技术特征:
技术总结
本发明提供了一种基于应用系统业务处理逻辑的源代码越权检测方法及装置。该方法包括:对应用系统源代码进行解析,并将解析到的源代码信息采用语法树表示;对语法树进行信息流分析,以获得信息流信息;根据预设的越权检测策略和信息流信息,对应用系统源代码进行越权检测;输出越权高风险的参数及相关信息。由于采用信息流对参数进行越权检测,与应用系统业务逻辑紧密相关,能够对源代码的逻辑进行深入分析,所以能够减少误报率,提高检测的准确率,并且实现了基于业务逻辑的越权漏洞的检测,使应用系统的源代码在银行等业务场景广泛的行业能被安全使用。
技术研发人员:张磊;高晓梦;吕晓强;李吉慧
受保护的技术使用者:中国民生银行股份有限公司
技术研发日:2017.04.10
技术公布日:2017.08.29