[发明专利]用于安全性测试的计算系统和方法

权利要求书

1.一种用于安全性测试的计算系统，包括：

应用安全性扫描器，用于：

使得与应用相关联的动态污点模块经由通信模块启动以用于安全性测试的爬行阶段，

从所述动态污点模块接收报告，

使得对所述动态污点模块进行约束，和

基于所述报告来生成扫描策略；

其中使得对动态污点模块进行约束意味着禁用动态污点模块的功能性；并且其中所述约束是通过向动态污点模块发送消息而导致的；

其中，所述报告包括经由动态污点分析所确定的一列弱点的候选。

2.如权利要求1所述的计算系统，进一步包括：

所述动态污点模块，用于：

从所述应用安全性扫描器接收第一消息来启动动态污点模块；

响应于所述第一消息来启动所述动态污点模块；

在爬行阶段期间生成报告；

使得所述报告发送到所述应用安全性扫描器；

接收第二消息来禁用所述动态污点模块；并且

基于所述第二消息来禁用所述动态污点模块的至少一部分。

3.如权利要求2所述的计算系统，其中所述动态污点模块在爬行阶段期间截获所述应用的程序执行以通过将一个或者多个不受信任的用户输入标记为污点源并且跟踪所述用户输入以确定相应的用户输入是否导致危险的功能调用来确定安全性弱点的候选。

4.如权利要求3所述的计算系统，其中所述危险的功能调用包括以下的至少一个：直接数据库查询、文件打开、文件删除和向超文本标记语言响应流的写入功能。

5.如权利要求1所述的计算系统，其中启动意味着激活所述动态污点模块的功能性以便协助所述应用安全性扫描器。

6.如权利要求1所述的计算系统，进一步包括：

爬行器，用来在爬行阶段期间获取所述应用的攻击入口点，

其中所述报告包括在爬行阶段期间由所述动态污点模块确定的所述应用的一个或者多个弱点候选的弱点候选列表。

7.如权利要求6所述的计算系统，进一步包括;

攻击模块；和

调整模块，用来通过使所述弱点候选列表在由所述攻击模块对所述应用实行的攻击中优先化来确定扫描策略。

8.如权利要求6所述的计算系统，进一步包括：

攻击模块；和

调整模块，用来通过确定聚焦于弱点候选列表的攻击来确定扫描策略，

其中所述攻击模块基于扫描策略来攻击所述应用。

9.一种非临时性机器可读存储介质，其存储指令，如果所述指令被计算设备的至少一个处理器执行，则促使所述设备：

使得与应用相关联的动态污点模块启动以用于安全性测试的爬行阶段；

从包括弱点候选列表的所述动态污点模块接收报告；

使得对所述动态污点模块进行约束；和

基于所述弱点候选列表来生成扫描策略；

其中使得对动态污点模块进行约束意味着禁用动态污点模块的功能性；并且其中所述约束是通过向动态污点模块发送消息而导致的；

其中，所述报告包括经由动态污点分析所确定的一列弱点的候选。

10.如权利要求9所述的非临时性机器可读存储介质，其中所述弱点候选列表包括通过将一个或者多个不受信任的用户输入标记为污点源并且跟踪所述用户输入来确定相应的用户输入是否导致危险的功能调用来确定的弱点的候选。

11.如权利要求9所述的非临时性机器可读存储介质，进一步包括指令，如果所述指令被至少一个处理器执行，则促使计算设备：

在爬行阶段期间获取所述应用的攻击入口点；

通过使所述弱点候选列表针对应用上的攻击优先化来确定扫描策略；和

基于所述扫描策略来攻击所述应用。