[发明专利]代码检测方法、装置及非瞬时性计算机可读存储介质

说明书

本公开提供了一种代码检测方法、装置及非瞬时性计算机可读存储介质，涉及计算机技术领域。其中的代码检测方法包括：识别代码中的函数和参数；从参数中查找调用网络函数的连接参数以及连接参数的定义参数，函数包括网络函数；从函数中查找将定义参数处理为连接参数的参数处理函数，函数包括参数处理函数；根据参数处理函数及定义参数，判断连接参数是否为硬编码密码；在连接参数为硬编码密码的情况下，输出在代码中检测硬编码密码的检测报告。本公开能够更加准确、高效的检测出代码中的硬编码密码。

技术领域

本公开涉及计算机技术领域，特别涉及一种代码检测方法、装置及非瞬时性计算机可读存储介质。

背景技术

在程序中采用硬编码方式对密码进行加密处理，会得到硬编码密码。

硬编码加密意味着拥有代码权限的人都可以查看到硬编码密码，也可以通过反编译代码看到硬编码密码。而硬编码加密的漏洞一旦被利用，会造成难以修改正的安全问题。

发明内容

本公开解决的一个技术问题是，如何更加准确、高效的检测出代码中的硬编码密码。

根据本公开的一个方面，提供了一种代码检测方法，包括：识别代码中的函数和参数；从参数中查找调用网络函数的连接参数以及连接参数的定义参数，函数包括网络函数；从函数中查找将定义参数处理为连接参数的参数处理函数，函数包括参数处理函数；根据参数处理函数及定义参数，判断连接参数是否为硬编码密码；在连接参数为硬编码密码的情况下，输出在代码中检测硬编码密码的检测报告。

在一些实施例中，输出在代码中检测硬编码密码的检测报告包括：判断代码是否经过混淆；若代码未经过混淆，输出连接参数，并报告在代码中检测到硬编码密码；若代码经过混淆，利用密码关键字对代码进行匹配，输出代码中与密码关键字匹配的参数，并报告在代码中检测到硬编码密码。

在一些实施例中，根据参数处理函数及定义参数，判断连接参数是否为硬编码密码包括：若经过参数处理函数的处理，定义参数与连接参数不同，则连接参数不为硬编码密码；若经过参数处理函数的处理，定义参数与连接参数相同，或者，未查找到参数处理函数，则连接参数为硬编码密码。

在一些实施例中，代码检测方法还包括：在连接参数不为硬编码密码的情况下，判断参数处理函数是否利用加密参数将定义参数处理为连接参数；若参数处理函数利用加密参数将定义参数处理为连接参数，报告在代码中检测到强处理密码；若参数处理函数未利用加密参数将定义参数处理为连接参数，报告在代码中检测到弱处理密码。

在一些实施例中，代码检测方法还包括：确定文件的文件类型；在文件类型为非二进制文件的情况下，预加载文件中的代码；在文件类型为二进制文件的情况下，对文件进行逆向处理，预加载逆向处理后的文件中的代码。

根据本公开的另一个方面，提供了一种代码检测装置，包括：代码识别模块，被配置为识别代码中的函数和参数；参数查找模块，被配置为从参数中查找调用网络函数的连接参数以及连接参数的定义参数，函数包括网络函数；函数查找模块，被配置为从函数中查找将定义参数处理为连接参数的参数处理函数，函数包括参数处理函数；硬编码判断模块，被配置为根据参数处理函数及定义参数，判断连接参数是否为硬编码密码；报告输出模块，被配置为在连接参数为硬编码密码的情况下，输出在代码中检测硬编码密码的检测报告。

在一些实施例中，报告输出模块被配置为：判断代码是否经过混淆；若代码未经过混淆，输出连接参数，并报告在代码中检测到硬编码密码；若代码经过混淆，利用密码关键字对代码进行匹配，输出代码中与密码关键字匹配的参数，并报告在代码中检测到硬编码密码。

在一些实施例中，硬编码判断模块被配置为：若经过参数处理函数的处理，定义参数与连接参数不同，则连接参数不为硬编码密码；若经过参数处理函数的处理，定义参数与连接参数相同，或者，未查找到参数处理函数，则连接参数为硬编码密码。