The invention discloses a mobile phone application under Android platform security vulnerabilities mining method, using the source code static analysis technology of mining mobile phone security vulnerabilities Android application platform, the technology from mobile phone application Android platform source code of the generation mechanism of vulnerability analysis, mining security vulnerabilities in the software the method of the invention, unsafe methods focus on Android platform mobile phone application source code and procedures in the use of external input data, control method by constructing Android platform mobile phone program source code in the flow diagram, data flow diagram, reverse tracing external program input data mining application software Android platform security vulnerabilities next, the disadvantages of the prior art.
【技术实现步骤摘要】
一种Android平台下手机应用程序的安全漏洞挖掘方法
本专利技术涉及一种Android平台下手机应用程序的安全漏洞挖掘方法,属于源代码检测领域
技术介绍
Android是一种以Linux为基础的开放源码操作系统,主要使用于便携设备。目前尚未有统一中文名称,中国大陆地区较多人使用Android。Android操作系统最初由AndyRubin开发,最初主要支持手机。2005年由Google收购注资,并联合多家制造商组成开放手机联盟开发改良,逐渐扩展到平板电脑及其他领域上。2010年末数据显示,仅正式推出两年的Android操作系统已经超越称霸十年的诺基亚Symbian系统,跃居全球最受欢迎的智能手机平台。Android的主要竞争对手是苹果的IOS,微软的WP7以及RIM的BlackberryOS。面对移动智能终端市场日新月异的发展,随之而来的移动智能终端信息安全问题却日益凸显,给国家安全、社会稳定和用户隐私保护等带来新的安全隐患。Android是目前最流行的智能终端开发平以,依靠Google的强大开发和媒体资源,Android成为众多移动智能终端厂商竞相追逐的对象。随意Android平台在智能终端操作系统市场份额的日益增加,Android平台下应用软件的安全性成为了智能终端安全研究的紧要任务。由于受到移动智能终端较低的硬件处理能力的限制,移动智能终端上的应用有着体积小、升级快、功能专一等特点,移动智能终端与传统终端如PC机存在较大区别,PC机上的安全漏洞挖掘技术不能直接应用于智能终端上。目前,Android平台下手机应用程序的漏洞发掘还是个新的领域 ...
【技术保护点】
一种Android平台下手机应用程序的安全漏洞挖掘方法,包括漏洞规则库生成单元、字节码生成文件单元、控制流图构建单元、数据流图构建单元、漏洞检测单元和漏洞报告生成单元,其特征在于:所述的方法包括以下步骤:步骤一、利用漏洞规则库生成单元提取多种Android平台下手机应用程序源代码的漏洞规则,形成漏洞规则库;步骤二、利用字节码生成文件单元针对Android平台下手机应用程序的源代码构建ant脚本,对步骤(一)所述的源代码进行编译,形成字节码文件;步骤三、利用控制流图构建单元责解析所述的字节码文件,根据所述的字节码文件中的指令信息构建控制流图,为不安全方法的定位提供基础;步骤四、利用数据流图构建单元在控件流图的基础上,分析变量中数据的传递过程,构建数据流图,为逆向动态追踪数据提供基础;步骤五、利用漏洞检测单元根据漏洞规则库中的规则,调用控制流引擎和数据流引擎,分析不安全方法的调用位置,逆向动态追踪变量中的数据传递过程,进行漏洞检测;步骤六、利用漏洞报告生成单元将挖掘的安全漏洞过程及相关数据信息生成报告。
【技术特征摘要】
1.一种Android平台下手机应用程序的安全漏洞挖掘方法,包括漏洞规则库生成单元、字节码生成文件单元、控制流图构建单元、数据流图构建单元、漏洞检测单元和漏洞报告生成单元,其特征在于:所述的方法包括以下步骤:步骤一、利用漏洞规则库生成单元提取多种Android平台下手机应用程序源代码的漏洞规则,形成漏洞规则库;步骤二、利用字节码生成文件单元针对Android平台下手机应用程序的源代码构建ant脚本,对步骤(一)所述的源代码进行编译,形成字节码文件;步骤三、利用控制流图构建单元责解析所述的字节码文件,根据所述的字节码文件中的指令信息构建控制流图,为不安全方法的定位提供基础;步骤四、利用数据流图构建单元在控件流图的基础上,分析变量中数据的传递过程,构建数据流图,为逆向动态追踪数据提供基础;步骤五、利用漏洞检测单元根据漏洞规则库中的规则,调用控制流引擎和数据流引擎,分析不安全方法的调用位置,逆向动态追踪变量中的数据传递过程,进行漏洞检测;步骤六、利用漏洞报告生成单元将挖掘的安全漏洞过程及相关数据信息生成报告。2.根据权利要求1所述的Android平台下手机应用程序的安全漏洞挖掘方法,其特征在于:方法所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。