@邪恶贝壳
2年前 提问
1个回答
信息流跟踪技术是什么?
Anna艳娜
2年前
信息流跟踪技术(也可以称作污点分析技术)作为信息流分析技术的一种实践方法,该方法通过对程序中的敏感数据进行污点标记,继而跟踪被标记的敏感数据在程序中的传播,通过观察敏感数据传播的实际情况与理想的形态进行比较,以检测系统安全问题的目的。
污点分析技术在解决应用程序软件安全漏洞的过程中需要具体问题具体分析,结合能够获得的软件资源使用不同的方法。一般可以将污点分析技术分为两大类:静态污点分析技术和动态污点分析技术。
静态污点分析技术一般是指可以在不运行程序的前提下,通过分析程序中变量的依赖关系来检测所有可能执行的路径,观察是否出现污点标记数据流向不该出现的输出点或者可观测点处。
动态污点分析技术一般是指在程序运行时实时观察,通过监控程序运行过程中污点标记数据的实际传播路径,来检测是否存在污点数据通过某些路径流向意料之外的输出点或者可观测点处。动态分析利用不依赖于源码,具有语言无关性。