本發明涉及一種動畫源文件安全漏洞檢查方法及裝置。在一個實施例中，上述方法包括：對該動畫源文件進行反編譯以獲取該動畫源文件的程序結構及語法模型；將該程序結構及該語法模型轉換成抽象語法樹；根據該抽象語法樹構建符號表和函數摘要；以及基于該符號表和函數摘要，結合漏洞規則進行污點回溯追蹤，并將追蹤結果輸出。上述的動畫源文件安全漏洞檢查方法與裝置詳細跟蹤外部惡意數據在程序中的傳遞及漏洞的產生過程，并可提高漏洞檢測的覆蓋率。

技術領域

本發明涉及計算機程序安全檢測技術，特別涉及一種動畫源文件安全漏洞檢查方法及裝置。

背景技術

隨著互聯網技術的發展，用戶已離不開各式各樣的網絡應用，如網絡游戲、電子商城及各種社交應用。而在這些網絡應用中，各種動畫得到了廣泛的運用。在各種動畫中，尤以Adobe公司的flash動畫(擴展名為.swf)應用最為廣泛。flash動畫由于強大的腳本語言（Action Script,AS）的支持，在頁面展示時含有豐富的功能。但同時由于AS的功能的強大以及開放性，也帶來不安全的因素。常見的安全漏洞包括跨站腳本攻擊（Cross-SiteScripting，以下簡稱XSS）以及跨站flash（Cross-Site Flash，以下簡稱XSF）。

目前flash安全漏洞檢測的常用方法分為靜態分析和動態分析。其中靜態分析更分成半自動化和自動化兩種方式，常用的是半自動化的挖掘手段，通過人工審查源碼定位關鍵函數，再查看參數是否外部可控。但是半自動化的方式需要肉眼分析，耗時耗力。

另外，靜態自動化分析同樣通過反編譯獲取AS源代碼，然后基于漏洞代碼特征，模式匹配進行安全檢測。比如，flash反編譯的AS代碼片段為getURL(_root.gourl,_blank)，通過搜索代碼中關鍵函數getURL，并匹配參數是否為外部輸入_root.*，即可發現漏洞。此種方案易于自動化實現，但檢測能力具有很大局限性，僅能針對單一行代碼。假如反編譯的AS代碼片段如下：

var param:Object=root.loaderInfo.parameters;

var swf:String=param[“swf”];

var myLoader:Loader=new Loader();

var url:URLRequest=new URLRequest(swf);

myLoader.load(url);

addChild(myLoader);

其中外部參數swf直接被載入，將導致XSF漏洞，但特征字符串匹配的方法很難檢測出此類漏洞。

發明內容

因此，本發明提供一種動畫源文件安全漏洞檢查方法與裝置，其可提高漏洞檢測的覆蓋率。

一種動畫源文件安全漏洞檢查方法，包括：對該動畫源文件進行反編譯以獲取該動畫源文件的程序結構及語法模型；將該程序結構及該語法模型轉換成抽象語法樹；根據該抽象語法樹構建符號表和函數摘要；以及基于該符號表和函數摘要進行污點回溯追蹤，并將追蹤結果輸出。

一種動畫源文件安全漏洞檢查裝置，包括：反編譯解析模塊，用于對該動畫源文件后進行反編譯以獲取該動畫源文件的程序結構及語法模型；抽象語法樹構建模塊，用于將該程序結構及該語法模型轉換成抽象語法樹；符號表構建模塊，用于根據該抽象語法樹構建符號表；函數摘要模塊，用于根據該抽象語法樹構建函數摘要；以及污點追蹤模塊，用于基于該符號表和函數摘要進行污點回溯追蹤，并將檢查結果輸出。

根據上述的動畫源文件漏洞檢測方法及裝置，可以自動化地將動畫源文件轉換為抽象語法樹，進而根據抽象語法構建出符號表及函數摘要，可以無限迭代的追蹤出一個變量是否危險，詳細跟蹤外部惡意數據在程序中的傳遞及漏洞的產生過程，相比于傳統的關鍵字查詢方式，漏洞檢出率得以提高。