面向对象语言中的漏洞发现方法

陈永艳¹，束洪春²，戴伟³

1. 昆明理工大学计算中心2. 昆明理工大学研究生院3. 昆明理工大学云南省计算机技术应用重点实验室

摘 要：大多数行业定制软件漏洞检测困难,而传统的静态漏洞检测方法不但报告很多错误的和虚假的信息,同时针对面向对象的函数(方法)检测并未提及.针对函数调用前后存在的漏洞问题,首先用XML文法来表示出面向对象情况下,对象存在继承关系时,从祖先类搜索开始,建立函数调用前后安全契约规则,利用基于上下文无关的自顶向下与自底向上相结合的语法解析树的方法,解析函数的调用是否违反了安全契约规则并报告漏洞的内容.实验表明,与同类型安全分析工具比较,具有避免函数重复分析、规则的可扩展性良好、准确率高等优点.

关键词：契约规则;面向对象;解析树;