[发明专利]基于参数和信息流的源代码越权检测方法及装置

说明书

本发明提供了一种基于参数和信息流的源代码越权检测方法及装置，该方法包括：对应用平台源代码进行解析，并将解析到的源代码信息采用语法树表示；对语法树进行信息流分析，以获得信息流信息；根据预设的越权检测策略和信息流信息，对应用平台源代码进行越权检测；输出越权高风险的参数及相关信息。由于采用信息流对参数进行越权检测，与应用平台业务逻辑紧密相关，能够对源代码的逻辑进行深入分析，所以能够减少误报率，提高检测的准确率，并且实现了基于业务逻辑的越权漏洞的检测，使应用平台的源代码在银行等业务场景广泛的行业能被安全使用。

技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种基于参数和信息流的源代码越权检测方法及装置。

背景技术

随着网络技术和应用平台的飞速发展，信息安全正面临着前所未有的挑战。信息系统与互联网或其他网络的互连，使信息系统遭受攻击的概率增加。

近年来，重大安全事件的频频发生揭示了当前信息系统安全形式的严峻性。应用平台源代码是构建信息的基础组件，应用平台源代码中安全漏洞的存在是安全事件频繁发生的根源。因此多种应用平台源代码的安全检测软件应运而生。

目前主流的应用平台源代码检测的开源软件包括：Checkstyle，FindBugs，PMD，Jtest等，商业软件包括：Foritify，CheckMarx和CodeSecure等。其中，Checkstyle是开源软件开发平台SourceForge的开源Java代码静态检测项目，通过分析应用平台源代码的多个方面进行代码规范和风格检查。如编码格式、命名约定、Javadoc、类设计等，进而约束代码编写者遵循代码编写规范。FindBugs是马里兰大学的一款Java静态检测分析开源工具，通过对软件的类文件或JAR文件的字节码和缺陷模式进行对比进而发现软件代码中的缺陷。PMD与CheckStyle相同，该工具也是开源软件开发平台SourceForge的开源Java代码静态检测工具，通过内置编码规则对Java源代码进行是否存在未使用代码、重复代码、潜在漏洞、循环体创建新对象等安全编码问题静态检测。Jtest是Parasoft公司推出的针对Java语言源代码的自动化优化和检测工具，该工具利用其内置的近千条Java编码规范对Java代码进行检测，得到程序中的编码错误。Fortify是提供应用软件安全开发工具和管理方案的厂商，为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立最佳的应用软件安全实践和策略。Checkmarx是以色列的一家高科技软件公司，其产品CheckmarxCxSuite可识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险，以查询语言定位代码安全问题，其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。CodeSecure内建语法剖析功能无需依赖编译环境，任何人员均可利用Web操作与集成开发环境双接口，找出存在信息安全问题的源代码，并提供修补建议进行调整。

现有的应用平台源代码检测的开源软件和商业软件并没有严格的信息流机制，会产生极高的误报率，并且均主要关注常规的代码缺陷，只能检测如跨站脚本(简称：XSS)，结构化查询语言(简称：SQL)，密码管理，危险API接口等缺陷，对于应用平台源代码中的业务逻辑并不了解，不能检测基于业务逻辑而产生的越权的漏洞，使应用平台源代码在银行等业务场景广泛的行业不能被安全使用。

发明内容

本发明实施例提供一种基于参数和信息流的源代码越权检测方法及装置，该方法解决了现有技术中对源代码检测的开源软件和商业软件不能检测基于业务逻辑而产生的越权的漏洞，使应用平台源代码在银行等业务场景广泛的行业不能被安全使用的技术问题。

本发明实施例提供一种基于参数和信息流的源代码越权检测方法，包括：

对应用平台源代码进行解析，并将解析到的源代码信息采用语法树表示；

对所述语法树进行信息流分析，以获得信息流信息；

根据预设的越权检测策略和所述信息流信息，对所述应用平台源代码进行越权检测；