,涉及一种基于代码动态分析的代码安全扫描系统及方法。
背景技术
随着时代的发展,信息技术深远的改变着人们的工作和生活。但是在给人们带来便利的同时,信息技术也带来了新的犯罪手段。信息系统中的黑客攻击比传统犯罪行为更加隐蔽,更加难以预防。在无声无息中,人们的信息资产甚至是物理安全都有可能会受到损害。防御性的设备,包括防火墙、IDS、IPS等的引入,一定程度上提高了系统的安全水准,但是这些设备并不能有效地预防应用级别的攻击,尤其是不能有效防御系统中未知漏洞攻击。
目前,公司信息系统规模庞大,版本迭代速度快,开发和维护工作繁重,同时更要兼顾信息安全。信息系统研发人员普遍缺乏安全技术知识和安全意识,不愿意或者不能够编写出安全的程序代码。公司对信息安全工作成本高,但收益和成效难以量化。最重要的是,公司缺乏能够真正高效、准确、深入的发掘代码层面安全漏洞的自动化解决方案。
第一代代码扫描技术,一般用于开源的代码扫描工具。采用的主要是关键词和模式匹配技术,只适用于检测最简单、明显的安全漏洞,实用价值十分有限。第二代代码扫描技术,基于形式化的逻辑和数学理论进行静态分析代码分析,是目前业界的主流。它比第一代技术多了对于程序代码全局逻辑的理解能力,但是静态模型的精确度较低,误报率高,需要具备安全知识的专业人员花费大量时间进行复查和纠错,工作效率低。
随着公司对电力信息系统安全要求不断提高,当前代码安全检测装置在实际工作中存在以下几点弊端:
1.无法自主可控;
2.不符合行业特性;
3.成本费用较高。
发明内容
针对上述问题,本发明提供了一种基于代码动态分析的代码安全扫描系统,包括:
代码扫描引擎,所述代码扫描引擎定义安全漏洞类型的特征和扫描规则,读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件;
数据存储层,所述数据存储层存储目标代码、目标中间代码和扫描报告文件。
可选的,代码扫描引擎,包括:
虚拟中间语言代码翻译器,取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
安全扫描指导规则,定义安全漏洞类型的特征和扫描规则;
代码分析虚拟执行引擎,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级;
扫描报告生成器,对整理、分类和安全威胁等级定级安全漏洞生成扫描报告文件。
可选的,系统还包括:应用层,所述应用层为可操作界面,对所述系统进行操作控制。
可选的,预处理,包括:对目标代码指令进行简化,剔除与安全无关的信息。
本发明还提供了一种基于代码动态分析的代码安全扫描方法,包括:
代码扫描引擎定义安全漏洞类型的特征和扫描规则;
读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件。
可选的,方法还包括:对目标代码、目标中间代码和扫描报告文件进行存储。
可选的,预处理,包括:对目标代码指令进行简化,剔除与安全无关的信息。
本发明成果凭借对代码逻辑的有效理解,提供高效率低误报的代码安全扫描能力,为用户构建高效安全的开发体系,在大大降低企业信息安全资源投入的前提下,全面提高IT系统的整体安全水准。
附图说明
图1为本发明一种基于代码动态分析的代码安全扫描系统结构图;
图2为本发明一种基于代码动态分析的代码安全扫描系统代码动态分析的代码动态分析逻辑图;
图3为本发明一种基于代码动态分析的代码安全扫描系统代码动态分析的代码动态分析流程图;
图4为本发明一种基于代码动态分析的代码安全扫描方法流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
本发明提供了一种基于代码动态分析的代码安全扫描系统,如图1所示,包括:
代码扫描引擎,所述代码扫描引擎定义安全漏洞类型的特征和扫描规则,读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件;
数据存储层,所述数据存储层存储目标代码、目标中间代码和扫描报告文件。
代码扫描引擎,包括:
虚拟中间语言代码翻译器,取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
安全扫描指导规则,定义安全漏洞类型的特征和扫描规则;
代码分析虚拟执行引擎,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级;
扫描报告生成器,对整理、分类和安全威胁等级定级安全漏洞生成扫描报告文件。
应用层,所述应用层为可操作界面,对所述系统进行操作控制。
预处理,包括:对目标代码指令进行简化,剔除与安全无关的信息。
应用层:是用户使用代码动态分析的代码安全分析工具的前端界面,提供以下功能:
1)基础数据管理功能,如用户/账号管理、产品管理、权限管理等功能,让不同权限的用户看到适合自己的视图,既能满足安全工作需要,同时提供完善的权限控制,防止敏感信息暴露。
2)代码安全扫描任务管理,提供即时扫描和周期扫描两种类型扫描任务,满足不同的场景需求。
3)代码安全扫描报告管理,提供概要报告查看、详细报告查看、报告下载等功能,并提供与源代码关联的交互式安全漏洞查看功能,以及安全漏洞处理状态跟踪功能。
4)代码扫描引擎监控功能,可以查看代码扫描引擎工作状态,如正在扫描的任务,扫描时长,内存等资源占用情况,为管理员了解系统运行状态及负载提供必要的信息。
主要漏洞类型如下表:
代码动态分析的代码安全分析工具的核心是代码分析引擎,代码动态分析的代码安全分析工具正是依靠代码分析引擎从错综复杂的代码中发现潜在的安全问题。
代码分析引擎逻辑如图2所示:
中间语言翻译器–负责将被扫描代码转换成代码扫描引擎定义的中间语言;
执行指导规则–用于告诉动态分析器不同恶意的危险操作的特征;
动态分析器–根据虚拟执行指导规则对被扫描代码进行自动分析,发现其中潜在的安全问题;
漏洞报告–将虚拟执行和分析器发现的潜在安全问题进行分类、定级、去重等处理;
重点功能设计介绍:
(1)代码翻译器
代码动态分析的代码安全分析工具自定义了一套虚拟中间语言,在对代码进行安全扫描时先将被分析的代码转换成该虚拟中间语言代码,然后针对翻译后的虚拟中间语言代码进行安全扫描,发现其中潜在的安全问题。
这样的设计主要基于以下考虑:
易于扩展支持多语言–针对虚拟中间语言进行分析而不是针对项目/ 产品开发所使用的语言进行分析,使得代码分析引擎摆脱了对特定开发语言的依赖。当代码分析引擎希望增加新的开发语言支持时,理论上只需实现新开发语言的翻译即可。
提高安全分析准确度–代码安全分析引擎是采用动态执行的方式对代码进行分析,而被分析代码中包含的大量的与安全无关的逻辑会影响最终安全分析的准确度。代码安全分析引擎在将代码翻译成虚拟中间语言时对代码进行了合理的简化,剔除了很多安全无关逻辑,从而提高了安全分析的准确度。
提高安全分析速度–由于在将代码翻译成虚拟中间语言时对代码进行了合理的简化,剔除了很多安全无关逻辑,因此也大幅度提高了代码安全分析的速度。
(2)动态分析
动态分析是自主研发的新一代代码安全分析技术,克服和解决了第一代和第二代基于模式匹配、数据流/控制流分析等技术存在的效率低下、准确度不高的问题。
代码动态分析的代码安全分析工具设计了专用的移动应用代码动态分析器。在进行代码扫描时,将被扫描代码加载到虚拟机中,强制启动运行。在受控制的运行过程中,动态跟踪程序代码的运行期行为,从而更全面准确的理解程序逻辑。
动态分析核心过程,如图3所示:
第一步:将转换后的虚拟中间语言代码加载到虚拟机中
第二步:根据预设的分析目标,查找虚拟中间语言代码中存在潜在安全风险的代码点
第三步:代码分析引擎逐条读取潜在安全风险点所在方法的指令,并模拟数据堆栈,得到指令执行的结果
第四步:对得到的数据进行评估,如果数据的性质已经确定,则对该方法的动态分析完成;如果尚存在未知的部分,代码扫描引擎找出该位置部分数据的来源方法,并执行第五步
类似于第三步,对第四步中得到的方法进行分析,得到结果后代入上一步结果中,然后执行第四步
第五步:动态分析得到的结果是流入潜在风险点的数据。代码安全分析引擎再根据分析规则判断该数据是否会引起真正的安全问题。
本发明还提供了一种基于代码动态分析的代码安全扫描方法,如图2 所示,包括:
代码扫描引擎定义安全漏洞类型的特征和扫描规则;
读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件。
对目标代码、目标中间代码和扫描报告文件进行存储。
预处理,包括:对目标代码指令进行简化,剔除与安全无关的信息。
本发明成果凭借对代码逻辑的有效理解,提供高效率低误报的代码安全扫描能力,为用户构建高效安全的开发体系,在大大降低企业信息安全资源投入的前提下,全面提高IT系统的整体安全水准。
(1)扫描覆盖率高,误报率低,效率高。清晰易读的漏洞分析报告,丰富的统计、报表、图形展示界面,灵活的部署方式和扫描方式,让客户以更低成本全面提高产品安全水准。本工具扫描速度快,准确率高,可以灵活的融合到包括敏捷开发在内的各种软件开发流程中,是企业软件开发过程中提高产品代码安全质量的利器。
(2)本工具专注于代码安全漏洞扫描,目前支持40多小类安全漏洞类型,较为全面。
(3)便捷高效的检测流程传统代码扫描工具,常常需要修改项目的编译、打包脚本和流程。
对于大型项目复杂的编译和打包流程而言,这项工作费时费力,很容易出错,常常造成代码扫描环境和项目正常打包环境的冲突和混乱。
本工具支持直接使用Java项目现有的APK进行扫描工作,不需要改动应用系统的编译和打包流程,省去繁琐、易错的配置修改和尝试过程,便捷高效。如果需要展示漏洞在源代码里的准确位置,用户也可以上传源代码到本工具系统。用户创建扫描任务,上传APK包,点击保存按钮一键启动代码漏洞扫描,非常简便。根据具体需求用户也可以设置周期性的定时扫描。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (7)
1.一种基于代码动态分析的代码安全扫描系统,所述系统包括:
代码扫描引擎,所述代码扫描引擎定义安全漏洞类型的特征和扫描规则,读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件;
数据存储层,所述数据存储层存储目标代码、目标中间代码和扫描报告文件。
2.根据权利要求1所述的系统,所述代码扫描引擎,包括:
虚拟中间语言代码翻译器,取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
安全扫描指导规则,定义安全漏洞类型的特征和扫描规则;
代码分析虚拟执行引擎,根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级;
扫描报告生成器,对整理、分类和安全威胁等级定级安全漏洞生成扫描报告文件。
3.根据权利要求1所述的系统,所述系统还包括:应用层,所述应用层为可操作界面,对所述系统进行操作控制。
4.根据权利要求1所述的系统,所述预处理,包括:对目标代码指令进行简化,剔除与安全无关的信息。
5.一种基于代码动态分析的代码安全扫描方法,所述方法包括:
代码扫描引擎定义安全漏洞类型的特征和扫描规则;
读取目标代码,并将目标代码翻译为中间语言代码并对中间语言代码进行预处理,生成目标中间语言代码;
根据安全漏洞类型的特征和扫描规则对目标中间语言代码进行扫描,获取安全漏洞,对安全漏洞进行整理、分类和安全威胁等级定级后生成扫描报告文件。
6.根据权利要求5所述的方法,所述方法还包括:对目标代码、目标中间代码和扫描报告文件进行存储。
7.根据权利要求5所述的方法,所述预处理,包括:对目标代码指令进行简化,剔除与安全无关的信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911202143.XA CN111309589A (zh) | 2019-11-29 | 2019-11-29 | 一种基于代码动态分析的代码安全扫描系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911202143.XA CN111309589A (zh) | 2019-11-29 | 2019-11-29 | 一种基于代码动态分析的代码安全扫描系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111309589A true CN111309589A (zh) | 2020-06-19 |
Family
ID=71160040
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911202143.XA Pending CN111309589A (zh) | 2019-11-29 | 2019-11-29 | 一种基于代码动态分析的代码安全扫描系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111309589A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114707155A (zh) * | 2022-04-12 | 2022-07-05 | 广州大学 | 一种静态代码安全检查方法 |
US11593077B1 (en) * | 2021-10-27 | 2023-02-28 | Beijing Bytedance Network Technology Co., Ltd. | Method and apparatus of code management |
CN116089262A (zh) * | 2022-11-23 | 2023-05-09 | 北京东方通科技股份有限公司 | 一种基于代码动态分析的代码安全扫描系统及方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101017458A (zh) * | 2007-03-02 | 2007-08-15 | 北京邮电大学 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
CN103164331A (zh) * | 2011-12-15 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 一种应用程序的漏洞检测方法和装置 |
-
2019
- 2019-11-29 CN CN201911202143.XA patent/CN111309589A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101017458A (zh) * | 2007-03-02 | 2007-08-15 | 北京邮电大学 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
CN103164331A (zh) * | 2011-12-15 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 一种应用程序的漏洞检测方法和装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11593077B1 (en) * | 2021-10-27 | 2023-02-28 | Beijing Bytedance Network Technology Co., Ltd. | Method and apparatus of code management |
WO2023071722A1 (zh) * | 2021-10-27 | 2023-05-04 | 北京字节跳动网络技术有限公司 | 代码管理的方法和装置 |
CN114707155A (zh) * | 2022-04-12 | 2022-07-05 | 广州大学 | 一种静态代码安全检查方法 |
CN116089262A (zh) * | 2022-11-23 | 2023-05-09 | 北京东方通科技股份有限公司 | 一种基于代码动态分析的代码安全扫描系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9715593B2 (en) | Software vulnerabilities detection system and methods | |
CN111008376B (zh) | 一种基于代码动态分析的移动应用源代码安全审计系统 | |
Antunes et al. | Defending against web application vulnerabilities | |
Kwon et al. | Mantis: Automatic performance prediction for smartphone applications | |
CN110443045B (zh) | 一种基于机器学习方法的模糊测试用例生成方法 | |
US11601462B2 (en) | Systems and methods of intelligent and directed dynamic application security testing | |
CN101853200B (zh) | 一种高效动态软件漏洞挖掘方法 | |
CN111309589A (zh) | 一种基于代码动态分析的代码安全扫描系统及方法 | |
CN112131120B (zh) | 一种源代码缺陷检测方法及装置 | |
CN109918296A (zh) | 软件自动化测试方法及装置 | |
CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
CN118051920B (zh) | 一种漏洞验证请求包生成方法、装置、设备及存储介质 | |
CN114626069A (zh) | 威胁建模方法及装置 | |
Talukder et al. | Droidpatrol: a static analysis plugin for secure mobile software development | |
CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
CN112131122A (zh) | 一种源代码缺陷检测工具误报评估方法及装置 | |
Brown et al. | Online malware classification with system-wide system calls in cloud iaas | |
Zhao et al. | Automated fuzz generators for high-coverage tests based on program branch predications | |
Kang | A review on javascript engine vulnerability mining | |
Souani et al. | Android malware detection using bert | |
Zhao et al. | H-fuzzing: A new heuristic method for fuzzing data generation | |
Chen et al. | A Selenium-based Web Application Automation Test Framework | |
Andrijasa et al. | Towards Automatic Exploit Generation for Identifying Re-Entrancy Attacks on Cross-Contract | |
Khan et al. | A literature review on software testing techniques for smartphone applications | |
Jayalath et al. | Towards secure software engineering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |