本发明专利技术提供一种应用程序的安全检测方法、装置和电子设备,涉及计算机技术领域。方法包括:接收当前检测任务的目标应用程序的安装包,确定预设运行时长、任务属性和目标移动终端;发送安装请求至目标移动终端;若为动态检测任务,生成伪随机的用户事件流,发送伪随机的用户事件流至目标应用程序中;实时捕获目标移动终端发送的针对伪随机的用户事件流的所有反馈数据,若其中包括目标应用程序的接口请求数据时,将目标应用程序的接口请求数据转发至动态安全检测工具,进行渗透测试;达到预设运行时长时,停止渗透测试并生成动态安全测试报告。解决了移动应用的安全检测自动化程度低,测试工具功能单一无法适配复杂业务场景的问题。
【技术实现步骤摘要】
应用程序的安全检测方法、装置和电子设备
本专利技术实施例涉及计算机
,尤其涉及一种应用程序的安全检测方法、装置和电子设备。
技术介绍
现有技术实现移动应用(application,以下简称app)的安全测试存在诸多问题,第一:安全检测器单一,大部分检测工具(如Drozer)只能支持静态代码检测,这种方式导致无法对用户请求进行渗透测试,容易引发漏测。第二:安全检测平台(如360app漏洞扫描)需要上传软件安装包等到第三方外部平台,容易产生未发版的app被泄漏或被恶意反编译等安全隐患。第三:安全测试工具种类繁多,需要测试人员在本机部署安全测试环境,过程复杂,且无法起到环境资源的有效利用及手机设备的共享。第四:安全测试报告无法统一管理与保存,无法查看历史报告结果,需要开辟专门的空间由人工保存与维护,效率低,耗时高。综上所述,手动检测效率低、工作量大,且安全测试工具功能单一,需要组合使用,在面对复杂的业务场景时,无法适配及扩展。
技术实现思路
本专利技术实施例提供一种应用程序的安全检测方法、装置和电子设备,以解决现有技术中移动应用的安全检测存在的手动检测效率低、工作量大、自动化程度低,安全测试工具功能单一、需要组合使用,且在面对复杂的业务场景时,无法适配及扩展的问题。为了解决上述技术问题,本专利技术是这样实现的:第一方面,本专利技术实施例提供了一种应用程序的安全检测方法,包括:接收当前检测任务的目标应用程序的安装包,确定预设运行时长、任务属性和目标移动终端;发送携带有所述目标应用程序的安装包的安装请求至所述目标移动终端;若所述检测任务的任务属性为动态检测任务,生成伪随机的用户事件流,发送所述伪随机的用户事件流至所述目标移动终端上安装的目标应用程序中;实时捕获所述目标移动终端发送的针对所述伪随机的用户事件流的所有反馈数据,若其中包括所述目标应用程序的接口请求数据时,将所述目标应用程序的接口请求数据转发至动态安全检测工具,进行渗透测试;所述伪随机的用户事件流的执行时间达到所述预设运行时长时,停止渗透测试并生成动态安全测试报告。可选的,所述生成动态安全测试报告包括:对所述伪随机的用户事件流的所有反馈数据进行安全规则匹配;输出不符合所述安全规则的反馈数据的漏洞类型、漏洞级别和修改意见。可选的,若所述伪随机的用户事件流的所有反馈数据中包括所述目标应用程序的性能数据,所述方法还包括:收集所述目标应用程序的性能数据,生成性能测试报告。可选的,还包括:配置自定义前置测试脚本;所述生成伪随机的用户事件流,发送所述伪随机的用户事件流至所述目标移动终端上安装的目标应用程序中之前,还包括:依据所述自定义前置测试脚本,自动执行所述目标应用程序的用户登录、预设数据存储、授权操作中的至少之一。可选的,还包括:若所述检测任务的任务属性为静态检测任务,解析所述目标应用程序的安装包,对所述目标应用程序进行源码分析和二进制文件分析,生成静态测试报告。可选的,所述生成动态安全测试报告之后,还包括:将所述动态安全测试报告发送至缺陷管理平台,生成所述目标应用程序的安全修复任务。可选的,还包括:接收用于配置测试任务的第一输入,响应于所述第一输入生成测试任务配置界面;接收第二输入,响应于所述第二输入,确定所述测试任务的目标移动终端;接收第三输入,响应于所述第三输入,配置所述测试任务的目标应用程序的安装包、预设运行时长和任务属性。可选的,所述接收第二输入,响应于所述第二输入,确定所述测试任务的目标移动终端,包括:获取可用移动终端列表;接收第二输入,响应于所述第二输入,从所述可用移动终端列表中确定目标移动终端。第二方面,本专利技术实施例还提供了一种应用程序的安全检测装置,包括:配置模块,用于接收当前检测任务的目标应用程序的安装包,确定预设运行时长、任务属性和目标移动终端;发送模块,用于发送携带有所述目标应用程序的安装包的安装请求至所述目标移动终端;第一执行模块,用于若所述检测任务的任务属性为动态检测任务,生成伪随机的用户事件流,发送所述伪随机的用户事件流至所述目标移动终端上安装的目标应用程序中;所述第一执行模块还用于实时捕获所述目标移动终端发送的针对所述伪随机的用户事件流的所有反馈数据,若其中包括所述目标应用程序的接口请求数据时,将所述目标应用程序的接口请求数据转发至动态安全检测工具,进行渗透测试;生成模块,用于所述伪随机的用户事件流的执行时间达到所述预设运行时长时,停止渗透测试并生成动态安全测试报告。第三方面,本专利技术实施例还提供了一种电子设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如第一方面任一项所述的应用程序的安全检测方法的步骤。第四方面,本专利技术实施例还提供了一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如第一方面任一项所述的应用程序的安全检测方法的步骤。本专利技术实施例中,执行动态检测任务时,通过将生成的伪随机的用户事件流发送到目标移动终端上安装的目标应用程序中,实时捕获目标移动终端发送的针对该伪随机的用户事件流的所有反馈数据,若其中包括目标应用程序的接口请求数据时,将目标应用程序的接口请求数据转发至动态安全检测工具,进行渗透测试并生成动态安全测试报告;本专利技术的应用程序的安全检测方法通过监听目标应用程序下发的接口请求交互数据,对其进行模拟攻击和分析来确定其安全性漏洞,提供了一种在线自动进行目标应用程序检测且支持动态安全检测的方法,目标应用程序的安装包和测试报告为私有化部署,隐私性和安全性更好。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为本专利技术实施例提供的应用程序的安全检测方法的流程示意图之一;图2为本专利技术实施例提供的应用程序的安全检测方法的流程示意图之二;图3为本专利技术实施例提供的应用程序的安全检测装置的结构示意图之一;图4为本专利技术实施例提供的应用程序的安全检测装置的结构示意图之二;图5为本专利技术实施例提供的电子设备的结构示意图之一。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参考图1,图1为本专利技术实施例提供的应用程序的安全检测方法的流程示意图之一;本专利技术实施例提供了一种应用程序的安全检测方法,包括:步骤11:接收当前检测任务的目标应本文档来自技高网...
【技术保护点】
1.一种应用程序的安全检测方法,其特征在于,包括:/n接收当前检测任务的目标应用程序的安装包,确定预设运行时长、任务属性和目标移动终端;/n发送携带有所述目标应用程序的安装包的安装请求至所述目标移动终端;/n若所述检测任务的任务属性为动态检测任务,生成伪随机的用户事件流,发送所述伪随机的用户事件流至所述目标移动终端上安装的目标应用程序中;/n实时捕获所述目标移动终端发送的针对所述伪随机的用户事件流的所有反馈数据,若其中包括所述目标应用程序的接口请求数据时,将所述目标应用程序的接口请求数据转发至动态安全检测工具,进行渗透测试;/n所述伪随机的用户事件流的执行时间达到所述预设运行时长时,停止渗透测试并生成动态安全测试报告。/n
【技术特征摘要】
1.一种应用程序的安全检测方法,其特征在于,包括:
接收当前检测任务的目标应用程序的安装包,确定预设运行时长、任务属性和目标移动终端;
发送携带有所述目标应用程序的安装包的安装请求至所述目标移动终端;
若所述检测任务的任务属性为动态检测任务,生成伪随机的用户事件流,发送所述伪随机的用户事件流至所述目标移动终端上安装的目标应用程序中;
实时捕获所述目标移动终端发送的针对所述伪随机的用户事件流的所有反馈数据,若其中包括所述目标应用程序的接口请求数据时,将所述目标应用程序的接口请求数据转发至动态安全检测工具,进行渗透测试;
所述伪随机的用户事件流的执行时间达到所述预设运行时长时,停止渗透测试并生成动态安全测试报告。
2.根据权利要求1所述的应用程序的安全检测方法,其特征在于,所述生成动态安全测试报告包括:
对所述伪随机的用户事件流的所有反馈数据进行安全规则匹配;
输出不符合所述安全规则的反馈数据的漏洞类型、漏洞级别和修改意见。
3.根据权利要求1所述的应用程序的安全检测方法,其特征在于,
若所述伪随机的用户事件流的所有反馈数据中包括所述目标应用程序的性能数据,所述方法还包括:
收集所述目标应用程序的性能数据,生成性能测试报告。
4.根据权利要求1所述的应用程序的安全检测方法,其特征在于,还包括:配置自定义前置测试脚本;
所述生成伪随机的用户事件流,发送所述伪随机的用户事件流至所述目标移动终端上安装的目标应用程序中之前,还包括:
依据所述自定义前置测试脚本,自动执行所述目标应用程序的用户登录、预设数据存储、授权操作中的至少之一。
5.根据权利要求1所述的应用程序的安全检测方法,其特征在于,还包括:
若所述检测任务的任务属性为静态检测任务,解析所述目标应用程序的安装包,对所述目标应用程序进行源码分析和二进制文件分析,生成静态测试报告。
6.根据权利要求1所述的应用程序的安全检测方法,其特征在于,所述生成动态安全测试报告之后,还包括:
将所...
【专利技术属性】
技术研发人员:付高静,刘金,陈鹏远,车载誉,刘鑫,邹永强,杨晖,
申请(专利权)人:云账户技术天津有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。