一种用于移动互联网应用的代码安全测试方法

摘要

本发明公开了一种用于移动互联网应用的代码安全测试方法，所述方法主要针对移动应用软件的代码安全需求，给出了代码解析模块、数据流分析模块、控制流分析模块、结构分析模块和安全分析模块等功能模块构成的测试系统，支持Android、Windows Mobile Phone、Symbian、HP-UX 11v1、IBM AIX 5.2、Linux Red Hat ES4/5、Linux Fedora Core 7、Linux Novelle SUSE 10、Sun Solaris8/9/10等操作系统，可以扫描出300多种漏洞，实现了代码的低漏报率测试。

主权项

一种用于移动互联网应用的代码安全测试方法，其特征在于：所述方法主要针对移动应用软件的代码安全需求，给出了代码解析模块、数据流分析模块、控制流分析模块、结构分析模块和安全分析模块等功能模块构成的测试系统，所述测试系统包括代码解析器(1)、代码分析引擎(2)、报告生成器(3)以及安全规则模块(4)、用户接口模块(5)组成，各模块主要功能如下：所述代码解析器(1)与代码分析引擎(2)连接，是负责对源程序进行词法语法分析，并转换成中间表示，并根据后续分析模块的需要，生成特定的语法树结构；所述代码分析引擎(2)包括数据流分析器(21)、控制流分析器(22)、结构分析器(23)、安全分析器(24)；所述报告生成器(3)是对代码分析的结果进行分析并提交给用户，并生成相应的审核报告；所述安全规则模块(4)负责为代码分析引擎(2)提供代码分析规则支持；所述用户接口模块(5)负责与用户进行交互，一方面可以接受用户扫描源代码的请求，另一方面则将扫描分析的结果输出给用户；所述数据流分析器(21)是在代码解析的基础上，提取程序的数据流信息；所述控制流分析器(22)主要是在代码解析的基础上，提取程序的控制流信息，控制流分析器(22)根据规则，通过遍历AST抽象语法树，生成对应的程序控制依赖图，并向安全分析调度模块提供接口以读取信息；所述结构分析器(23)的目标是在代码分析引擎(2)提取出的语法树的基础上，根据安全规则模块(4)提供的代码分析规则，提取程序的主要结构；所述安全分析器(24)根据安全规则模块(4)提供的信息，调度结构分析器(23)进行安全性分析，并生成报告表，提供接口供报告生成器(3)调用。