源码扫描的工作原理

对应用程序自身的安全检查有:静态扫描和动态扫描

静态扫描:就是对源码进行代码语法和逻辑的安全漏洞检查。

第一代静态扫描的原理方式有2中:AST(抽象语法树)扫描、正则匹配扫描。详见:静态代码扫描方法及工具介绍

https://www.itcodemonkey.com/article/13892.html

第二代静态扫描的原理方式:参考:代码扫描

https://baike.baidu.com/item/%E4%BB%A3%E7%A0%81%E6%89%AB%E6%8F%8F/1903104?fr=aladdin

静态扫描工具举例:

三种免费工具:RIPS、VCG、Fortify SCA。详见:https://cloud.tencent.com/developer/article/1039610

付费工具:http://www.srxh1314.com/source-code-analysis.html

 

动态扫描:就是对运行的系统,进行安全漏洞检查。扫描起始目标为:站点的url。

posted @ 2019-11-20 14:58  安迪9468  阅读(1326)  评论(0编辑  收藏  举报