本发明提出基于状态转换的堆内存破坏漏洞自动验证方法和系统。利用CFG图分析技术和程序的静态分析技术实现堆操作相关静态路径抽取，在得到堆操作相关路径后，以符号执行的方式获取与堆操作相关的路径约束，并添加对所述路径约束参数的约束；依照不同的类型的漏洞及对应的内存状态的转换方式，对测试程序的堆内存进行布局，重新规划堆操作序列，实现堆漏洞内存状态自动转换，得到能够满足漏洞验证的约束条件；在能够满足漏洞验证的约束条件中剔除原有的输入约束，得到最终的目标约束，利用约束求解器，实现漏洞验证代码自动生成。本发明的方案能够解决手工堆内存破坏漏洞验证效率低下、专业知识要求高的问题。