[發明專利]面向Android應用的智能模糊測試方法有效
| 申請號: | 201611263325.4 | 申請日: | 2016-12-30 |
| 公開(公告)號: | CN108268371B | 公開(公告)日: | 2021-03-02 |
| 發明(設計)人: | 俞研;邱煜;吳家順;胡恒偉;黃興遠;孫貝 | 申請(專利權)人: | 南京理工大學 |
| 主分類號: | G06F11/36 | 分類號: | G06F11/36;G06F21/57 |
| 代理公司: | 南京理工大學專利中心 32203 | 代理人: | 王瑋 |
| 地址: | 210094 *** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 面向 android 應用 智能 模糊 測試 方法 | ||
1.一種面向Android應用的智能模糊測試方法,其特征在于包括如下步驟:
1)Android應用程序進行建模分析;分析反編譯后的代碼,從而獲取到該Android應用程序所有的入口函數、系統調用關系、方法的控制流信息和函數調用信息,使用Android漏洞特征來標記出所有可能存在漏洞的程序點,即敏感操作點;
2)步驟1)中獲取的敏感操作點作為逆向符號執行入口點,進行逆向符號執行初始化,取出相關操作變量存放到逆向符號執行符號表中,并且初始化路徑約束;
3)步驟1)中建模分析后獲取的信息進行逆向符號執行;逆向分析過程中,當指令是輸入、輸出和賦值語句類型時,更新逆向符號執行符號表;當指令是條件語句類型時,更新并記錄路徑約束條件;當指令是調用語句類型時,調用相關API函數;
4)執行步驟3)進行逆向符號執行,直到到達入口點為止,保存當前相關路徑的符號表和路徑約束條件;
5)約束求解器對路徑約束條件進行求解,生成滿足該路徑約束條件的測試用例;
6)步驟5)中生成的漏洞觸發測試用例作為輸入,Android應用進行模糊測試,收集該Android應用的運行狀態、異常狀態和漏洞信息;
7)步驟6)中收集的異常信息進行分析,評估其對系統的影響,確認每個監控到的真實的漏洞,生成漏洞相關報告。
2.根據權利要求1所述的面向Android應用的智能模糊測試方法,其特征在于:步驟1)中,對已有的Android應用漏洞進行形式化分析方法分析,對程序漏洞進行形式化描述,總結出漏洞模式的特征,從而建立Android漏洞特征。
3.根據權利要求1所述的面向Android應用的智能模糊測試方法,其特征在于:所述獲取到的敏感操作點為滿足漏洞特征的關鍵API。
4.根據權利要求1所述的面向Android應用的智能模糊測試方法,其特征在于:所述逆向符號執行程序路徑可以是函數調用關系,也可以是代碼執行序列。
5.根據權利要求1所述的面向Android應用的智能模糊測試方法,其特征在于:在逆向符號執行的過程中對該符號表進行存儲和更新符號值操作。
6.根據權利要求1所述的面向Android應用的智能模糊測試方法,其特征在于:在逆向符號執行的過程中,該路徑約束條件將包含滿足執行對應路徑的所有分支條件。
7.根據權利要求1所述的面向Android應用的智能模糊測試方法,其特征在于:約束求解器用于判斷路徑是否可執行;將路徑約束條件結果形成方程組,求解該方程組,并根據方程組的結果判斷路徑是否可執行;如無解,則路徑不可執行;如有解,則將給出所有滿足路徑約束條件的真實值。
8.根據權利要求2所述的面向Android應用的智能模糊測試方法,其特征在于:所述Android漏洞特征包括:使用日志操作泄露用戶信息、使用短信操作泄露用戶信息、使用網絡操作泄露用戶信息、將用戶隱私信息存儲到本地。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于南京理工大學,未經南京理工大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611263325.4/1.html,轉載請聲明來源鉆瓜專利網。
