【技术实现步骤摘要】
一种漏洞联动检测结果的融合方法、存储介质及电子设备
[0001]本专利技术涉及计算机安全
,特别是涉及一种漏洞联动检测结果的融合方法
、
存储介质及电子设备
。
技术介绍
[0002]软件测试是软件开发过程的重要组成部分,具体为在软件投入运行前,对软件需求分析
、
设计规格说明和编码的最终复审,用来确认一个程序的品质或性能是否符合开发之前所提出的一些要求,是软件质量保证的关键步骤
。
[0003]基于测试对象的不同,现有的软件测试可分为两大类,其中一类为针对程序源码的静态应用程序安全测试
。
静态应用程序安全测试可以在代码层面发现问题
。
另一类为针对应用程序本身的动态应用程序安全测试及交互式应用程序安全测试
。
动态应用程序安全测试可以模拟用户对应用程序的使用,从而发现应用程序中隐藏的功能实现问题
。
交互式应用程序安全测试结合了动态应用程序安全测试和静态应用程序安全测试的优势,既可以在代码层面定位漏洞代码,又可以在测试过程中通过模拟用户对应用程序的使用行为,以发现隐藏的功能实现问题
。
[0004]但是,每一种形式的测试有都存在对应的缺点,如静态应用程序安全测试的误测率高,动态应用程序安全测试的信息较少,也存在一定的误测率
。
交互式应用程序安全测试的内部测试规则由于需要人员进行手动配置,所以会由于内部测试规则覆盖度的影响,导致交互式应用程序安全测试可覆盖的
【技术保护点】
【技术特征摘要】
1.
一种漏洞联动检测结果的融合方法,其特征在于,所述方法包括如下步骤:获取同一待检测应用分别对应的静态应用程序安全测试结果
、
交互式应用程序安全测试结果及动态应用程序安全测试结果;所述静态应用程序安全测试结果包括每一漏洞对应的第一方法名及第一漏洞名,所述动态应用程序安全测试结果包括每一漏洞对应的第一
URL
及第二漏洞名;所述交互式应用程序安全测试结果包括每一漏洞对应的第二方法名
、
第二
URL
及第三漏洞名;若第一方法名与任一所述第二方法名相同,则对交互式应用程序安全测试结果及动态应用程序安全测试结果进行查找匹配处理,生成所述第一方法名对应的待融合信息组,每一所述待融合信息组中均包括所述第一方法名对应的静态应用程序安全测试结果
、
交互式应用程序安全测试结果及动态应用程序安全测试结果;将每一所述待融合信息组中的结果信息进行融合,生成每一第一方法名对应的漏洞检测信息;所述查找匹配处理,包括:将与第一方法名相同的所述第二方法名对应的交互式应用程序安全测试结果作为所述第一方法名对应的第一匹配结果;根据第一匹配结果中包括的第三漏洞名,对所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正,以使所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与所述第一匹配结果中包括的第三漏洞名相同;使用所述第一匹配结果中的第二
URL
与所述动态应用程序安全测试结果中包括的每一第一
URL
进行匹配;若所有第一
URL
均与所述第一匹配结果中的第二
URL
不同,则使用动态应用程序安全测试对所述第一
URL
对应的检测路径重新进行动态应用程序安全测试,生成所述第一方法名对应的动态应用程序安全测试重测结果,所述动态应用程序安全测试重测结果中包括所述第一
URL
对应的第二重测漏洞名;若所述第二重测漏洞名为空集,则将第一方法名分别对应的静态应用程序安全测试结果及第一匹配结果,加入所述第一方法名对应的待融合信息组;若所述第二重测漏洞名不为空集,则将第一方法名分别对应的静态应用程序安全测试结果
、
第一匹配结果及动态应用程序安全测试重测结果,加入所述第一方法名对应的待融合信息组
。2.
根据权利要求1所述的方法,其特征在于,在使用所述第一匹配结果中的第二
URL
与所述动态应用程序安全测试结果中包括的每一第一
URL
进行匹配之后,所述方法还包括:若任意第一
URL
与所述第一匹配结果中的第二
URL
相同,则确定所述第一
URL
对应的动态应用程序安全测试结果作为第一方法名对应的第二匹配结果;将第一方法名分别对应的静态应用程序安全测试结果
、
第一匹配结果及第二匹配结果,加入所述第一方法名对应的待融合信息组
。3.
根据权利要求1所述的方法,其特征在于,根据第一匹配结果中包括的第三漏洞名,对所述第一方法名对应的静态应用程序安全测试结果中的第一漏洞名进行校正,包括:若第一方法名对应的静态应用程序安全测试结果中的第一漏洞名与对应的第一匹配结果中的第三漏洞名不同,则将所述第一方法名对应的静态应用程序安全测试结果中的第
一漏洞名修改为对应的第一匹配结果中的第三漏洞名
。4.
根据权利要求1所...
【专利技术属性】
技术研发人员:黄循阳,李照,徐俊,
申请(专利权)人:清科万道北京信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。