【技术实现步骤摘要】
一种基于车载终端系统的漏洞测试方法及装置
本专利技术涉及互联网信息
,特别涉及一种基于车载终端系统的漏洞测试方法及装置。
技术介绍
车联网时代,汽车通过车载终端系统可以与智能终端、互联网等进行连接,实现娱乐、导航、交通信息等服务。汽车终端系统常采用嵌入式Linux、QNX、Android等作为操作系统,目前主流的汽车终端系统主要是厂商基于Android操作系统进行定制化开发的。所以针对汽车终端安全检测方法可以参考针对Android系统漏洞检测的方法。国内目前比较常见的系统漏洞自动化测试工具有:VTS、X-Ray。AndroidVTS2015年末,NowSecure发布了一个Android漏洞测试套件AndroidVTS,AndroidVTS根据漏洞缺陷清单,扫描用户的设备,进行漏洞检测。通过AndroidVTS,用户可以检测手机中是否存在漏洞或缺陷,以及手机生产商和运营商是否有最新的补丁发布。X-RayX-Ray可以检测Android设备中未修复的漏洞,X-Ray详细了解了一类被称为“特权升级”的漏洞。恶意应用程序可利用此类漏洞获取设备上的root权限,并执行通常受Android操作系统限制的操作。经调研X-Ray工具的检测原理是组织了一些漏洞PoC,遍历执行PoC脚本,然后回收漏洞触发结果。国外漏洞检测产品比国内丰富许多,比较主流的有Nessus和BelarcSecurityAdvisor。NessusNessus能够对大多数主流操作系统进行漏洞扫描。Nessus检测Android系统漏洞时不需要安装到手机,从另一个角度讲Nessus进行Andro ...
【技术保护点】
1.一种基于车载终端系统的漏洞测试方法,其特征在于,该方法包括:A、获取待测车载终端系统的系统架构;B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息;还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息;C、根据漏洞验证脚本执行环境信息进行测试环境准备;所述漏洞验证脚本执行环境信息包括是否需要获取根权限、脚本执行终端目录、是否需要赋予执行权限;D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件;E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果,并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果,将所述漏洞检测结果保存到漏洞检测结果信息库。
【技术特征摘要】
1.一种基于车载终端系统的漏洞测试方法,其特征在于,该方法包括:A、获取待测车载终端系统的系统架构;B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息;还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息;C、根据漏洞验证脚本执行环境信息进行测试环境准备;所述漏洞验证脚本执行环境信息包括是否需要获取根权限、脚本执行终端目录、是否需要赋予执行权限;D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件;E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果,并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果,将所述漏洞检测结果保存到漏洞检测结果信息库。2.如权利要求1所述的方法,其特征在于,在步骤A之前,该方法进一步包括:预先收集各车载终端系统与所采用操作系统通用的漏洞信息,以及各车载终端系统特有的漏洞信息;根据收集的漏洞信息建立漏洞库,所述漏洞库包括漏洞基本信息库、系统版本漏洞库、漏洞验证脚本库;所述漏洞基本信息库包括:漏洞编号、漏洞描述、漏洞风险等级、漏洞类型、漏洞位置;所述系统版本漏洞库包括:漏洞编号、漏洞名称、漏洞描述、操作系统版本;所述漏洞验证脚本库包括:漏洞验证脚本编号、漏洞编号、漏洞验证脚本执行环境信息、漏洞验证脚本执行结果信息。3.如权利要求1所述的方法,其特征在于,获取待测车载终端系统的系统架构时,还获取待测车载终端系统的系统版本号,该方法进一步包括:根据待测车载终端系统的系统版本号进行系统版本漏洞测试,获取系统版本漏洞库中相应的漏洞信息。4.如权利要求1所述的方法,其特征在于,在加载漏洞验证脚本文件之后,执行所述漏洞验证脚本文件之前,该方法进一步包括:对漏洞触发过程进行监控,监控漏洞触发过程的关键应用程序接口API调用,以获取漏洞触发路径信息;并将监控结果存入漏洞检测结果信息库。5.如权利要求1所述的方法,其特征在于,该方法进一步包括:在测试过程中,对待测车载终端系统进行状态监控;当监控到待测车载终端系统接入时,获取的待测车载终端系统信息包括系统架构和系统版本号;当监控到待测车载终端系统断开连接或者待测车载终端系统状态改变时进行设备恢复,如果在进行设备恢复后设备仍然未恢复到连接可用状态,则确认待测车载终端系统恢复失败并中断漏洞测试过程。6.如权利要求1所述的方法,其特征在于,执行所述漏洞验证脚本文件结束后,该方法进一步包括:根据待测车载终端系统状态进行设备恢复,在设备恢复后,重复执行步骤B至E进行下一个漏洞测试过程。7.如权利要求3所述的方法,其特征在于,将漏洞检测结果信息库中保存的各漏洞检测结果与进行系统版本漏洞测试获取的各漏洞信息,基于同一漏洞进行对比保存,并结合漏洞基本信息库中相应漏洞信息生成检测报告。8.一种基于车载终端系统的漏洞测试...
【专利技术属性】
技术研发人员:李政,吴志敏,李承泽,吴昊,范乐君,肖佃艳,王智勇,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。