本發(fā)明涉及家庭物聯(lián)網(wǎng)技術(shù)。本發(fā)明是要解決現(xiàn)有沒有檢測家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全薄弱點(diǎn)的相關(guān)方案的問題，提供了一種基于端云聯(lián)測的家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)滲透測試方法，其技術(shù)方案可概括為：首先對(duì)各業(yè)務(wù)終端進(jìn)行安全測試，至少包括兼容性測試及反編譯檢測；然后通過抓包方式抓取業(yè)務(wù)終端向云端發(fā)送的數(shù)據(jù)包，對(duì)其進(jìn)行端云交互數(shù)據(jù)安全測試，至少對(duì)其進(jìn)行數(shù)據(jù)包傳遞參數(shù)分析及漏洞利用；最后對(duì)后臺(tái)管理系統(tǒng)進(jìn)行全面排查，至少對(duì)其進(jìn)行信息收集、漏洞掃描及漏洞利用。本發(fā)明的有益效果是，縮短測試時(shí)間，提高漏洞挖掘效率，適用于家庭物聯(lián)網(wǎng)測試。

技術(shù)領(lǐng)域

本發(fā)明涉及家庭物聯(lián)網(wǎng)技術(shù)，特別涉及家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)滲透測試技術(shù)。

背景技術(shù)

物聯(lián)網(wǎng)已經(jīng)逐步融入到我們的生活中來，從應(yīng)用于家庭的智能恒溫器及智能電燈等設(shè)備，到與身體健康相關(guān)的智能穿戴設(shè)備，每一種智能設(shè)備的出現(xiàn)，都大大便利了人們的生活。

物聯(lián)網(wǎng)在給人們的生活帶來便利的同時(shí)，也給人們帶來了種種隱憂。2014年，研究人員演示了如何在15秒的時(shí)間內(nèi)入侵家里的恒溫控制器，通過對(duì)恒溫控制器數(shù)據(jù)的收集，入侵者就可以了解到家中什么時(shí)候有人，他們的日程安排是什么等信息。目前許多智能電視帶有攝像頭，即便智能電視未開啟，入侵智能電視的攻擊者也可以使用攝像頭來監(jiān)視用戶，攻擊者在獲取對(duì)于智能家庭中的燈光系統(tǒng)的訪問后，除了可以控制家庭中的燈光外，還可以訪問家庭的電力，從而可以增加家庭的電力消耗，導(dǎo)致極大的電費(fèi)賬單。種種安全問題提示人們，在享受物聯(lián)網(wǎng)帶來的方便快捷的同時(shí)，也要關(guān)注物聯(lián)網(wǎng)的安全問題。

物聯(lián)網(wǎng)的安全架構(gòu)可以根據(jù)物聯(lián)網(wǎng)的架構(gòu)分為感知層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全。感知層安全的設(shè)計(jì)中需要考慮物聯(lián)網(wǎng)設(shè)備的計(jì)算能力、通信能力及存儲(chǔ)能力等受限，不能直接在物理設(shè)備上應(yīng)用復(fù)雜的安全技術(shù)，網(wǎng)絡(luò)層安全用于保障通信安全，應(yīng)用層則關(guān)注于各類業(yè)務(wù)及業(yè)務(wù)的支撐平臺(tái)的安全。

物聯(lián)網(wǎng)安全產(chǎn)品的核心在于技術(shù)，由于物聯(lián)網(wǎng)的安全是互聯(lián)網(wǎng)安全的延伸，那么可以利用互聯(lián)網(wǎng)已有的安全技術(shù)，結(jié)合物聯(lián)網(wǎng)安全問題的實(shí)際需要，改進(jìn)已有技術(shù)，將改進(jìn)后的技術(shù)應(yīng)用到物聯(lián)網(wǎng)中，從而解決物聯(lián)網(wǎng)的安全問題。如：互聯(lián)網(wǎng)環(huán)境中的防火墻技術(shù)，主要是對(duì)TCP/IP協(xié)議數(shù)據(jù)包進(jìn)行解析，而在物聯(lián)網(wǎng)環(huán)境中，防火墻還需要對(duì)物聯(lián)網(wǎng)中的特定協(xié)議進(jìn)行解析，如工控環(huán)境中的Modbus、PROFIBUS等協(xié)議。此外物聯(lián)網(wǎng)還有其獨(dú)特性，如終端設(shè)備眾多，設(shè)備之間缺乏信任的問題，互聯(lián)網(wǎng)中現(xiàn)有技術(shù)難以解決此類問題，所以還需要探索一些新的技術(shù)來解決物聯(lián)網(wǎng)中特有的新問題，但目前并沒有一個(gè)針對(duì)家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)的分析測試方法，用于找出家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全薄弱點(diǎn)，從而可以讓技術(shù)人員去開發(fā)針對(duì)性的安全技術(shù)。

發(fā)明內(nèi)容

本發(fā)明的目的是要解決目前沒有檢測家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全薄弱點(diǎn)的相關(guān)方案的問題，提供了一種基于端云聯(lián)測的家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)滲透測試方法。

本發(fā)明解決其技術(shù)問題，采用的技術(shù)方案是，基于端云聯(lián)測的家庭物聯(lián)網(wǎng)應(yīng)用系統(tǒng)滲透測試方法，其特征在于，包括以下步驟：

步驟1、對(duì)各業(yè)務(wù)終端進(jìn)行安全測試，至少包括兼容性測試及反編譯檢測；

步驟2、通過抓包方式抓取業(yè)務(wù)終端向云端發(fā)送的數(shù)據(jù)包，對(duì)其進(jìn)行端云交互數(shù)據(jù)安全測試，至少對(duì)其進(jìn)行數(shù)據(jù)包傳遞參數(shù)分析及漏洞利用；

步驟3、對(duì)后臺(tái)管理系統(tǒng)進(jìn)行全面排查，至少對(duì)其進(jìn)行信息收集、漏洞掃描及漏洞利用。

具體的，步驟1中，所述安全測試還包括配置文件檢測、組件檢測、URL檢測、加解密信息檢測、編碼信息檢測及日志和調(diào)試信息檢測。

進(jìn)一步的，步驟1包括以下具體步驟：

步驟101、在多平臺(tái)上安裝業(yè)務(wù)終端并記錄分析安裝情況，得到兼容性測試結(jié)果；

步驟102、利用反編譯工具對(duì)業(yè)務(wù)終端進(jìn)行反編譯，查看是否能夠得到源碼，若是則進(jìn)入步驟103，否則認(rèn)定其為安全，反編譯檢測完成；