研究院成功研发出基于污点跟踪的Java静态分析技术 - 安码科技
服务热线:400-600-5989
首页 >研究院动态 >研究院成功研发出基于污点跟踪的Java静态分析技术> 正文

研究院成功研发出基于污点跟踪的Java静态分析技术

来源:北京安码科技有限公司     发布时间: 2016-03-24

项目简介

  研究院基于对代码级安全考虑,成功研发出基于污点跟踪的Java静态分析技术。

  该项目采用全局的污染扩散算法结合数据流分析技术,通过对基于JAVA开发平台可执行文件的相关处理(JAR&WAR文件解包、JSP文件预编译、Class文件反编译)后进行安全审核分析,或对源代码直接进行安全审核分析,进而对WEB开发代码中所存在的WEB代码安全隐患(如SQL注入、XSS跨站等)进行准确定位,并提供详细的核查报告与整改建议。可支持Java、JavaWeb和Android系统的代码审计。

  平台基于灰盒测试的代码审计产品,可以自动对JAR、WAR,文件进行解包,并支持对JSP文件进行预编译,对Class文件进行反编译,自动生成WEB网站源代码,进而对WEB代码进行自动审核,分析出代码中潜在漏洞,包括跨站脚本(XSS)、SQL注入、路径遍历等。B/S架构。

  平台涵盖了Java、JavaWeb和Android三类代码的审计功能,并对每一类制定了对应的规则。Java检测模块可以检测9大类共400余项,JavaWeb审计模块支持分析代码中潜在漏洞,包括跨站脚本(XSS)、SQL注入、路径遍历等,并报告从JSP到Class文件甚至到JAR的完整攻击路径。Android审计模块支持检测常见的Android漏洞,对敏感权限调用进行预警,提取特定的URL或字符串进行检测。