[發明專利]一種應用程序漏洞檢測方法、裝置及設備在審
| 申請號: | 202110731367.0 | 申請日: | 2021-06-29 |
| 公開(公告)號: | CN113449310A | 公開(公告)日: | 2021-09-28 |
| 發明(設計)人: | 程立;杜怡;劉雙 | 申請(專利權)人: | 中國民航信息網絡股份有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F11/36;G06F8/53 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 韓麗波 |
| 地址: | 100085 北*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 應用程序 漏洞 檢測 方法 裝置 設備 | ||
1.一種應用程序漏洞檢測方法,其特征在于,所述方法包括:
獲取待檢測應用程序的安卓應用程序包APK文件;
對所述APK文件進行解包處理,獲取所述APK文件的中間態代碼文件、資源文件以及配置文件;
解析所述配置文件,得到所述待檢測應用程序包含的目標元素的屬性值;
對所述APK文件進行反編譯,得到所述APK文件的源代碼,提取所述源代碼包含的關鍵詞;
將目標特征信息與漏洞特征信息進行匹配,所述目標特征信息為所述中間態代碼文件、所述資源文件、所述待檢測應用程序包含的目標元素的屬性值以及所述源代碼包含的關鍵詞中的任意一項或多項;
如果檢測到與所述漏洞特征信息匹配的目標特征信息,將與所述漏洞特征信息匹配的目標特征信息確定為所述待檢測應用程序存在的漏洞項。
2.根據權利要求1所述的方法,其特征在于,所述提取所述源代碼包含的關鍵詞,包括以下一種或多種的組合:
將所述源代碼與敏感關鍵詞列表進行匹配,提取所述源代碼包含的敏感關鍵詞;
將所述源代碼與預設的應用程序接口API字符串進行匹配,提取所述源代碼包含的API調用信息;
將所述源代碼與統一資源定位符URL格式對應的正則表達式進行匹配,提取所述源代碼包含的URL;
將所述源代碼與電子郵件地址格式對應的正則表達式進行匹配,提取所述源代碼包含的電子郵件地址;
將所述源代碼與類名方法名列表進行匹配,提取所述源代碼包含的類名和/或方法名。
3.根據權利要求1所述的方法,其特征在于,所述方法還包括:
獲取不同類型的應用程序原始漏洞;
提取每種類型的應用程序原始漏洞的漏洞特征信息;
保存所述漏洞特征信息。
4.根據權利要求1所述的方法,其特征在于,所述獲取待檢測應用程序的安卓應用程序包APK文件,包括:
通過用戶界面獲取用戶上傳的待檢測應用程序的安卓應用程序包APK文件。
5.根據權利要求1所述的方法,其特征在于,在獲取待檢測應用程序的安卓應用程序包APK文件之后,所述方法還包括:
獲取所述APK文件的基本信息;
在執行完成將目標特征信息與漏洞特征信息進行匹配之前,將所述基本信息作為正在掃描的應用程序的信息進行展示;
在執行完成將目標特征信息與漏洞特征信息進行匹配之后,將所述基本信息作為完成掃描的應用程序的信息進行展示。
6.根據權利要求1所述的方法,其特征在于,所述方法還包括:
如果未檢測到與所述漏洞特征信息匹配的目標特征信息,確定所述待檢測應用程序不存在漏洞項。
7.根據權利要求6所述的方法,其特征在于,所述方法還包括:
生成檢測報告,所述檢測報告包括所述待檢測應用程序不存在漏洞項的檢測結果,或者包括所述待檢測應用程序存在的漏洞項。
8.一種應用程序漏洞檢測裝置,其特征在于,所述裝置包括:
獲取單元,用于獲取待檢測應用程序的安卓應用程序包APK文件;
解包單元,用于對所述APK文件進行解包處理,獲取所述APK文件的中間態代碼文件、資源文件以及配置文件;
解析單元,用于解析所述配置文件,得到所述待檢測應用程序包含的目標元素的屬性值;
關鍵詞提取單元,用于對所述APK文件進行反編譯,得到所述APK文件的源代碼,提取所述源代碼包含的關鍵詞;
匹配單元,用于將目標特征信息與漏洞特征信息進行匹配,所述目標特征信息為所述中間態代碼文件、所述資源文件、所述待檢測應用程序包含的目標元素的屬性值以及所述源代碼包含的關鍵詞中的任意一項或多項;
確定單元,用于如果檢測到與所述漏洞特征信息匹配的目標特征信息,將與所述漏洞特征信息匹配的目標特征信息確定為所述待檢測應用程序存在的漏洞項。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國民航信息網絡股份有限公司,未經中國民航信息網絡股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110731367.0/1.html,轉載請聲明來源鉆瓜專利網。
