[發明專利]一種程序漏洞挖掘方法、裝置、終端及存儲介質有效

申請號：	201810777363.4	申請日：	2018-07-16
公開（公告）號：	CN109086606B	公開（公告）日：	2020-08-07
發明（設計）人：	韓鷙桐;陳楠	申請（專利權）人：	騰訊科技（北京）有限公司
主分類號：	G06F21/57	分類號：	G06F21/57
代理公司：	廣州三環專利商標代理有限公司 44202	代理人：	賈允;肖丁
地址：	100080 北京市海淀區海淀***	國省代碼：	北京;11
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種程序漏洞挖掘方法裝置終端存儲介質
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種程序漏洞挖掘方法，其特征在于，所述方法包括：

根據測試目標選擇對應的策略模板；所述測試目標包括圖形庫接口、圖形庫數據關系和圖形庫數據流，圖形庫安裝在主機中；所述策略模板通過命令行的形式被傳入所述主機；

根據所述策略模板生成測試用例，其中，所述生成測試用例包括生成接口測試用例、生成數據關系測試用例和生成數據流測試用例；所述生成接口測試用例包括：構建接口數據，所述接口數據根據預設的標準生成；對所述根據預設的標準生成的接口數據進行數據隨機化；對接口進行分類組裝，并按照預設的邏輯對所述分類組裝后的接口進行排序；對所述接口的執行序列進行序列隨機化；

將所述測試用例注入到所述測試目標中，對所述測試目標進行測試，并對測試過程中的日志進行保存；

根據所述策略模板和所述日志生成復現腳本。

2.根據權利要求1所述的一種程序漏洞挖掘方法，其特征在于，所述生成數據關系測試用例包括：

構建關系數據，所述關系數據根據預設的標準生成；

對所述關系數據進行關系數據隨機化；

對所述關系進行分類；

在基本關系正確的基礎上，對所述關系進行關系復雜化。

3.根據權利要求1所述的一種程序漏洞挖掘方法，其特征在于，所述生成數據流測試用例包括：

構建數據流，所述數據流根據預設的標準生成；

對上一次的測試中的數據流進行分析，以獲得所述數據流的走向；

根據當前數據流的可達路徑對當前數據流進行數據廣度優化；

根據所述數據流的可達路徑對當前數據流進行數據深度優化。

4.根據權利要求1所述的一種程序漏洞挖掘方法，其特征在于，所述方法包括：

當需要改變挖掘策略時，根據所述測試目標的測試需求遠程熱更新所述策略模板。

5.根據權利要求4所述的一種程序漏洞挖掘方法，其特征在于，所述方法還包括：

在測試過程中，根據返回的測試結果對所述策略模板進行動態調整。

6.一種程序漏洞挖掘裝置，其特征在于，包括：

策略模板選擇模塊，用于根據測試目標選擇對應的策略模板；所述測試目標包括圖形庫接口、圖形庫數據關系和圖形庫數據流，圖形庫安裝在主機中；所述策略模板通過命令行的形式被傳入所述主機；

測試用例生成模塊，用于根據所述策略模板生成測試用例，其中，所述測試用例生成模塊包括接口測試用例生成模塊、關系測試用例生成模塊和數據流測試用例生成模塊；所述接口測試用例生成模塊包括：接口數據構建模塊，用于構建接口數據，所述接口數據根據預設的標準生成；接口數據隨機化模塊，用于對所述根據預設的標準生成的接口數據進行數據隨機化；接口分類模塊，用于對接口進行分類組裝，并按照預設的邏輯對所述分類組裝后的接口進行排序；序列隨機化模塊，用于對所述接口的執行序列進行序列隨機化；

測試執行模塊，用于將所述測試用例注入到所述測試目標中，對所述測試目標進行測試，并對測試過程中的日志進行保存；

腳本用例復現模塊，用于根據所述策略模板和所述日志生成復現腳本。

7.根據權利要求6所述的一種程序漏洞挖掘裝置，其特征在于，所述關系測試用例生成模塊包括：

關系數據構建模塊，用于構建關系數據，所述關系數據根據預設的標準生成；

關系數據隨機化模塊，用于對所述關系數據進行關系數據隨機化；

關系分類模塊，用于對所述關系進行分類；

關系復雜化模塊，用于在基本關系正確的基礎上，對所述關系進行關系復雜化。

8.根據權利要求7所述的一種程序漏洞挖掘裝置，其特征在于，所述數據流測試用例生成模塊包括：

數據流構建模塊，用于構建數據流，所述數據流根據預設的標準生成；

數據流分析模塊，用于對上一次的測試中的數據流進行分析，以獲得所述數據流的走向；

廣度優化模塊，用于根據當前數據流的可達路徑對當前數據流進行數據廣度優化；

深度優化模塊，用于根據所述數據流的可達路徑對當前數據流進行數據深度優化。