本发明专利技术提供一种验证应用漏洞的方法和装置,方法包括:获取待验证的应用的漏洞信息;根据应用的漏洞信息,生成移动终端的系统对应用的输入数据;将应用的安装包和输入数据发送到移动终端,以在移动终端安装应用,以及控制移动终端的系统将输入数据输入应用得到应用的输出数据;根据输出数据验证应用是否存在漏洞。根据本发明专利技术,因为输入数据根据漏洞信息生成,所以输入数据的数据量有限但具有对于漏洞信息的针对性,所以能够针对应用可能存在漏洞的部分进行验证,依据该输入数据分析应用是否存在漏洞,不会占用过度时间、资源,但分析效果较好。
【技术实现步骤摘要】
验证应用漏洞的方法和装置
本专利技术涉及计算机
,具体而言,涉及一种验证应用漏洞的方法和装置。
技术介绍
随着智能终端系统的发展,越来越多的开发者加入到应用开发阵营,这些开发者良莠不齐,有的开发方安全意识缺乏,导致智能终端系统的应用中存在各种安全漏洞。目前,对应用漏洞的有效检测方案比较缺乏:对应用的漏洞进行全面检测,往往需要占用大量的时间和资源;而如果压缩用于检测应用的时间和资源,又会造成对应用漏洞的检测不够充分。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的验证应用漏洞的方法和装置。依据本专利技术的一种验证应用漏洞的方法,包括:获取待验证的应用的漏洞信息;根据所述应用的漏洞信息,生成所述移动终端的系统对所述应用的输入数据;将所述应用的安装包和所述输入数据发送到移动终端,以在所述移动终端安装所述应用,以及控制所述移动终端的系统将所述输入数据输入所述应用得到所述应用的输出数据;根据所述输出数据验证所述应用是否存在漏洞。依据本专利技术的一种验证应用漏洞的装置,包括:漏洞信息获取模块,用于获取待验证的应用的漏洞信息;数据生成模块,用于根据所述应用的漏洞信息,生成所述移动终端的系统对所述应用的输入数据;输入模块,用于将所述应用的安装包和所述输入数据发送到移动终端,以在所述移动终端安装所述应用,以及控制所述移动终端的系统将所述输入数据输入所述应用得到所述应用的输出数据;漏洞验证模块,用于根据所述输出数据验证所述应用是否存在漏洞。根据以上技术方案,本专利技术的验证应用漏洞的方法和装置至少具有以下优点:根据本专利技术的技术方案,在需要分析应用的安全性时根据用户的漏洞信息生成输入数据,以及将输入数据与应用的安装包发送到移动终端上进行,以安装应用并将输入数据输入应用;因为输入数据根据漏洞信息生成,所以输入数据的数据量有限但具有对于漏洞信息的针对性,所以能够针对应用可能存在漏洞的部分进行验证,依据该输入数据分析应用是否存在漏洞,不会占用过度时间、资源,但分析效果较好。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术的一个实施例的验证应用漏洞的方法的流程图;图2示出了根据本专利技术的一个实施例的验证应用漏洞的方法的流程图;图3示出了根据本专利技术的一个实施例的验证应用漏洞的方法的流程图;图4示出了根据本专利技术的一个实施例的验证应用漏洞的装置的框图;图5示出了根据本专利技术的一个实施例的验证应用漏洞的装置的框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。如图1所示,本专利技术的一个实施例中提供一种验证应用漏洞的方法,包括:步骤110,获取待验证的应用的漏洞信息。本实施例中,对于漏洞信息的范围不进行限制,其表示应用中存在的逻辑错误或编程错误。步骤120,根据应用的漏洞信息,生成移动终端的系统对应用的输入数据。由于通过输入数据对安全在移动终端上的应用进行测试,需要占用时间和资源;所以在本实施例中,根据漏洞信息生成数据量有限的具有针对性的输入数据,则利用该输入数据分析应用漏洞占用的时间、资源有限,但分析结果非常好。步骤130,将应用的安装包和输入数据发送到移动终端,以在移动终端安装应用,以及控制移动终端的系统将输入数据输入应用得到应用的输出数据。在本实施例中,例如对于Android系统的移动终端,采用的安装包是apk文件。步骤140,根据输出数据验证应用是否存在漏洞。如图2所示,本专利技术的一个实施例中提供一种验证应用漏洞的方法,包括:步骤210,对应用的安装包进行反编译得到应用的代码,分析代码得到应用的漏洞信息。具体地,从预设的服务器获取应用的已知漏洞,根据已知漏洞从应用的代码中提取应用的漏洞信息。在本实施例中,通过反编译得到应用的代码,可以从代码中检索是否存在漏洞信息;进一步,漏洞信息可以是已经上报的应用漏洞,可以根据已知漏洞从代码中检索出相应的漏洞信息。步骤220,根据应用的漏洞信息,生成移动终端的系统对应用的输入数据。输入数据包括应用的可执行数据。步骤230,将应用的安装包和输入数据发送到移动终端,以在移动终端安装应用,以及控制移动终端的系统将可执行数据发送给应用进行执行得到应用的输出数据。在本实施例中,针对漏洞信息会应用在运行中可能出错的情况,利用可执行数据控制应用运行来进行检测是否存在相应漏洞。步骤240,根据输出数据验证应用是否存在漏洞。步骤250,根据验证结果,分析漏洞信息的有效性。在本实施例中,由于输入数据根据已知的漏洞信息生成,所以基于输入数据得到的验证结果,能够对已知漏洞信息的有效性进行验证。如图3所示,本专利技术的一个实施例中提供一种验证应用漏洞的方法,包括:步骤310,从应用的安装包中提取配置文件,根据配置文件分析应用的漏洞信息。在本实施例中,配置文件中往往记录了应用的关键信息,可以根据该关键信息可以分析应用是否存在漏洞。步骤320,根据应用的漏洞信息,生成移动终端的系统对应用的输入数据。输入数据包括对应用的攻击数据。步骤330,将应用的安装包和输入数据发送到移动终端,以在移动终端安装应用,以及控制移动终端的系统按攻击数据对应用进行攻击得到应用的输出数据。在本实施例中,应用的漏洞可能导致应用易被攻击,所以本实施例中生成攻击数据,通过对应用进行攻击来判断其是否存在相应的漏洞。步骤340,根据输出数据验证应用是否存在漏洞。如图4所示,本专利技术的一个实施例中提供一种验证应用漏洞的装置,包括:漏洞信息获取模块410,获取待验证的应用的漏洞信息。本实施例中,对于漏洞信息的范围不进行限制,其表示应用中存在的逻辑错误或编程错误。数据生成模块420,根据应用的漏洞信息,生成移动终端的系统对应用的输入数据。由于通过输入数据对安全在移动终端上的应用进行测试,需要占用时间和资源;所以在本实施例中,根据漏洞信息生成数据量有限的具有针对性的输入数据,则利用该输入数据分析应用漏洞占用的时间、资源有限,但分析结果非常好。输入模块430,将应用的安装包和输入数据发送到移动终端,以在移动终端安装应用,以及控制移动终端的系统将输入数据输入应用得到应用的输出数据。在本实施例中,例如对于Android系统的移动终端,采用的安装包是apk文件。漏洞验证模块440,根据输出数据验证应用是否存在漏洞。如图5所示,本专利技术的一个实施例中提供一种验证应用漏洞的装置,包括:漏洞信息获取模块510,对应用的安装包进行反编译得到应用的代码,分析代码得到应用的漏洞信息。具体地,从预设的服务器获取应用的已知漏洞,根据已知漏洞本文档来自技高网...
【技术保护点】
一种验证应用漏洞的方法,其特征在于,包括:获取待验证的应用的漏洞信息;根据所述应用的漏洞信息,生成所述移动终端的系统对所述应用的输入数据;将所述应用的安装包和所述输入数据发送到移动终端,以在所述移动终端安装所述应用,以及控制所述移动终端的系统将所述输入数据输入所述应用得到所述应用的输出数据;根据所述输出数据验证所述应用是否存在漏洞。
【技术特征摘要】
1.一种验证应用漏洞的方法,其特征在于,包括:获取待验证的应用的漏洞信息;根据所述应用的漏洞信息,生成所述移动终端的系统对所述应用的输入数据;将所述应用的安装包和所述输入数据发送到移动终端,以在所述移动终端安装所述应用,以及控制所述移动终端的系统将所述输入数据输入所述应用得到所述应用的输出数据;根据所述输出数据验证所述应用是否存在漏洞。2.根据权利要求1所述的方法,其特征在于,获取待验证的应用的漏洞信息,具体包括:对所述应用的安装包进行反编译得到所述应用的代码,分析所述代码得到所述应用的漏洞信息。3.根据权利要求2所述的方法,其特征在于,获取待验证的应用的漏洞信息,具体包括:从预设的服务器获取所述应用的已知漏洞,根据所述已知漏洞从所述应用的代码中提取所述应用的漏洞信息。4.根据权利要求1所述的方法,其特征在于,获取待验证的应用的漏洞信息,具体包括:从所述应用的安装包中提取配置文件,根据所述配置文件分析所述应用的漏洞信息。5.根据权利要求1所述的方法,其特征在于,所述输入数据包括所述应用的可执行数据;控制所述移动终端的系统将所述输入数据输入所述应用得到所述应用的输出数据,具体包括:控制所述移动终端的系统将所述可执行数据发送给所述应用进行执...
【专利技术属性】
技术研发人员:申迪,卢加磊,田从新,龚广,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。