发明名称 |
漏洞检测方法及装置 |
摘要 |
本发明公开一种漏洞检测方法及装置,该方法包括:接收需进行漏洞检测的源代码;对接收的源代码进行词法语法分析并配置漏洞检测的检测点,得到对应的语法树信息;解析语法树信息中配置的各检测点,获取与各检测点相关联的变量,并通过解析获取的变量,得到该变量的初始值;分析获取的变量的初始值为外部可控输入时,检测出源代码存在漏洞;相较于现有技术中,过于依赖测试用例的动态黑盒测试,以及通过审计工具进行扫描检测的静态白盒测试,本发明实施例具体提高漏洞检测准确率的有益效果,降低了对源代码进行检测时的漏洞误报率。 |
申请公布号 |
CN104462981A |
申请公布日期 |
2015.03.25 |
申请号 |
CN201310416757.4 |
申请日期 |
2013.09.12 |
申请人 |
深圳市腾讯计算机系统有限公司 |
发明人 |
王培伟;王金锭;谭晓光;陈薇婷;王岳 |
分类号 |
G06F21/57(2013.01)I |
主分类号 |
G06F21/57(2013.01)I |
代理机构 |
深圳市世纪恒程知识产权代理事务所 44287 |
代理人 |
胡海国;赵爱蓉 |
主权项 |
一种漏洞检测方法,其特征在于,包括以下步骤:接收需进行漏洞检测的源代码;对接收的所述源代码进行词法语法分析并配置漏洞检测的检测点,得到对应的语法树信息;解析所述语法树信息中配置的各检测点,获取与各检测点相关联的变量,并通过解析获取的所述变量得到所述变量的初始值;分析获取的所述变量的初始值为外部可控输入时,检测出所述源代码存在漏洞。 |
地址 |
518000 广东省深圳市南山区高新区高新南一路飞亚达大厦5-10楼 |