【技术实现步骤摘要】
一种检测应用漏洞的方法及装置
本专利技术涉及计算机
,特别涉及一种检测应用漏洞的方法及装置。
技术介绍
随着移动互联网和移动终端的发展,移动终端中的应用的数量呈指数级增长,但是在应用数量增加的同时,应用中的漏洞所引发的安全问题也越来越多,这些漏洞会导致用户隐私被窃取,严重的情况甚至会导致用户受到经济损失。因此,在应用发布给用户使用之前,都需要进行漏洞检测。 现有技术中对应用的漏洞的检测方法一般为测试人员手动进行,例如:检测应用是否采用明文的方式将用户输入的信息(用户名,密码,个人资料等信息)传输至服务器,需要由测试人员人工的方式来查找该应用存在的漏洞。 在实现本专利技术的过程中,专利技术人发现现有技术至少存在以下问题: 通过人工手动的方式进行应用的漏洞检测,耗时较长且效率较低;当检测的内容过多的情况下很容易出现漏检的现象,不利于保护用户的使用安全。
技术实现思路
为了解决现有技术的问题,本专利技术实施例提供了一种检测应用漏洞的方法及装置。所述技术方案如下: 一方面,提供了一种检测应用漏洞的方法,所述方法包括: 获取待检测的应用,并启动所述待检测的应用; 获取用户输入的信息,将所述用户输入的信息发送给服务器,并捕获与所述服务器之间的通信数据; 根据所述用户输入的信息和所述通信数据,检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息; 如果是通过明文的方式传输所述用户输入的信息,则确定所述待检测的应用存在漏洞。 另一方面,提供了一种检测应用漏洞的装置,所述装置包括: 第一获取模块,用于获 ...
【技术保护点】
一种检测应用漏洞的方法,其特征在于,所述方法包括:获取待检测的应用,并启动所述待检测的应用;获取用户输入的信息,将所述用户输入的信息发送给服务器,并捕获与所述服务器之间的通信数据;根据所述用户输入的信息和所述通信数据,检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息;如果是通过明文的方式传输所述用户输入的信息,则确定所述待检测的应用存在漏洞。
【技术特征摘要】
1.一种检测应用漏洞的方法,其特征在于,所述方法包括: 获取待检测的应用,并启动所述待检测的应用; 获取用户输入的信息,将所述用户输入的信息发送给服务器,并捕获与所述服务器之间的通信数据; 根据所述用户输入的信息和所述通信数据,检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息; 如果是通过明文的方式传输所述用户输入的信息,则确定所述待检测的应用存在漏洞。2.根据权利要求1所述的方法,其特征在于,所述根据所述用户输入的信息和所述通信数据,检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息,包括: 通过预设算法转换对所述用户输入的信息进行加密,生成加密后的用户输入的信息;解析所述通信数据,并在解析出的所述通信数据中查询是否存在所述加密后的用户输入的信息或所述用户输入的信息; 如果查询到所述用户输入的信息,则确定所述待检测的应用是通过明文的方式传输所述用户输入的信息。3.根据权利要求2所述的方法,其特征在于,所述在解析出的所述通信数据中查询是否存在所述加密后的用户输入的信息或所述用户输入的信息之后,所述方法还包括: 如果查询到所述加密后的用户输入的信息,则确定所述待检测的应用是通过非明文的方式传输所述用户输入的信息,并确定传输所述用户输入的信息的方式为安全方式。4.根据权利要求1所述的方法,其特征在于,所述根据所述用户输入的信息和所述通信数据,检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息之后,所述方法还包括: 根据所述用户输入的信息,检测所述待检测的应用是否是通过明文的方式保存所述用户输入的信息; 如果是通过明文的方式保存所述用户输入的信息,则确定所述待检测的应用存在漏洞。5.根据权利要求4所述的方法,其特征在于,所述根据所述用户输入的信息,检测所述待检测的应用是否是通过明文的方式保存所述用户输入的信息,包括: 通过预设算法转换对所述用户输入的信息进行加密,生成加密后的用户输入的信息;在所述待检测的应用的文件中,查询是否存在所述加密后的用户输入的信息或所述用户输入的信息; 如果查询到所述户输入的信息,则确定所述待检测的应用是通过明文的方式保存所述用户输入的信息。6.根据权利要求5所述的方法,其特征在于,所述查询是否存在所述加密后的用户输入的信息或所述用户输入的信息之后,所述方法还包括: 如果查询到所述加密后的用户输入的信息,则确定所述待检测的应用是通过非明文的方式保存所述用户输入的信息,并确定保存所述用户输入的信息的方式为安全方式。7.根据权利要求1所述的方法,其特征在于,所述根据所述用户输入的信息和所述通信数据,检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息之后,所述方法还包括: 对所述待检测的应用的安装包进行反编译,得到所述待检测的应用的安装文件; 在所述安装文件中获取保存所述待检测的应用组件权限的权限文件,并在所述权限文件中检测预设的组件对应的权限值是否为预设的权限值; 如果查询到所述预设的组件对应的权限值为预设的权限值,则确定所述待检测的应用存在漏洞。8.根据权利要求1至7中任一项所述的方法,其特征在于,所述确定所述待检测的应用存在漏洞之后,所述方法还包括: 根据所述待检...
【专利技术属性】
技术研发人员:林桠泉,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。