Статический анализ кода мобильных приложений как средство выявления его уязвимостей

Abstract

В статье рассмотрен статический анализ исходного кода программ для мобильных платформ как одно из средств обеспечения безопасности мобильных систем. Проанализированы различные сценарии практического применения такого рода анализатора в качестве средства превентивной защиты. Проведено моделирование уязвимости типа SQL-Injection при помощи интегрированной среды разработки Microsoft Visual Studio 2013 Professional и языка программирования C#. Модель представлена в виде исходного кода. На основании полученной модели разработан алгоритм для выявления данного типа уязвимостей в исходных кодах программ мобильных приложений. Базируясь на информации о статическом анализе исходного кода программ, а также используя разработанный алгоритм выявления уязвимостей типа SQL-Injection, создан статический анализатор, выявляющий уязвимости такого рода. Анализатор написан на языке программирования C#. Представлена структурная схема главного модуля приложения. Для выполнения проверки условий, описанных алгоритмом выявления уязвимостей типа SQL-Injection, статический анализатор использует синтаксические деревья. При построении и обработке синтаксических деревьев задействован функционал одного из пространств имен для работы с C# библиотеки Roslyn – компилятор с открытым исходным кодом от компании Microsoft.