CN117112435B - 一种漏洞联动检测结果的融合方法、存储介质及电子设备 - Google Patents
一种漏洞联动检测结果的融合方法、存储介质及电子设备 Download PDFInfo
- Publication number
- CN117112435B CN117112435B CN202311158292.7A CN202311158292A CN117112435B CN 117112435 B CN117112435 B CN 117112435B CN 202311158292 A CN202311158292 A CN 202311158292A CN 117112435 B CN117112435 B CN 117112435B
- Authority
- CN
- China
- Prior art keywords
- application program
- security test
- vulnerability
- name
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 131
- 238000007500 overflow downdraw method Methods 0.000 title claims description 3
- 238000012360 testing method Methods 0.000 claims abstract description 305
- 238000000034 method Methods 0.000 claims abstract description 182
- 230000002452 interceptive effect Effects 0.000 claims abstract description 114
- 230000003068 static effect Effects 0.000 claims abstract description 66
- 238000012545 processing Methods 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims description 18
- 238000013102 re-test Methods 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008439 repair process Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 2
- 239000013589 supplement Substances 0.000 abstract 1
- 238000012795 verification Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 11
- 230000002829 reductive effect Effects 0.000 description 4
- 230000004927 fusion Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000011990 functional testing Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000011076 safety test Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/25—Fusion techniques
- G06F18/251—Fusion techniques of input or preprocessed data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及计算机安全技术领域,特别是涉及一种漏洞联动检测结果的融合方法、存储介质及电子设备。包括:获取同一待检测应用分别对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果;根据测试结果进行查找匹配处理,将生成的每一待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息。本发明中对同一待检测应用分别使用静态应用程序安全测试、交互式应用程序安全测试及动态应用程序安全测试进行测试,然后通过对三种测试的结果进行融合,由此通过三种结果之间的相互验证以及补充,可以克服仅使用单一测试工具得到的测试结果中存在的误测漏测的问题,进而提高测试结果的准确度。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种漏洞联动检测结果的融合方法、存储介质及电子设备。
背景技术
软件测试是软件开发过程的重要组成部分,具体为在软件投入运行前,对软件需求分析、设计规格说明和编码的最终复审,用来确认一个程序的品质或性能是否符合开发之前所提出的一些要求,是软件质量保证的关键步骤。
基于测试对象的不同,现有的软件测试可分为两大类,其中一类为针对程序源码的静态应用程序安全测试。静态应用程序安全测试可以在代码层面发现问题。另一类为针对应用程序本身的动态应用程序安全测试及交互式应用程序安全测试。动态应用程序安全测试可以模拟用户对应用程序的使用,从而发现应用程序中隐藏的功能实现问题。交互式应用程序安全测试结合了动态应用程序安全测试和静态应用程序安全测试的优势,既可以在代码层面定位漏洞代码,又可以在测试过程中通过模拟用户对应用程序的使用行为,以发现隐藏的功能实现问题。
但是,每一种形式的测试有都存在对应的缺点,如静态应用程序安全测试的误测率高,动态应用程序安全测试的信息较少,也存在一定的误测率。交互式应用程序安全测试的内部测试规则由于需要人员进行手动配置,所以会由于内部测试规则覆盖度的影响,导致交互式应用程序安全测试可覆盖的漏洞类型较少,容易出现漏测的情况。由此,现有技术中仅通过单一测试手段进行的漏洞测试,会由于误测漏测的情况存在,进而使得测试结果的准确度较低。
发明内容
针对上述技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种漏洞联动检测结果的融合方法,该方法包括如下步骤:
获取同一待检测应用分别对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果;静态应用程序安全测试结果包括每一漏洞对应的第一方法名及第一漏洞名,动态应用程序安全测试结果包括每一漏洞对应的第一URL及第二漏洞名;交互式应用程序安全测试结果包括每一漏洞对应的第二方法名、第二URL及第三漏洞名;
若第一方法名与任一第二方法名相同,则对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理,生成第一方法名对应的待融合信息组,每一待融合信息组中均包括第一方法名对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果;
将每一待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息;
查找匹配处理,包括:
将与第一方法名相同的第二方法名对应的交互式应用程序安全测试结果作为第一方法名对应的第一匹配结果;
根据第一匹配结果中包括的第三漏洞名,对第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正;以使第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与第一匹配结果中包括的第三漏洞名相同;
使用第一匹配结果中的第二URL与动态应用程序安全测试结果中包括的每一第一URL进行匹配;
若所有第一URL均与第一匹配结果中的第二URL不同,则使用动态应用程序安全测试对第一URL对应的检测路径重新进行动态应用程序安全测试,生成第一方法名对应的动态应用程序安全测试重测结果,动态应用程序安全测试重测结果中包括第一URL对应的第二重测漏洞名;
若第二重测漏洞名为空集,则将第一方法名分别对应的静态应用程序安全测试结果及第一匹配结果,加入第一方法名对应的待融合信息组;
若第二重测漏洞名不为空集,则将第一方法名分别对应的静态应用程序安全测试结果、第一匹配结果及动态应用程序安全测试重测结果,加入第一方法名对应的待融合信息组。
进一步的,在使用第一匹配结果中的第二URL与动态应用程序安全测试结果中包括的每一第一URL进行匹配之后,方法还包括:
若任意第一URL与第一匹配结果中的第二URL相同,则确定第一URL对应的动态应用程序安全测试结果作为第一方法名对应的第二匹配结果;
将第一方法名分别对应的静态应用程序安全测试结果、第一匹配结果及第二匹配结果,加入第一方法名对应的待融合信息组。
进一步的,根据第一匹配结果中包括的第三漏洞名,对第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正,包括:
若第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与对应的第一匹配结果中的第三漏洞名不同,则将第一方法名对应的静态应用程序安全测试结果中的第一漏洞名修改为对应的第一匹配结果中的第三漏洞名。
进一步的,每一第一方法名均配置有漏测标识,在对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理之前,方法还包括:
若第一方法名与所有的第二方法名均不同,且第一方法名配置的漏测标识为第一预设标识,则获取第一方法名对应的至少一个目标漏测URL;目标漏测URL为与第一方法名对应的静态应用程序安全测试结果中的第一漏洞名相同的第二漏洞名对应的第一URL;
使用交互式应用程序安全测试对每一目标漏测URL重新进行交互式应用程序安全测试,生成每一目标漏测URL对应的交互式应用程序安全测试漏测结果,并将第一方法名对应的漏测标识修改为第二预设标识;交互式应用程序安全测试漏测结果包括目标漏测URL、漏测漏洞名及漏测方法名;第一预设标识与第二预设标识不同;
若目标漏测URL对应的交互式应用程序安全测试漏测结果为空集,则生成交互式应用程序安全测试对目标漏测URL的补充信息;
若目标漏测URL对应的交互式应用程序安全测试漏测结果不为空集,则将交互式应用程序安全测试漏测结果加入待检测应用对应的交互式应用程序安全测试结果中,生成交互式应用程序安全测试更新检测结果。
进一步的,对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理,包括:
对交互式应用程序安全测试更新检测结果及动态应用程序安全测试结果进行查找匹配处理。
进一步的,待融合信息组中的漏洞名称均相同;
将每一待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息,包括:
对待融合信息组中的信息进行去重处理,生成目标漏洞检测信息。
进一步的,待融合信息组中包括的漏洞名至少为两种;
将每一待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息,包括:
将待融合信息组中交互式应用程序安全测试结果对应的第三漏洞名,作为第一方法名对应的漏洞名;
根据待融合信息组中与第三漏洞名不同的其余漏洞名的数量i,生成待融合信息组中动态应用程序安全测试结果对应的置信度W;W满足如下条件:
。
进一步的,在将待融合信息组中交互式应用程序安全测试结果对应的第三漏洞名,作为第一方法名对应的漏洞名之后,方法还包括:
根据漏洞名及第一预设映射表,生成漏洞名对应的危险等级及修复建议;第一预设映射表包括漏洞名分别与危险等级及修复建议之间的映射关系。
根据本发明的第二个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种漏洞联动检测结果的融合方法。
根据本发明的第三个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种漏洞联动检测结果的融合方法。
本发明至少具有以下有益效果:
本发明中对同一待检测应用分别使用静态应用程序安全测试、交互式应用程序安全测试及动态应用程序安全测试进行测试,以分别得到对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果,然后通过对三种测试的结果进行融合,由此通过三种结果之间的相互验证以及补充,可以克服仅使用单一测试工具得到的测试结果中存在的误测漏测的问题,进而提高测试结果的准确度。
具体的,本发明中通过方法名确定同一漏洞对应的静态应用程序安全测试和交互式应用程序安全测试之间的检测结果,然后再用交互式应用程序安全测试结果中的URL与动态应用程序安全测试结果中的URL之间的对应关系,来确定漏洞对应的动态应用程序安全测试的检测结果。由于在同一漏洞对应的检测结果中,交互式应用程序安全测试既存在对源代码层面的检测,同时又存在对应用程序使用过程中功能实现的检测。所以交互式应用程序安全测试的检测结果中既会包括底层源代码的类中所涉及到方法的方法名。同时又会包含在进行功能测试时所涉及到的测试路径的URL。所以以交互式应用程序安全测试的检测结果作为中间桥梁,可以更加准确的将同一漏洞对应的静态应用程序安全测试、交互式应用程序安全测试及动态应用程序安全测试的检测结果对应串联起来。
同时,在查找匹配处理中可以用交互式应用程序安全测试得到的漏洞名(也即第三漏洞名),来对同一方法名对应的静态应用程序安全测试得到的漏洞名(也即第一漏洞名)进行修正。由于静态应用程序安全测试的误测率高,极有可能出现同一方法名对应的程序的静态应用程序安全测试和交互式应用程序安全测试的检测结果不同的情况。同时交互式应用程序安全测试的检测结果最为准确,所以可以使用交互式应用程序安全测试的检测结果对静态应用程序安全测试的检测结果进行修正,以提高最终融合结果的准确率。
另外,由于动态应用程序安全测试在实际检测中由于要进行检测的路径(URL)较多,所以极有可能会出现漏检或者检测后无结果输出的情况,所以在本发明中会在通过交互式应用程序安全测试确定动态应用程序安全测试的检测结果时,若所有第一URL均与第一匹配结果中的第二URL不同,则使用动态应用程序安全测试对第一URL对应的检测路径重新进行动态应用程序安全测试。通过对对应的URL的再次检测,可以减少动态应用程序安全测试在检测时出现漏检或测后无结果输出的情况,进而可以提高最终检测结果的准确度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种漏洞联动检测结果的融合方法流程图;
图2为本发明另一实施例提供的查找匹配处理的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
作为本发明的一个实施例,如图1所示,提供了一种漏洞联动检测结果的融合方法,该方法包括如下步骤:
S100:获取同一待检测应用分别对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果。静态应用程序安全测试结果包括每一漏洞对应的第一方法名及第一漏洞名,动态应用程序安全测试结果包括每一漏洞对应的第一URL及第二漏洞名。交互式应用程序安全测试结果包括每一漏洞对应的第二方法名、第二URL及第三漏洞名。
本步骤中进行静态应用程序安全测试生成静态应用程序安全测试结果时,使用的静态应用程序安全测试工具为:如可以为SonarQube。进行动态应用程序安全测试生成动态应用程序安全测试结果时,使用的动态应用程序安全测试工具为:如OWASP ZAP。进行交互式应用程序安全测试生成交互式应用程序安全测试结果时,使用的交互式应用程序安全测试工具为:如OpenRASP-IAST。上述三种检测工具均为现有的检测工具。
在生成的结果中,由于静态应用程序安全测试为在源代码层面进行检测,所以其会尽可能的对源代码中的每一个类中的每一个方法进行扫描检测。当其中任意一个方法出现漏洞时,会生成对应的检测结果,也即第一方法名及对应的第一漏洞名。如第一方法名为:listUserByName。对应的第一漏洞名为:SQL(Structured Query Language,结构化查询语言)注入。
动态应用程序安全测试为在功能实现层面进行检测,所以其会尽可能的对每一个功能的检测路径(对应的URL,统一资源定位系统,uniform resource locator)进行扫描检测。当其中任意一个检测路径出现漏洞时,会生成对应的检测结果,也即第一URL及第二漏洞名。如第一URL为:https://192.168.1.107/sql。对应的第二漏洞名为:SQL注入。
交互式应用程序安全测试为既在源代码层面进行检测,又在功能实现层面进行检测,所以其再进行检测时,会同时涉及到上述静态应用程序安全测试及动态应用程序安全测试的内容,对应的其输出的结果中,也会包含上述全部内容,也即第二方法名、第二URL及第三漏洞名。如第二URL为:https://192.168.1.107/sql。对应的第三漏洞名为:SQL注入。对应的第二方法名为:listUserByName。
但是,每一种形式的测试有都存在对应的缺点,如静态应用程序安全测试的误测率高,动态应用程序安全测试的信息较少,也存在一定的误测率。交互式应用程序安全测试的内部测试规则由于需要人员进行手动配置,所以会由于内部测试规则覆盖度的影响,导致交互式应用程序安全测试可覆盖的漏洞类型较少,容易出现漏测的情况。所以需要下述步骤对上述的三种监测结果进行融合处理。
S200:若第一方法名与任一第二方法名相同,则对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理,生成第一方法名对应的待融合信息组。每一待融合信息组中均包括第一方法名对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果。
具体的,本步骤中通过方法名确定同一漏洞对应的静态应用程序安全测试和交互式应用程序安全测试之间的检测结果,然后再用交互式应用程序安全测试结果中的URL与动态应用程序安全测试结果中的URL之间的对应关系,来确定漏洞对应的动态应用程序安全测试的检测结果。由于在同一漏洞对应的检测结果中,交互式应用程序安全测试既存在对源代码层面的检测,同时又存在对应用程序使用过程中功能实现的检测。所以交互式应用程序安全测试的检测结果中既会包括底层源代码的类中所涉及到方法的方法名。同时又会包含在进行功能测试时所涉及到的测试路径的URL。所以以交互式应用程序安全测试的检测结果作为中间桥梁,可以更加准确的将同一漏洞对应的静态应用程序安全测试、交互式应用程序安全测试及动态应用程序安全测试的检测结果对应串联起来。
如图2所示,查找匹配处理,包括:
S201:将与第一方法名相同的第二方法名对应的交互式应用程序安全测试结果作为第一方法名对应的第一匹配结果。
S202:根据第一匹配结果中包括的第三漏洞名,对第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正。以使第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与第一匹配结果中包括的第三漏洞名相同。
具体的,S202包括:
S212:若第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与对应的第一匹配结果中的第三漏洞名不同,则将第一方法名对应的静态应用程序安全测试结果中的第一漏洞名修改为对应的第一匹配结果中的第三漏洞名。
S201至S202为在查找匹配处理中可以用交互式应用程序安全测试得到的漏洞名(也即第三漏洞名),来对同一方法名对应的静态应用程序安全测试得到的漏洞名(也即第一漏洞名)进行修正。由于静态应用程序安全测试的误测率高,极有可能出现同一方法名对应的程序的静态应用程序安全测试和交互式应用程序安全测试的检测结果不同的情况。同时交互式应用程序安全测试的检测结果最为准确,所以可以使用交互式应用程序安全测试的检测结果对静态应用程序安全测试的检测结果进行修正,以提高最终融合结果的准确率。
S203:使用第一匹配结果中的第二URL与动态应用程序安全测试结果中包括的每一第一URL进行匹配。
S204:若所有第一URL均与第一匹配结果中的第二URL不同,则使用动态应用程序安全测试对第一URL对应的检测路径重新进行动态应用程序安全测试,生成第一方法名对应的动态应用程序安全测试重测结果,动态应用程序安全测试重测结果中包括第一URL对应的第二重测漏洞名。
S205:若第二重测漏洞名为空集,则将第一方法名分别对应的静态应用程序安全测试结果及第一匹配结果,加入第一方法名对应的待融合信息组。
S206:若第二重测漏洞名不为空集,则将第一方法名分别对应的静态应用程序安全测试结果、第一匹配结果及动态应用程序安全测试重测结果,加入第一方法名对应的待融合信息组。
由于动态应用程序安全测试在实际检测中由于要进行检测的路径(URL)较多,所以极有可能会出现漏检或者检测后无结果输出的情况,所以在本发明中会在通过交互式应用程序安全测试确定动态应用程序安全测试的检测结果时,若所有第一URL均与第一匹配结果中的第二URL不同,则使用动态应用程序安全测试对第一URL对应的检测路径重新进行动态应用程序安全测试。通过S203至S206对对应的URL进行再次检测,可以减少动态应用程序安全测试在检测时出现漏检或测后无结果输出的情况,进而可以提高最终检测结果的准确度。
另一方面,若任意第一URL与第一匹配结果中的第二URL相同,则按照如下步骤将同一漏洞对应的黑白灰三种检测的检测结果,放在同一待融合信息组中,并直接将黑白灰三种检测的检测结果中的其他信息进行添加、拼接及组合,以生成更为丰富的漏洞检测信息。如可以将静态应用程序安全测试中所独有的漏洞代码行位置信息,添加至最终的漏洞检测信息中。
方法还包括:
S207:若任意第一URL与第一匹配结果中的第二URL相同,则确定第一URL对应的动态应用程序安全测试结果作为第一方法名对应的第二匹配结果。
S208:将第一方法名分别对应的静态应用程序安全测试结果、第一匹配结果及第二匹配结果,加入第一方法名对应的待融合信息组。
S300:将每一待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息。
进一步的,在S300还包括:
S303:根据漏洞名及第一预设映射表,生成漏洞名对应的危险等级及修复建议。第一预设映射表包括漏洞名分别与危险等级及修复建议之间的映射关系。
具体的,本步骤还可以使用其他的现有的结果融合手段,如重复信息的去重处理以及对不同信息的求并集处理,来生成更为丰富的漏洞检测信息。
本发明中对同一待检测应用分别使用静态应用程序安全测试、交互式应用程序安全测试及动态应用程序安全测试进行测试,以分别得到对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果,然后通过对三种测试的结果进行融合,由此通过三种结果之间的相互验证以及补充,可以克服仅使用单一测试工具得到的测试结果中存在的误测漏测的问题,进而提高测试结果的准确度。
作为本发明的另一个实施例,每一第一方法名均配置有漏测标识,在S200:对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理之前,该方法还包括:
S110:若第一方法名与所有的第二方法名均不同,且第一方法名配置的漏测标识为第一预设标识,则获取第一方法名对应的至少一个目标漏测URL。目标漏测URL为与第一方法名对应的静态应用程序安全测试结果中的第一漏洞名相同的第二漏洞名对应的第一URL。
S120:使用交互式应用程序安全测试对每一目标漏测URL重新进行交互式应用程序安全测试,生成每一目标漏测URL对应的交互式应用程序安全测试漏测结果,并将第一方法名对应的漏测标识修改为第二预设标识。交互式应用程序安全测试漏测结果包括目标漏测URL、漏测漏洞名及漏测方法名。第一预设标识与第二预设标识不同。
具体的,漏测标识中的第一预设标识可以为:0。漏测标识中的第二预设标识可以为:1。通过设置第一预设标识及第二预设标识可以准确指示,是否要进行交互式应用程序安全测试重测,避免形成同一漏测URL的重测死循环。
若第一方法名与所有的第二方法名均不同,则表明生成的结果中静态应用程序安全测试出来的漏洞结果,在交互式应用程序安全测试结果中并未出现。通常由于交互式应用程序安全测试在测试过程中需要通过模拟用户对应用程序的使用行为来进行漏洞检测。但是,在实际的使用过程中,往往会由于测试人员对于软件内部结构的了解有限,进而出现许多未经测试的代码路径(URL),进而造成交互式应用程序安全测试结果覆盖面的不足的情况。
所以,在S110之后,会经过S120使用交互式应用程序安全测试对每一目标漏测URL重新进行交互式应用程序安全测试。此时,仅针对部分可能出现漏测的URL重新进行交互式应用程序安全测试,一方面可以减少上述交互式应用程序安全测试漏测的情况,进而提高交互式应用程序安全测试结果覆盖率。另一方面,还可以节省交互式应用程序安全测试重测的时间耗费,进而提高交互式应用程序安全测试重测的效率。
S130:若目标漏测URL对应的交互式应用程序安全测试漏测结果为空集,则生成交互式应用程序安全测试对目标漏测URL的补充信息。
S140:若目标漏测URL对应的交互式应用程序安全测试漏测结果不为空集,则将交互式应用程序安全测试漏测结果加入待检测应用对应的交互式应用程序安全测试结果中,生成交互式应用程序安全测试更新检测结果。
在本实施例中,S200:对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理。具体为:对交互式应用程序安全测试更新检测结果及动态应用程序安全测试结果进行查找匹配处理。
本实施例中,当若第一方法名与所有的第二方法名均不同,且第一方法名配置的漏测标识为第一预设标识,则对重新确定出的漏测的URL重新进行交互式应用程序安全测试。由此,可以减少上述交互式应用程序安全测试漏测的情况,进而提高交互式应用程序安全测试结果覆盖率。
作为本发明的另一个实施例,还提供了两种待融合信息组的情况下,S300的具体处理方法。具体如下:
其一,若待融合信息组中的漏洞名称均相同,则执行如下处理步骤:
S301:对待融合信息组中的信息进行去重处理,生成目标漏洞检测信息。
若待融合信息组中的漏洞名称均相同,则说明三种检测工具均检测出了该漏洞,所以可以直接对待融合信息组中的信息进行去重处理,以保留更多的信息,以便后续根据更加丰富的信息对漏洞进行更加准确的研判及修复。
其二,若待融合信息组中包括的漏洞名至少为两种,具体如下表1所示,表1为待融合信息组中的检测结果,则执行如下处理步骤:
S302:将待融合信息组中交互式应用程序安全测试结果对应的第三漏洞名,作为第一方法名对应的漏洞名。
S303:根据待融合信息组中与第三漏洞名不同的其余漏洞名的数量i,生成待融合信息组中动态应用程序安全测试结果对应的置信度W。W满足如下条件:
。
表1
由于,在上述的查找匹配处理中,已经通过交互式应用程序安全测试的检测结果对静态应用程序安全测试的检测结果进行了修正。同时在S302中又将交互式应用程序安全测试结果的第三漏洞名作为第一方法名对应的漏洞名,相当于使用交互式应用程序安全测试的检测结果又对动态应用程序安全测试的检测结果进行了强制修正。但是有可能上述的修正也是错误的修正。所以,当待融合信息组中包括的漏洞名至少为两种时,则说明了三种工具在对同一漏洞进行检测时,出现了不同的检测结果。如上表1所示,待融合信息组中包括的漏洞名一共为三种。此时,需要对最终的输出结果设置一个对应的置信度W,置信度越高则说明该最终结果越可信。具体的,为一个关于i的反比例函数,当i=1时W=1,当i>1时,W逐渐下降。上述W的函数不仅为反比例函数,同时还可以对W=1及W<1的情况进行明确的区分。由此,可以根据最终输出结果对应的置信度,更加准确的确定该结果的可信度。进而可以保证最终输出的结果的准确度更容易判断。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种漏洞联动检测结果的融合方法,其特征在于,所述方法包括如下步骤:
获取同一待检测应用分别对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果;所述静态应用程序安全测试结果包括每一漏洞对应的第一方法名及第一漏洞名,所述动态应用程序安全测试结果包括每一漏洞对应的第一URL及第二漏洞名;所述交互式应用程序安全测试结果包括每一漏洞对应的第二方法名、第二URL及第三漏洞名;
若第一方法名与任一所述第二方法名相同,则对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理,生成所述第一方法名对应的待融合信息组,每一所述待融合信息组中均包括所述第一方法名对应的静态应用程序安全测试结果、交互式应用程序安全测试结果及动态应用程序安全测试结果;
将每一所述待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息;
所述查找匹配处理,包括:
将与第一方法名相同的所述第二方法名对应的交互式应用程序安全测试结果作为所述第一方法名对应的第一匹配结果;
根据第一匹配结果中包括的第三漏洞名,对所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正,以使所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与所述第一匹配结果中包括的第三漏洞名相同;
使用所述第一匹配结果中的第二URL与所述动态应用程序安全测试结果中包括的每一第一URL进行匹配;
若所有第一URL均与所述第一匹配结果中的第二URL不同,则使用动态应用程序安全测试对所述第一URL对应的检测路径重新进行动态应用程序安全测试,生成所述第一方法名对应的动态应用程序安全测试重测结果,所述动态应用程序安全测试重测结果中包括所述第一URL对应的第二重测漏洞名;
若所述第二重测漏洞名为空集,则将第一方法名分别对应的静态应用程序安全测试结果及第一匹配结果,加入所述第一方法名对应的待融合信息组;
若所述第二重测漏洞名不为空集,则将第一方法名分别对应的静态应用程序安全测试结果、第一匹配结果及动态应用程序安全测试重测结果,加入所述第一方法名对应的待融合信息组。
2.根据权利要求1所述的方法,其特征在于,在使用所述第一匹配结果中的第二URL与所述动态应用程序安全测试结果中包括的每一第一URL进行匹配之后,所述方法还包括:
若任意第一URL与所述第一匹配结果中的第二URL相同,则确定所述第一URL对应的动态应用程序安全测试结果作为第一方法名对应的第二匹配结果;
将第一方法名分别对应的静态应用程序安全测试结果、第一匹配结果及第二匹配结果,加入所述第一方法名对应的待融合信息组。
3.根据权利要求1所述的方法,其特征在于,根据第一匹配结果中包括的第三漏洞名,对所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正,包括:
若第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与对应的第一匹配结果中的第三漏洞名不同,则将所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名修改为对应的第一匹配结果中的第三漏洞名。
4.根据权利要求1所述的方法,其特征在于,每一所述第一方法名均配置有漏测标识,在对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理之前,所述方法还包括:
若第一方法名与所有的第二方法名均不同,且所述第一方法名配置的漏测标识为第一预设标识,则获取所述第一方法名对应的至少一个目标漏测URL;所述目标漏测URL为与所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名相同的第二漏洞名对应的第一URL;
使用交互式应用程序安全测试对每一目标漏测URL重新进行交互式应用程序安全测试,生成每一目标漏测URL对应的交互式应用程序安全测试漏测结果,并将所述第一方法名对应的漏测标识修改为第二预设标识;所述交互式应用程序安全测试漏测结果包括目标漏测URL、漏测漏洞名及漏测方法名;所述第一预设标识与所述第二预设标识不同;
若目标漏测URL对应的交互式应用程序安全测试漏测结果为空集,则生成交互式应用程序安全测试对所述目标漏测URL的补充信息;
若目标漏测URL对应的交互式应用程序安全测试漏测结果不为空集,则将所述交互式应用程序安全测试漏测结果加入所述待检测应用对应的交互式应用程序安全测试结果中,生成交互式应用程序安全测试更新检测结果。
5.根据权利要求4所述的方法,其特征在于,对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理,包括:
对交互式应用程序安全测试更新检测结果及动态应用程序安全测试结果进行查找匹配处理。
6.根据权利要求1所述的方法,其特征在于,所述待融合信息组中的漏洞名称均相同;
将每一所述待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息,包括:
对所述待融合信息组中的信息进行去重处理,生成目标漏洞检测信息。
7.根据权利要求1所述的方法,其特征在于,所述待融合信息组中包括的漏洞名至少为两种;
将每一所述待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息,包括:
将所述待融合信息组中交互式应用程序安全测试结果对应的第三漏洞名,作为所述第一方法名对应的漏洞名;
根据所述待融合信息组中与所述第三漏洞名不同的其余漏洞名的数量i,生成所述待融合信息组中动态应用程序安全测试结果对应的置信度W;W满足如下条件:
。
8.根据权利要求7所述的方法,其特征在于,在将所述待融合信息组中交互式应用程序安全测试结果对应的第三漏洞名,作为所述第一方法名对应的漏洞名之后,所述方法还包括:
根据所述第一方法名对应的漏洞名及第一预设映射表,生成所述第一方法名对应的漏洞名对应的危险等级及修复建议;所述第一预设映射表包括漏洞名分别与危险等级及修复建议之间的映射关系。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的一种漏洞联动检测结果的融合方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的一种漏洞联动检测结果的融合方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311158292.7A CN117112435B (zh) | 2023-09-08 | 2023-09-08 | 一种漏洞联动检测结果的融合方法、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311158292.7A CN117112435B (zh) | 2023-09-08 | 2023-09-08 | 一种漏洞联动检测结果的融合方法、存储介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117112435A CN117112435A (zh) | 2023-11-24 |
CN117112435B true CN117112435B (zh) | 2024-01-26 |
Family
ID=88799991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311158292.7A Active CN117112435B (zh) | 2023-09-08 | 2023-09-08 | 一种漏洞联动检测结果的融合方法、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117112435B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
US10176325B1 (en) * | 2016-06-21 | 2019-01-08 | Symantec Corporation | System and method for dynamic detection of command and control malware |
CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
CN113010898A (zh) * | 2021-03-25 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种应用程序安全测试方法和相关装置 |
CN113449310A (zh) * | 2021-06-29 | 2021-09-28 | 中国民航信息网络股份有限公司 | 一种应用程序漏洞检测方法、装置及设备 |
CN113569246A (zh) * | 2020-04-28 | 2021-10-29 | 腾讯科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
CN114491560A (zh) * | 2022-01-27 | 2022-05-13 | 中国农业银行股份有限公司 | 一种漏洞检测方法、装置、存储介质及电子设备 |
CN115033887A (zh) * | 2022-06-17 | 2022-09-09 | 中国平安人寿保险股份有限公司 | 开源组件安全治理方法、系统、电子设备及存储介质 |
CN115270121A (zh) * | 2022-07-11 | 2022-11-01 | 燕山大学 | 一种信息高度集成的Web应用程序复杂网络表示方法 |
CN115952503A (zh) * | 2023-01-30 | 2023-04-11 | 深圳海云安网络安全技术有限公司 | 融合黑白灰安全检测技术的应用安全测试方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2611495B (en) * | 2020-12-17 | 2023-10-18 | Mimecast Services Ltd | Systems and methods for attacks, countermeasures, archiving, data leak prevention, and other novel services for active messages |
-
2023
- 2023-09-08 CN CN202311158292.7A patent/CN117112435B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
US10176325B1 (en) * | 2016-06-21 | 2019-01-08 | Symantec Corporation | System and method for dynamic detection of command and control malware |
CN113569246A (zh) * | 2020-04-28 | 2021-10-29 | 腾讯科技(深圳)有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
CN112765611A (zh) * | 2021-01-19 | 2021-05-07 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
CN113010898A (zh) * | 2021-03-25 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种应用程序安全测试方法和相关装置 |
CN113449310A (zh) * | 2021-06-29 | 2021-09-28 | 中国民航信息网络股份有限公司 | 一种应用程序漏洞检测方法、装置及设备 |
CN114491560A (zh) * | 2022-01-27 | 2022-05-13 | 中国农业银行股份有限公司 | 一种漏洞检测方法、装置、存储介质及电子设备 |
CN115033887A (zh) * | 2022-06-17 | 2022-09-09 | 中国平安人寿保险股份有限公司 | 开源组件安全治理方法、系统、电子设备及存储介质 |
CN115270121A (zh) * | 2022-07-11 | 2022-11-01 | 燕山大学 | 一种信息高度集成的Web应用程序复杂网络表示方法 |
CN115952503A (zh) * | 2023-01-30 | 2023-04-11 | 深圳海云安网络安全技术有限公司 | 融合黑白灰安全检测技术的应用安全测试方法及系统 |
Non-Patent Citations (2)
Title |
---|
Interactive sensitive data exposure detection through static analysis;M. A. Obaida 等;《2017 IEEE International Conference on Electro Information Technology (EIT)》;270-275 * |
结合静态分析与动态符号执行的软件漏洞检测方法;蔡军 等;《计算机工程与科学》;第38卷(第12期);2536-2541 * |
Also Published As
Publication number | Publication date |
---|---|
CN117112435A (zh) | 2023-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8935573B2 (en) | Reliable unit testing through cached mocking | |
US8386851B2 (en) | Functional coverage using combinatorial test design | |
TWI575397B (zh) | 利用運行期代理器及動態安全分析之應用程式逐點保護技術 | |
US8397104B2 (en) | Creation of test plans | |
US20130086560A1 (en) | Processing automation scripts of software | |
US20120084756A1 (en) | Accurate identification of software tests based on changes to computer software code | |
US7996818B1 (en) | Method for testing using client specified references | |
CN108694320B (zh) | 一种多安全环境下敏感应用动态度量的方法及系统 | |
Wu et al. | Mutation testing for ethereum smart contract | |
CN107045477B (zh) | 一种可进行多维度检测的质量评估平台 | |
CN112380046B (zh) | 计算结果校验方法、系统、装置、设备及存储介质 | |
CN115292197A (zh) | 一种软件测试方法、装置、电子设备及存储介质 | |
CN111382077A (zh) | 应用程序崩溃原因定位方法、装置、电子设备及存储介质 | |
CN111814138B (zh) | 一种基于云平台的软件安全管理系统 | |
CN112988578A (zh) | 一种自动化测试方法和装置 | |
CN117112435B (zh) | 一种漏洞联动检测结果的融合方法、存储介质及电子设备 | |
US8464103B2 (en) | Generating a functional coverage model from a trace | |
CN104572470B (zh) | 一种基于蜕变关系的整数溢出故障检测方法 | |
US20210271592A1 (en) | Executing tests in deterministic order | |
US8639490B2 (en) | Concretization of abstracted traces | |
CN111475400A (zh) | 一种业务平台的验证方法及相关设备 | |
CN115225341B (zh) | 一种网站访问方法及装置 | |
CN115543391B (zh) | 应用平台升级方法、装置、电子设备及可读存储介质 | |
CN111338963B (zh) | 一种系统配置命令通用测试脚本生成方法、装置 | |
CN112650679B (zh) | 一种测试校验方法、装置及计算机系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A fusion method, storage medium, and electronic device for vulnerability linkage detection results Granted publication date: 20240126 Pledgee: Bank of Nanjing Limited by Share Ltd. Beijing branch Pledgor: Qingke Wandao (Beijing) Information Technology Co.,Ltd. Registration number: Y2024980006567 |
|
PE01 | Entry into force of the registration of the contract for pledge of patent right |