[发明专利]一种基于Web缺陷的检验方法

说明书

本发明公开了一种基于Web缺陷的检验方法，该方法包括以下内容：依赖确定：Web应用程序启动时，首先对其代码进行依赖确定；代码入口点识别：通过正则表达式对文件数据做出关键模式匹配、追踪、并加以分析寻找入口点；缺陷定位和入侵检测：以确定代码入口点为起点，找到变量在程序中的传递路线，发现核心变量对应用系统的影响力；防范措施：检验代码是否会出现常出现的代码风险，采取应用程序部署方法，避免风险的侵入。本发明具有以下特点：在代码开始源头到代码成长、到最终项目终止都有极好的监管；可以发现项目上线后难以发现的安全隐患；不仅对代码缺陷有很好的关注，在Web安全入侵防护方面都有很好的体现，保证用户数据安全、隐私防护。

技术领域

本发明涉及计算机技术领域，具体地说是一种基于Web缺陷的检验方法。

背景技术

在现阶段流行市面下，黑盒测试和白盒测试作为主流测试方法，其中和一些常用方法如反推法、调试代码等的作用下，各种市面软件系统都可以保证在用户需求期间前平稳上线，但是对于一个大型应用网站架构系统，黑盒、白盒测试不再对适用检验Web系统的缺陷，这时就需要一个高效、改进市面的传统模式的测试方法实现系统“零”缺陷的愿景。

发明内容

本发明的技术任务是提供一种基于Web缺陷的检验方法。

本发明的技术任务是按以下方式实现的：

一种基于Web缺陷的检验方法，该方法包括以下内容：

1）依赖确定：Web应用程序启动时，首先对其代码进行依赖确定；

2）代码入口点识别：通过正则表达式对文件数据做出关键模式匹配、追踪、并加以分析寻找入口点；

3）缺陷定位和入侵检测：以确定代码入口点为起点，找到变量在程序中的传递路线，发现核心变量对应用系统的影响力；

4）防范措施：检验代码是否会出现常出现的代码风险，采取应用程序部署方法，避免风险的侵入。

所述的依赖确定包括代码与数据库的依赖关系确定，平台与服务器确定，程序语言和防火墙确定，第三方组件确定以及互联网访问信息接口确定。

所述的代码与数据库的依赖关系确定：在进行代码审查时，接口需要检查；

所述的平台与服务器确定：需要确定应用程序是以Java平台和以何种服务器部署装载项目；

所述的程序语言和防火墙确定：通过对程序语言的特征，确认代码逻辑关系和继承多样关系，避免出现逻辑错误；

所述的第三方组件确定：引用技术雷达工具的OWASP Dependency Check，对第三方组件进行识别、漏洞匹配、生成检查报告的活动；

所述的互联网访问信息接口确定：通过检查服务端的读写控制权，判断用户数据是否真正做到自己控制的特点和重要信息私有控制的特点。

所述的程序语言和防火墙确定还包括：应用程序防火墙部署在合理位置，内容过滤功能也必须开启。

所述的代码入口点识别中，文件数据为网页表格、Request请求和XML文件。

所述的缺陷定位和入侵检测中，以确定代码入口点为起点，找到变量在程序中的传递路线，包括：通过测试变量的传递路线，对其完全覆盖、彻底追踪，暴露出信息并记录日志；利用脚本-SG的功能，从文件对象、缓存会出现的异常，观察并定位出现漏洞的位置。

所述的防范措施中的代码风险为：API误用，错误和异常处理缺陷，由时间或状态引起的应用程序缺陷风险。

所述的防范措施中的应用程序部署方法为：在应用程序防火墙中添加规则，以及在SQL层次使用预定义语句和存储过程。