【摘要】 本发明公开了一种软件源代码安全漏洞的检测方法,该方法包括:建立 待检测软件的源代码对应的抽象语法树AST;根据预先定义的可操纵点和风 险点,确定所建立的AST的各节点中的可操纵点和风险点;所述AST 中的可操纵点到风险点之间的执行路径,如果所述执行路径上的风险点能够 被所述执行路径上的可操纵点控制,则将所述执行路径确定为可能导致安全 漏洞的潜在风险执行路径。本发明还公开了一种软件安全漏洞的检测装置。 使用本发明能够有效地检测出存在于软件源代码中的安全漏洞。 【专利类型】发明申请 【申请人】西门子(中国)有限公司 【申请人类型】企业 【申请人地址】100102北京市朝阳区望京中环南路7号 【申请人地区】中国 【申请人城市】北京市 【申请人区县】朝阳区 【申请号】CN200810146955.2 【申请日】2008-08-28 【申请年份】2008 【公开公告号】CN101661543A 【公开公告日】2010-03-03 【公开公告年份】2010 【授权公告号】CN101661543B 【授权公告日】2015-06-17 【授权公告年份】2015.0 【IPC分类号】G06F21/22; G06F21/57 【发明人】唐文 【主权项内容】1、一种软件源代码安全漏洞的检测方法,其特征在于,该方法包括: 建立待检测软件的源代码对应的抽象语法树AST; 根据预先定义的可操纵点和风险点,确定所建立的AST的各节点中的 可操纵点和风险点; 所述AST中的可操纵点到风险点之间的执行路径,如果所述执行 路径上的风险点能够被所述执行路径上的可操纵点控制,则将所述执行路径 确定为可能导致安全漏洞的潜在风险执行路径。。数据由整理 【当前权利人】西门子(中国)有限公司 【当前专利权人地址】北京市朝阳区望京中环南路7号 【专利权人类型】有限责任公司(外国法人独资) 【统一社会信用代码】91110000625907585K 【被引证次数】32 【被自引次数】1.0 【被他引次数】31.0 【家族引证次数】3.0 【家族被引证次数】33
