本發明專利技術公開了一種用于移動互聯網應用的代碼安全測試方法,所述方法主要針對移動應用軟件的代碼安全需求,給出了代碼解析模塊、數據流分析模塊、控制流分析模塊、結構分析模塊和安全分析模塊等功能模塊構成的測試系統,支持Android、、Windows?Mobile?Phone、Symbian、HP-UX?11v1、IBM?AIX?5.2、Linux?Red?Hat?ES4/5、Linux?Fedora?Core?7、Linux?Novelle?SUSE?10、Sun?Solaris8/9/10等操作系統,可以掃描出300多種漏洞,實現了代碼的低漏報率測試。
【技術實現步驟摘要】
本專利技術涉及一種移動互聯網應用技術,尤其涉及。
技術介紹
隨著移動互聯網終端的普及應用,移動互聯網業務得到了前所未有的快速發展,相關的移動業務應用軟件也被越來越多的個人或企業用于處理各種私密信息、敏感信息和高價值信息,例如個人隱私、商務談判信息等,這使得移動業務應用軟件日益成為企圖獲取這些信息的攻擊者的攻擊目標。軟件代碼編寫階段引入的安全漏洞是最常見的安全漏洞,如何設計一種有效的代碼安全測試方法,以檢測存在于源代碼中的潛在威脅是非常有必要的,且迫切的。·軟件代碼的漏洞主要通過靜態方法和動態方法進行檢測。雖然動態方法對代碼的規模沒有限制,可以對大型程序進行檢測,但不足之處是檢測的效果嚴重依賴輸入方法,只有當特定的輸入使代碼執行到危險點時,漏洞才會被發現,所以這種方法漏報率較高。基于約束分析和模型檢驗的代碼安全漏洞檢測方法(申請號200910086938. 9)提出一種約束分析的模型檢測的方法對緩沖區溢出漏洞進行驗證,通過謂詞公理系統進行模型求解,判斷和分析安全漏洞以及引發路徑,可以一定程度上地降低漏報率,但這是以犧牲大量計算資源為代價的,另外,該方法沒有考慮到移動應用業務更加靈活、接入方式多樣化等特點,很難直接應用到移動應用軟件中。
技術實現思路
本專利技術要解決的技術問題在于提供了一種可以掃描出300多種漏洞,實現了代碼的低漏報率的測試方法。為解決上述技術問題,本專利技術通過以下方案來實現,所述方法主要針對移動應用軟件的代碼安全需求,給出了代碼解析模塊、數據流分析模塊、控制流分析模塊、結構分析模塊和安全分析模塊等功能模塊構成的測試系統,所述測試系統包括代碼解析器、代碼分析引擎、報告生成器以及安全規則模塊、用戶接口模塊組成,各模塊主要功能如下所述代碼解析器與代碼分析引擎連接,是負責對源程序進行詞法語法分析,并轉換成中間表示,并根據后續分析模塊的需要,生成特定的語法樹結構;所述代碼分析引擎包括數據流分析器、控制流分析器、結構分析器、安全分析器;所述報告生成器是對代碼分析的結果進行分析并提交給用戶,并生成相應的審核 艮告;所述安全規則模塊負責為代碼分析引擎提供代碼分析規則支持;所述用戶接口模塊負責與用戶進行交互,一方面可以接受用戶掃描源代碼的請求,另一方面則將掃描分析的結果輸出給用戶。所述數據流分析器是在代碼解析的基礎上,提取程序的數據流信息。所述控制流分析器主要是在代碼解析的基礎上,提取程序的控制流信息,控制流分析器根據規則,通過遍歷AST (抽象語法樹),生成對應的程序控制依賴圖,并向安全分析調度模塊提供接口以讀取信息。所述結構分析器的目標是在代碼分析引擎提取出的語法樹的基礎上,根據安全規則模塊提供的代碼分析規則,提取程序的主要結構。 所述安全分析器根據安全規則模塊提供的信息,調度結構分析器進行安全性分析,并生成報告表,提供接口供報告生成器調用。本專利技術的優點是本專利技術給出了,主要針對移動應用軟件的代碼安全需求,給出了代碼解析、數據流分析、控制流分析、結構分析和安全分析等功能模塊,支持 Android、^Windows MobiIePhone、Symbian、HP-UX llvl、IBM AIX 5. 2、Linux Red Hat ES4/5、Linux FedoraCore 7、Linux Novelle SUSE 10、SunSolaris8/9/10等操作系統,可以掃描出300多種漏洞,實現了代碼的低漏報率測試。以下結合附圖對本專利技術作詳細說明。圖I為本專利技術系統架構設計示意圖;圖2為本專利技術代碼解析器功能實現流程圖;圖3為本專利技術數據流分析器功能實現流程圖;圖4為本專利技術結構分析器功能實現流程圖;圖5為本專利技術安全分析器功能實現流程圖;圖6為本專利技術系統處理流程圖。 圖7為本專利技術Main方法的控制流程示意 圖8為本專利技術label語法結構示意 圖 9 為本專利技術 break, continue, return, goto, exit ()和 abort ()語法結構不意圖; 附圖說明圖10為本專利技術if語法結構示意 圖11為本專利技術switch-case語法結構示意 圖12為本專利技術while循環語法結構示意 圖13為本專利技術for語法結構示意 圖14為本專利技術do-while循環語法結構示意 圖15為本專利技術虛分支結構示意圖。具體實施例方式如圖I所示,,所述方法主要針對移動應用軟件的代碼安全需求,給出了代碼解析模塊、數據流分析模塊、控制流分析模塊、結構分析模塊和安全分析模塊等功能模塊構成的測試系統,所述測試系統包括代碼解析器I、代碼分析引擎2、報告生成器3以及安全規則模塊4、用戶接口模塊5組成,各模塊主要功能如下I)、代碼解析器I是負責對源程序進行詞法語法分析,并轉換成中間表示,并根據后續分析模塊的需要,生成特定的語法樹結構,為后繼分析提供便利,數據流分析器21是在代碼解析器I的基礎上,提取程序的數據流信息。其實現流程如圖2所示,源代碼經分析調度、詞法分析、語法分析等預處理,連接若干處理線程,詞法分析帶有AST緩沖池。2)、所述代碼分析引擎2包括數據流分析器21、控制流分析器22、結構分析器23、安全分析器24,如圖3所示數據流分析器21功能實現流程圖,數據流分析器21通過遍歷AST (抽象語法樹),提取出需要的數據信息,并根據用戶規則,對這些信息進行刷選,并向程序分析模塊提供接口以讀取這些信息,其實現原理為假設變量X的定值是一個語句,它賦值或可能賦值給X。最普通的定值是對X的賦值或讀值到X的語句。這些語句真正對X定值,稱為X的無二義定植。還有一些語句,它們可能對X定值,稱為二義定植。稱a定值d到達程序點P,若存在路徑從緊跟d的點到達P,且在這條路徑上d沒·有被注銷。如果沿著這條路徑的某兩點間是讀a或對a的賦值,那么我們注銷變量a的那個定值。直觀上,如果某個變量a的定值d到達點P,那么P引用a的最新定值可能在d點。只有a的無二義定值注銷a的其它定值。這樣,一個點可以由一條路徑上的無二義定值和同一個變量出現在無二義定值之后的二義定值到達。控制流分析器22主要是在代碼解析器I的基礎上,提取程序的控制流信息。控制流分析器22根據規則,通過遍歷AST (抽象語法樹),生成對應的程序控制依賴圖,并向安全分析調度模塊提供接口以讀取這些信息。控制流分析器22的實現如下程序的控制流程圖是由上述節點和分支組成的,對程序控制流程的一種抽象的圖形表示。以上Main方法的控制流程圖可以表示為如圖7所示的圖形。控制流程圖中的分支數就是圖中所有分支數之和。實際上,分支數也等于所有節點的“流出”分支數之和。因此,一種簡便的分支數計算方法是計算程序中每個節點的“流出”分支數之和。下表給出每種語法及其對應的分支點的“流出”分支數的計算方法。 mm具體說明圖形表示 label語法結每個label語句有一個-hnmR構匯聚點,引出I個分支___權利要求1.,其特征在于所述方法主要針對移動應用軟件的代碼安全需求,給出了代碼解析模塊、數據流分析模塊、控制流分析模塊、結構分析模塊和安全分析模塊等功能模塊構成的測試系統,所述測試系統包括代碼解析器(I)、代碼分析引擎(2)、報告生成器(3)以及安全規則模塊(4)、用戶接口模塊(5)組成,各模塊主要本文檔來自技高網...
【技術保護點】
一種用于移動互聯網應用的代碼安全測試方法,其特征在于:所述方法主要針對移動應用軟件的代碼安全需求,給出了代碼解析模塊、數據流分析模塊、控制流分析模塊、結構分析模塊和安全分析模塊等功能模塊構成的測試系統,所述測試系統包括代碼解析器(1)、代碼分析引擎(2)、報告生成器(3)以及安全規則模塊(4)、用戶接口模塊(5)組成,各模塊主要功能如下:所述代碼解析器(1)與代碼分析引擎(2)連接,是負責對源程序進行詞法語法分析,并轉換成中間表示,并根據后續分析模塊的需要,生成特定的語法樹結構;所述代碼分析引擎(2)包括數據流分析器(21)、控制流分析器(22)、結構分析器(23)、安全分析器(24);所述報告生成器(3)是對代碼分析的結果進行分析并提交給用戶,并生成相應的審核報告;所述安全規則模塊(4)負責為代碼分析引擎(2)提供代碼分析規則支持;所述用戶接口模塊(5)負責與用戶進行交互,一方面可以接受用戶掃描源代碼的請求,另一方面則將掃描分析的結果輸出給用戶。
【技術特征摘要】
【專利技術屬性】
技術研發人員:羅時龍,覃志武,薛亞,沈晨,胡建光,李軍,殷杰,包先雨,方凱彬,
申請(專利權)人:深圳出入境檢驗檢疫局信息中心,深圳市檢驗檢疫科學研究院,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。