本發(fā)明涉及漏洞檢測技術領域中的一種安卓IAST的實現(xiàn)方法、系統(tǒng)，包括以下步驟：獲取系統(tǒng)管理權限，并在安卓系統(tǒng)上安裝xposed框架；基于xposed框架劫持Zygote進程以及Dalvik虛擬機；在xposed框架內(nèi)添加代理插樁模塊，其中，代理插樁模塊內(nèi)織入有agent代碼邏輯，解決了Android系統(tǒng)無法進行交互式應用安全測試的技術瓶頸。

技術領域

本發(fā)明涉及漏洞檢測技術領域，具體涉及一種安卓IAST的實現(xiàn)方法、系統(tǒng)。

背景技術

IAST(交互式應用安全測試)是近幾年被廣泛接受的新型應用安全測試技術，相較于DAST(動態(tài)應用安全測試，黑盒)和SAST(靜態(tài)應用安全測試，白盒)有低誤報、低漏報的優(yōu)勢。目前IAST實現(xiàn)方案基本上都是基于字節(jié)碼插樁，這種技術只適用于JAVA。對于Android平臺該技術無法實現(xiàn)，因為Android平臺字節(jié)碼插樁依賴于gradle插件，需要修改源碼引入插件，不能有效且快捷的織入agent邏輯，故目前業(yè)界暫無Android平臺的IAST實現(xiàn)方案。

發(fā)明內(nèi)容

本發(fā)明針對現(xiàn)有技術中的缺點，提供了一種安卓IAST的實現(xiàn)方法、系統(tǒng)，解決了Android系統(tǒng)無法進行交互式應用安全測試的技術瓶頸。

為了解決上述技術問題，本發(fā)明通過下述技術方案得以解決：

一種安卓IAST的實現(xiàn)方法，包括以下步驟：

獲取系統(tǒng)管理權限，并在安卓系統(tǒng)上安裝xposed框架；

基于所述xposed框架劫持Zygote進程以及Dalvik虛擬機；

在xposed框架內(nèi)添加代理插樁模塊，其中，所述代理插樁模塊內(nèi)織入有agent代碼邏輯。

可選的，獲取系統(tǒng)管理權限，包括以下步驟：

對安卓系統(tǒng)執(zhí)行root操作，得到系統(tǒng)管理權限。

可選的，所述agent代碼邏輯包括agent漏洞檢測邏輯和agent信息搜集邏輯。

一種安卓IAST的實現(xiàn)系統(tǒng)，所述系統(tǒng)執(zhí)行如上述任意一項所述的安卓IAST的實現(xiàn)方法，包括框架安裝單元、劫持單元、代理插樁單元；

所述框架安裝單元用于獲取系統(tǒng)管理權限，并在安卓系統(tǒng)上安裝xposed框架；

所述劫持單元用于基于所述xposed框架劫持Zygote進程以及Dalvik虛擬機；

所述代理插樁單元用于在xposed框架內(nèi)添加代理插樁模塊，其中，所述代理插樁模塊內(nèi)織入有agent代碼邏輯。

可選的，所述框架安裝單元包括權限獲取單元；

所述權限獲取單元用于對安卓系統(tǒng)執(zhí)行root操作，得到系統(tǒng)管理權限。

可選的，所述代理插樁單元織入的agent代碼邏輯包括agent漏洞檢測邏輯和agent信息搜集邏輯。

可選的，還包括處理器和存儲介質(zhì)，所述存儲介質(zhì)中存儲所述系統(tǒng)執(zhí)行上述任意一項所述的一種安卓IAST的實現(xiàn)方法。

一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序被處理器執(zhí)行時，執(zhí)行上述任意一項所述的安卓IAST的實現(xiàn)方法。

采用本發(fā)明提供的技術方案，與現(xiàn)有技術相比，具有如下有益效果：

通過xposed框架劫持Zygote進程以及Dalvik虛擬機，從而在Android應用啟動前進行對Dalvik虛擬機上的方法定義進行修改，使得當Android應用啟動時，運行已經(jīng)織入的agent邏輯，進而通過agent邏輯實現(xiàn)IAST的功能。

附圖說明