申请/专利权人：深圳开源互联网安全技术有限公司

申请日：2023-09-11

公开（公告）日：2024-03-01

公开（公告）号：CN117633803A

主分类号：G06F21/57

分类号：G06F21/57;G06F21/56

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.03.19#实质审查的生效;2024.03.01#公开

摘要：本发明公开了一种静态污点数据分析方法及系统，以用于应用程序漏洞检测，该分析方法包括：根据已知漏洞的漏洞特征获取待测应用程序中的污点汇聚点；通过数据流获取方法获取污点传播数据流；当污点传播数据流中的其中一节点属于污点汇聚点且方法体不属于入口方法时，向上获取该方法体的调用语句，并以此获得该调用语句所属的调用方法体，并将该调用语句定义为该调用方法体中的污点汇聚点；根据数据流获取方法获取调用方法体中的污点传播数据流；以此逐层检测，如果当前方法体为入口方法，拼接获取到的所有污点传播数据流，以获得完整污点传播数据流。基于上述分析方法，对代码的扫描效率高，而且可有效确保污点分析的准确性。

主权项：1.一种静态污点数据分析方法，以用于应用程序漏洞检测，其特征在于，该分析方法包括：根据已知漏洞的漏洞特征获取待测应用程序中的污点汇聚点，所述污点数据点为具有所述漏洞特征的代码行；通过数据流获取方法获取污点传播数据流，所述数据流获取方法为：获取所述污点汇聚点所在的方法体，根据所方法体的参数进行污点传播分析，以获取污点传播数据流；当所述污点传播数据流中的其中一节点属于所述污点汇聚点且所述方法体不属于入口方法时，向上获取该方法体的调用语句，并以此获得该调用语句所属的调用方法体，并将该调用语句定义为该调用方法体中的所述污点汇聚点，所述入口方法为用于直接获取外部数据的方法；根据所述数据流获取方法获取所述调用方法体中的污点传播数据流；以此逐层检测，如果当前方法体为所述入口方法，拼接获取到的所有所述污点传播数据流，以获得完整污点传播数据流。

全文数据：

权利要求：

百度查询： 深圳开源互联网安全技术有限公司 静态污点数据分析方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD