一种应用程序的本地跨域漏洞检测方法及装置制造方法及图纸

本发明专利技术实施例公开了一种应用程序的本地跨域漏洞检测方法，包括：指示待检测应用程序访问第一通用资源标识符所指向的共享文件，所述共享文件不是所述待检测应用程序的共享文件；指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，所述私有文件为所述待检测应用程序的非共享文件；若成功访问所述私有文件，则确定所述待检测应用程序存在本地跨域漏洞。本发明专利技术实施例还公开了一种应用程序的本地跨域漏洞检测装置。采用本发明专利技术实施例，可自动检测待检测应用程序的本地跨域漏洞，检测效率高。

【技术实现步骤摘要】
一种应用程序的本地跨域漏洞检测方法及装置
本专利技术涉及信息安全
，尤其涉及一种应用程序的本地跨域漏洞检测方法及装置。
技术介绍
通常，应用程序的私有文件不允许其它任何文件或应用程序访问，只有应用程序本身可以访问该私有文件，若该私有文件被非自身应用程序的其它文件或应用程序所访问时，说明该应用程序存在本地跨域漏洞。当应用程序存在本地跨域漏洞时，黑客可利用该漏洞使终端自动执行一些黑客命令，如后台下载恶意软件、获取用户隐私，甚至篡改用户的重要信息等。因此，对该类漏洞的检测尤为重要。目前，常采用的解决方法是手动触发的方式来检测，对应用程序的安装文件进行反编译，然后在反编译后的原文件中查找特定代码，从而确定该应用程序是否存在本地跨域漏洞。然而，该方法需人工检测，检测效率低。
技术实现思路
本专利技术实施例提供一种应用程序的本地跨域漏洞检测方法及装置，可自动检测待检测应用程序是否存在本地跨域漏洞，检测效率高。本专利技术实施例提供一种应用程序的本地跨域漏洞检测方法，包括：指示待检测应用程序访问第一通用资源标识符所指向的共享文件，所述共享文件不是所述待检测应用程序的共享文件；指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，所述私有文件为所述待检测应用程序的非共享文件；若成功访问所述私有文件，则确定所述待检测应用程序存在本地跨域漏洞。其中，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件之前，所述方法还包括：将所述待检测应用程序的安装包文件导入装有手机模拟器的计算机中；根据所述安装包文件在所述手机模拟器中安装所述待检测应用程序。其中，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件之前，所述方法还包括：检测所述待检测应用程序是否具有提供访问文件的功能；若是，执行所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件的步骤；若否，则确定所述待检测应用程序不存在本地跨域漏洞。其中，所述检测所述待检测应用程序是否具有提供访问文件的功能之前，还包括：对所述待检测应用程序进行解包处理，获取所述待检测应用程序的配置文件，所述配置文件记录有所述待检测应用程序是否具有提供访问文件的功能。其中，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件，包括：通过adb调试工具给所述待检测应用程序发送包括访问所述第一通用资源标识符所指向的共享文件的操作指令。其中，所述指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，包括：所述共享文件中包括访问所述第二通用资源标识符所指向的私有文件的JavaScript脚本程序，所述待检测应用程序访问所述共享文件后，通过所述JavaScript脚本程序自动去访问所述第二通用资源标识符所指向的私有文件。其中，所述指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，包括：所述共享文件中加载有所述第二通用资源标识符，所述第二通用资源标识符指向所述待检测应用程序的私有文件；所述待检测应用程序访问所述共享文件后，若接收到访问所述私有文件的确认指令，访问所述第二通用资源标识符所指向的私有文件。其中，所述方法还包括：输出所述待检测应用程序的检测结果，所述检测结果包括漏洞信息和检测时间。其中，所述待检测应用程序为Android浏览器或内置浏览器的Android应用程序。其中，所述方法还包括：记录所述待检测应用程序的特征信息，并将所述特征信息和所述检测结果上传至服务器。其中，所述特征信息为所述待检测应用程序的包名和/或MD5值。其中，所述方法还包括：提示用户所述待检测应用程序存在所述本地跨域漏洞。其中，所述方法还包括：修复所述待检测应用程序中存在的本地跨域漏洞。其中，所述修复模块还用于下载所述待检测应用程序的升级包文件，将所述升级包文件替换掉所述待检测应用程序中对应的原始文件。相应的，本专利技术实施例还提供一种应用程序的本地跨域漏洞检测装置，包括：第一指示模块，用于指示待检测应用程序访问第一通用资源标识符所指向的共享文件，所述共享文件不是所述待检测应用程序的共享文件；第二指示模块，用于指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，所述私有文件为所述待检测应用程序的非共享文件；确定模块，用于若成功访问所述私有文件，则确定所述待检测应用程序存在本地跨域漏洞。其中，所述装置还包括：导入模块，用于将所述待检测应用程序的安装包文件导入装有手机模拟器的计算机中；安装模块，用于根据所述安装包文件在所述手机模拟器中安装所述待检测应用程序。其中，所述装置还包括：检测模块，用于检测所述待检测应用程序是否具有提供访问文件的功能；若是，指示所述待检测应用程序访问所述第一通用资源标识符所指向的共享文件；若否，则确定所述待检测应用程序不存在本地跨域漏洞。其中，所述装置还包括：获取模块，用于对所述待检测应用程序进行解包处理，获取所述待检测应用程序的配置文件，所述配置文件记录有所述待检测应用程序是否具有提供访问文件的功能。其中，所述第一指示模块，还用于通过adb调试工具给所述待检测应用程序发送包括访问所述第一通用资源标识符所指向的共享文件的操作指令。其中，所述第二指示模块还用于所述共享文件中包括访问所述第二通用资源标识符所指向的私有文件的JavaScript脚本程序，所述待检测应用程序访问所述共享文件后，通过所述JavaScript脚本程序自动去访问所述第二通用资源标识符所指向的私有文件。其中，所述第二指示模块包括：加载单元，用于所述共享文件中加载有所述第二通用资源标识符，所述第二通用资源标识符指向所述待检测应用程序的私有文件；访问单元，用于所述待检测应用程序访问所述共享文件后，若接收到访问所述私有文件的确认指令，访问所述第二通用资源标识符所指向的私有文件。其中，所述装置还包括：输出模块，用于输出所述待检测应用程序的检测结果，所述检测结果包括漏洞信息和检测时间。其中，所述待检测应用程序为Android浏览器或内置浏览器的Android应用程序。其中，所述装置还包括：上传模块，用于记录所述待检测应用程序的特征信息，并将所述特征信息和所述检测结果上传至服务器。其中，所述特征信息为所述待检测应用程序的包名和/或MD5值。其中，所述装置还包括：提示模块，用于提示用户所述待检测应用程序存在所述本地跨域漏洞。其中，所述装置还包括：修复模块，用于修复所述待检测应用程序中存在的本地跨域漏洞。其中，所述修复所述待检测应用程序中存在的本地跨域漏洞，包括：替换模块，用于下载所述待检测应用程序的升级包文件，将所述升级包文件替换掉所述待检测应用程序中对应的原始文件。实施本专利技术实施例，具有如下有益效果：通过利用URI通用资源标识符指示待检测应用程序访问不属于待检测应用程序的共享文件，该共享文件又指示待检测应用程序访问属于待检测应用程序的非共享文件，若成功访问该非共享文件，则确定所述待检测应用程序存在本地跨域漏洞。采用本专利技术实施例，可自动检测待检测应用程序的本地跨域漏洞，检测效率高。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述本文档来自技高网...

【技术保护点】
一种应用程序的本地跨域漏洞检测方法，其特征在于，包括：指示待检测应用程序访问第一通用资源标识符所指向的共享文件，所述共享文件不是所述待检测应用程序的共享文件；指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，所述私有文件为所述待检测应用程序的非共享文件；若成功访问所述私有文件，则确定所述待检测应用程序存在本地跨域漏洞。

【技术特征摘要】
1.一种应用程序的本地跨域漏洞检测方法，其特征在于，包括：指示待检测应用程序访问第一通用资源标识符所指向的共享文件，所述共享文件不是所述待检测应用程序的共享文件，所述共享文件包括或加载有第二通用资源标识符；指示所述待检测应用程序访问所述第二通用资源标识符所指向的私有文件，所述私有文件为所述待检测应用程序的非共享文件；若成功访问所述私有文件，则确定所述待检测应用程序存在本地跨域漏洞。2.如权利要求1所述的方法，其特征在于，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件之前，所述方法还包括：将所述待检测应用程序的安装包文件导入装有手机模拟器的计算机中；根据所述安装包文件在所述手机模拟器中安装所述待检测应用程序。3.如权利要求2所述的方法，其特征在于，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件之前，所述方法还包括：检测所述待检测应用程序是否具有提供访问文件的功能；若是，执行所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件的步骤；若否，则确定所述待检测应用程序不存在本地跨域漏洞。4.如权利要求3所述的方法，其特征在于，所述检测所述待检测应用程序是否具有提供访问文件的功能之前，所述方法还包括：对所述待检测应用程序进行解包处理，获取所述待检测应用程序的配置文件，所述配置文件记录有所述待检测应用程序是否具有提供访问文件的功能。5.如权利要求1-4任一项所述的方法，其特征在于，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件，包括：通过adb调试工具给所述待检测应用程序发送包括访问所述第一通用资源标识符所指向的共享文件的操作指令。6.如权利要求5所述的方法，其特征在于，所述指示所述待检测应用程序访问所述第二通用资源标识符所指向的私有文件，包括：所述共享文件中包括访问所述第二通用资源标识符所指向的私有文件的JavaScript脚本程序，所述待检测应用程序访问所述共享文件后，通过所述JavaScript脚本程序自动去访问所述第二通用资源标识符所指向的私有文件。7.如权利要求5所述的方法，其特征在于，所述指示所述待检测应用程序访问所述第二通用资源标识符所指向的私有文件，包括：所述共享文件中加载有所述第二通用资源标识符，所述第二通用资源标识符指向所述待检测应用程序的私有文件；所述待检测应用程序访问所述共享文件后，若接收到访问所述私有文件的确认指令，访问所述第二通用资源标识符所指向的私有文件。8.如权利要求6或7所述的方法，其特征在于，所述方法还包括：输出所述待检测应用程序的检测结果，所述检测结果包括漏洞信息和检测时间。9.如权利要求1所述的方法，其特征在于，所述待检测应用程序为Android浏览器或内置浏览器的Android应用程序。10.如权利要求1或9所述的方法，其特征在于，所述方法还包括：记录所述待检测应用程序的特征信息，并将所述特征信息和所述检测结果上传至服务器。11.如权利要求10所述的方法，其特征在于，所述特征信息为所述待检测应用程序的包名和/或MD5值。12.如权利要求1所述的方法，其特征在于，所述方法还包括：提示用户所述待检测应用程序存在所述本地跨域漏洞。13.如权利要求1或12所述的方法，其特征在于，所述方法还包括：修复所述待检测应用程序中存在的本地跨域漏洞。14.如权利要求13所述的方法，其特征在于，所述修复所述待检测应用程序中存在的本地跨域漏洞，包括：下载所述待检测应用程...

【专利技术属性】
技术研发人员：刘文柱，沈江波，张楠，陈勇，
申请(专利权)人：北京金山安全软件有限公司，
类型：发明
国别省市：北京;11