一种基于车载终端系统的漏洞测试方法及装置制造方法及图纸

本发明专利技术提供了一种基于车载终端系统的漏洞测试方法及装置，具体包括：A、获取待测车载终端系统的系统架构；B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息；C、根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取root权限、脚本执行终端目录、是否需要赋予执行权限；D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件；E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果，并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果，将所述漏洞检测结果保存到漏洞检测结果信息库。采用本发明专利技术能够准确触发漏洞，对漏洞进行检测。

【技术实现步骤摘要】
一种基于车载终端系统的漏洞测试方法及装置
本专利技术涉及互联网信息
，特别涉及一种基于车载终端系统的漏洞测试方法及装置。
技术介绍
车联网时代，汽车通过车载终端系统可以与智能终端、互联网等进行连接，实现娱乐、导航、交通信息等服务。汽车终端系统常采用嵌入式Linux、QNX、Android等作为操作系统，目前主流的汽车终端系统主要是厂商基于Android操作系统进行定制化开发的。所以针对汽车终端安全检测方法可以参考针对Android系统漏洞检测的方法。国内目前比较常见的系统漏洞自动化测试工具有：VTS、X-Ray。AndroidVTS2015年末，NowSecure发布了一个Android漏洞测试套件AndroidVTS，AndroidVTS根据漏洞缺陷清单，扫描用户的设备，进行漏洞检测。通过AndroidVTS，用户可以检测手机中是否存在漏洞或缺陷，以及手机生产商和运营商是否有最新的补丁发布。X-RayX-Ray可以检测Android设备中未修复的漏洞，X-Ray详细了解了一类被称为“特权升级”的漏洞。恶意应用程序可利用此类漏洞获取设备上的root权限，并执行通常受Android操作系统限制的操作。经调研X-Ray工具的检测原理是组织了一些漏洞PoC，遍历执行PoC脚本，然后回收漏洞触发结果。国外漏洞检测产品比国内丰富许多，比较主流的有Nessus和BelarcSecurityAdvisor。NessusNessus能够对大多数主流操作系统进行漏洞扫描。Nessus检测Android系统漏洞时不需要安装到手机，从另一个角度讲Nessus进行Android系统漏洞扫描时需要借助PC。BelarcSecurityAdvisorBelarcSecurityAdvisor是专门针对Android系统设计的漏洞扫描工具，BelarcSecurityAdvisor可以检测多个系统和预装应用层面的漏洞，并快速返回扫描结果。根据以上说明可以看出，现有技术存在以下问题：目前国内主流的Android系统漏洞自动化测试工具均存在在较高的操作系统版本上兼容性差以及运行过程不稳定的问题；这两个工具中涵盖的漏洞数量十分少，并且不利于扩展，检测信息十分有限。国外的漏洞检测工具虽然可以达到漏洞检测的目的，但是Android系统的碎片化问题非常严重，导致检测结果存在很大的误差。除此之外这些工具由于只是针对Android系统进行的漏洞检测，并没有考虑到车载终端系统的特殊性，所以并不完全适用于车载终端系统的漏洞检测。
技术实现思路
本专利技术的目的在于提供了一种基于车载终端系统的漏洞测试方法及装置，能够准确触发漏洞，对漏洞进行检测。本专利技术实施例提供了一种基于车载终端系统的漏洞测试方法，该方法包括：A、获取待测车载终端系统的系统架构；B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息；C、根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取根权限、脚本执行终端目录、是否需要赋予执行权限；D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件；E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果，并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果，将所述漏洞检测结果保存到漏洞检测结果信息库。本专利技术实施例还提供了一种基于车载终端系统的漏洞测试装置，该装置包括：设备管理模块，获取待测车载终端系统的系统架构；测试模块，获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息；根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取根权限、脚本执行终端目录、是否需要赋予执行权限；根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件；执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果，并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果，将所述漏洞检测结果保存到漏洞检测结果信息库。本专利技术提供的基于车载终端系统的漏洞测试方法及装置，针对每一个漏洞设计的脚本以及脚本执行环境，所以可以准确触发漏洞，对漏洞进行检测。附图说明图1为本专利技术实施例一种基于车载终端系统的漏洞测试方法流程示意图。图2为本专利技术实施例一种基于车载终端系统的漏洞测试装置结构示意图。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本专利技术所述方案作进一步地详细说明。现有技术中都是针对操作系统进行的漏洞检测，并没有考虑到车载终端系统的特殊性。因此，本专利技术提供了一种基于车载终端系统的漏洞测试方法及装置，针对车载终端系统的每一个漏洞设计的脚本以及脚本执行环境，所以可以准确触发漏洞，对漏洞进行检测。在一个实施例中，本专利技术实施例提供的一种基于车载终端系统的漏洞测试方法流程示意图如图1所示，首先介绍一下本专利技术的漏洞库是如何构建的：预先收集各车载终端系统与所采用操作系统通用的漏洞信息，以及各车载终端系统特有的漏洞信息；根据收集的漏洞信息建立漏洞库，所述漏洞库包括漏洞基本信息库、系统版本漏洞库、漏洞验证脚本库；所述漏洞基本信息库包括：漏洞编号、漏洞描述、漏洞风险等级、漏洞类型、漏洞位置；所述系统版本漏洞库包括：漏洞编号、漏洞名称、漏洞描述、操作系统版本；所述漏洞验证脚本库包括：漏洞验证脚本编号、漏洞编号、漏洞验证脚本执行环境信息、漏洞验证脚本执行结果信息。根据上述描述，该漏洞库中除了与操作系统通用的漏洞信息之外还有自主挖掘的针对车载终端系统特性的专有漏洞信息，不但可以检测出常见的通用漏洞，还可以检测出车载终端系统特有的漏洞。所以该车载终端系统漏洞自动化测试方法可以帮助用户或者厂商及时发现车载终端系统中存在的漏洞。另一方面，针对车载终端系统的每一个漏洞设计的脚本以及脚本执行环境，因此该漏洞库具有良好的扩展性以及非常方便管理。该方法包括：步骤11、获取待测车载终端系统的系统架构。每一个操作系统平台有很多系统架构，不同的系统架构支持不同的指令集。车载终端系统的系统架构根据所采用的操作系统的系统架构而确定。同一漏洞验证脚本编号在不同架构下对应不同的漏洞验证脚本文件。步骤12、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息。本专利技术针对每一漏洞设计相应的漏洞验证脚本和漏洞验证脚本执行环境。不同的漏洞对应的漏洞验证脚本和漏洞验证脚本执行环境不同。漏洞验证脚本执行结果信息包含各种漏洞验证脚本执行结果。步骤13、根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取根(root)权限、脚本执行终端目录、是否需要赋予执行权限。root权限，系统权限的一种，也叫根权限，与SYSTEM权限可以理解成一个概念，但高于Administrator权限，root是Linux和unix系统中的超级管理员用户帐户，该帐户拥有整个系统至高无上的权力，所有对象他都可以操作。获得root权限之后就意味着已经获得了系统的最高权限，这时候你可以对系统中的任本文档来自技高网...

【技术保护点】
1.一种基于车载终端系统的漏洞测试方法，其特征在于，该方法包括：A、获取待测车载终端系统的系统架构；B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息；C、根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取根权限、脚本执行终端目录、是否需要赋予执行权限；D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件；E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果，并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果，将所述漏洞检测结果保存到漏洞检测结果信息库。

【技术特征摘要】
1.一种基于车载终端系统的漏洞测试方法，其特征在于，该方法包括：A、获取待测车载终端系统的系统架构；B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息；C、根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取根权限、脚本执行终端目录、是否需要赋予执行权限；D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件；E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果，并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果，将所述漏洞检测结果保存到漏洞检测结果信息库。2.如权利要求1所述的方法，其特征在于，在步骤A之前，该方法进一步包括：预先收集各车载终端系统与所采用操作系统通用的漏洞信息，以及各车载终端系统特有的漏洞信息；根据收集的漏洞信息建立漏洞库，所述漏洞库包括漏洞基本信息库、系统版本漏洞库、漏洞验证脚本库；所述漏洞基本信息库包括：漏洞编号、漏洞描述、漏洞风险等级、漏洞类型、漏洞位置；所述系统版本漏洞库包括：漏洞编号、漏洞名称、漏洞描述、操作系统版本；所述漏洞验证脚本库包括：漏洞验证脚本编号、漏洞编号、漏洞验证脚本执行环境信息、漏洞验证脚本执行结果信息。3.如权利要求1所述的方法，其特征在于，获取待测车载终端系统的系统架构时，还获取待测车载终端系统的系统版本号，该方法进一步包括：根据待测车载终端系统的系统版本号进行系统版本漏洞测试，获取系统版本漏洞库中相应的漏洞信息。4.如权利要求1所述的方法，其特征在于，在加载漏洞验证脚本文件之后，执行所述漏洞验证脚本文件之前，该方法进一步包括：对漏洞触发过程进行监控，监控漏洞触发过程的关键应用程序接口API调用，以获取漏洞触发路径信息；并将监控结果存入漏洞检测结果信息库。5.如权利要求1所述的方法，其特征在于，该方法进一步包括：在测试过程中，对待测车载终端系统进行状态监控；当监控到待测车载终端系统接入时，获取的待测车载终端系统信息包括系统架构和系统版本号；当监控到待测车载终端系统断开连接或者待测车载终端系统状态改变时进行设备恢复，如果在进行设备恢复后设备仍然未恢复到连接可用状态，则确认待测车载终端系统恢复失败并中断漏洞测试过程。6.如权利要求1所述的方法，其特征在于，执行所述漏洞验证脚本文件结束后，该方法进一步包括：根据待测车载终端系统状态进行设备恢复，在设备恢复后，重复执行步骤B至E进行下一个漏洞测试过程。7.如权利要求3所述的方法，其特征在于，将漏洞检测结果信息库中保存的各漏洞检测结果与进行系统版本漏洞测试获取的各漏洞信息，基于同一漏洞进行对比保存，并结合漏洞基本信息库中相应漏洞信息生成检测报告。8.一种基于车载终端系统的漏洞测试...

【专利技术属性】
技术研发人员：李政，吴志敏，李承泽，吴昊，范乐君，肖佃艳，王智勇，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京,11