本发明专利技术提出了一种移动端应用程序的安全测试方法及系统,涉及计算机软件领域。一种移动端应用程序的安全测试方法包括:从移动终端接口中采集与应用程序的第一报文;根据第一报文进行显示并获取第二报文,第二报文为基于第一报文进行调整后的报文数据;从预设安全测试库中,获取与第二报文的类型相对应的目标安全测试用例;基于第二报文与目标安全测试用例进行数据交互,获得安全测试结果。其能够提高业务场景中的移动端与服务端之间的交互流程的安全测试效率。此外本发明专利技术还提出了一种移动端应用程序的安全测试系统。应用程序的安全测试系统。应用程序的安全测试系统。
【技术实现步骤摘要】
一种移动端应用程序的安全测试方法及系统
[0001]本专利技术涉及计算机软件领域,具体而言,涉及一种移动端应用程序的安全测试方法及系统。
技术介绍
[0002]目前,应用于国内业务场景中的应用在被推广到国际业务场景中之后,通常会由于线上数据无法出境的等合规原因,使得安全团队无法采集国际网关的流量数据进行自动化漏洞测试。
[0003]在这种情况下,则需要借助人工来对移动端和服务端之间的交互流程进行安全测试。而人工测试将会耗费大量的人力和时间,且快速的研发流程也会导致人工测试难以跟上业务发展的速度。因此,如何提供一种安全测试方法来测试国际业务场景中的客户端与服务端之间的交互流程,保证移动端与服务端之间安全交互,仍然需要进一步的解决方案。
技术实现思路
[0004]本专利技术的目的在于提供一种移动端应用程序的安全测试方法,其能够提高业务场景中的移动端与服务端之间的交互流程的安全测试效率。
[0005]本专利技术的另一目的在于提供一种移动端应用程序的安全测试系统,其能够运行一种移动端应用程序的安全测试方法。
[0006]本专利技术的实施例是这样实现的:
[0007]第一方面,本申请实施例提供一种移动端应用程序的安全测试方法,其包括从移动终端接口中采集与应用程序的第一报文;根据第一报文进行显示并获取第二报文,第二报文为基于第一报文进行调整后的报文数据;从预设安全测试库中,获取与第二报文的类型相对应的目标安全测试用例;基于第二报文与目标安全测试用例进行数据交互,获得安全测试结果。<br/>[0008]在本专利技术的一些实施例中,上述从移动终端接口中采集与应用程序的第一报文包括:通过移动终端中的数据采集程序,从移动终端的操作系统的接口中采集与应用程序相关的报文数据。
[0009]在本专利技术的一些实施例中,上述还包括:通过应用程序的底层接口,查找实现反射机制的目标函数的函数地址,获得目标函数的函数地址,根据函数地址调用目标函数,并对目标函数进行封装,形成操作系统接口。
[0010]在本专利技术的一些实施例中,上述根据第一报文进行显示并获取第二报文,第二报文为基于第一报文进行调整后的报文数据包括:通过获取的应用程序中的报文数据,当报文数据为二进制数据流时,根据预设的数据转换方式对二进制数据流进行转换,获得第一报文。
[0011]在本专利技术的一些实施例中,上述还包括:获取移动终端通过二进制数据流进行转换的第一报文,将第一报文进行预处理获得第二报文,第二报文是基于第一报文进行调整
后的报文。
[0012]在本专利技术的一些实施例中,上述从预设安全测试库中,获取与第二报文的类型相对应的目标安全测试用例包括:通过移动终端中的数据采集应用程序,将第二报文发送给预设安全测试库,通预设安全测试库将报文数据发送给数据解析引擎。
[0013]在本专利技术的一些实施例中,上述基于第二报文与目标安全测试用例进行数据交互,获得安全测试结果包括:基于目标安全测试用例对第二报文进行安全测试,若测试得到第二报文存在指定类型的漏洞,则确定应用程序中存在漏洞。
[0014]第二方面,本申请实施例提供一种移动端应用程序的安全测试系统,其包括采集模块,用于从移动终端接口中采集与应用程序的第一报文;
[0015]显示模块,用于根据第一报文进行显示并获取第二报文,第二报文为基于第一报文进行调整后的报文数据;
[0016]测试模块,用于从预设安全测试库中,获取与第二报文的类型相对应的目标安全测试用例;
[0017]结果模块,用于基于第二报文与目标安全测试用例进行数据交互,获得安全测试结果。
[0018]在本专利技术的一些实施例中,上述包括:用于存储计算机指令的至少一个存储器;与上述存储器通讯的至少一个处理器,其中当上述至少一个处理器执行上述计算机指令时,上述至少一个处理器使上述系统执行:采集模块、显示模块、测试模块及结果模块。
[0019]第三方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如一种移动端应用程序的安全测试方法中任一项的方法。
[0020]相对于现有技术,本专利技术的实施例至少具有如下优点或有益效果:
[0021]其能够从应用程序的接口中采集与应用程序相关的报文数据,再从预设的安全测试用例库中,获取与该报文数据的类型相对应的目标安全测试用例,并能基于目标安全测试用例对该报文数据进行安全测试,得到应用程序的安全测试结果。由于能够直接从终端设备的操作系统的接口中获取应用相关数据,解决了对应用进行安全测试时的数据来源问题,同时也为多种不同类型的应用以及不同类型的终端提供了一种通用的安全测试方法,满足了不同移动端应用的安全测试需求。此外,预先基于不同类型的流量报文设置了对应的安全测试用例,还提高了安全测试的效率。
附图说明
[0022]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0023]图1为本专利技术实施例提供的一种移动端应用程序的安全测试方法步骤示意图;
[0024]图2为本专利技术实施例提供的一种移动端应用程序的安全测试方法详细步骤示意图;
[0025]图3为本专利技术实施例提供的一种移动端应用程序的安全测试系统模块示意图;
[0026]图4为本专利技术实施例提供的一种电子设备。
[0027]图标:10
‑
采集模块;20
‑
显示模块;30
‑
测试模块;40
‑
结果模块;101
‑
存储器;102
‑
处理器;103
‑
通信接口。
具体实施方式
[0028]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0029]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0030]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0031]需要说明的是,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种移动端应用程序的安全测试方法,其特征在于,包括:从移动终端接口中采集与应用程序的第一报文;根据第一报文进行显示并获取第二报文,第二报文为基于第一报文进行调整后的报文数据;从预设安全测试库中,获取与第二报文的类型相对应的目标安全测试用例;基于第二报文与目标安全测试用例进行数据交互,获得安全测试结果。2.如权利要求1所述的一种移动端应用程序的安全测试方法,其特征在于,所述从移动终端接口中采集与应用程序的第一报文包括:通过移动终端中的数据采集程序,从移动终端的操作系统的接口中采集与应用程序相关的报文数据。3.如权利要求2所述的一种移动端应用程序的安全测试方法,其特征在于,还包括:通过应用程序的底层接口,查找实现反射机制的目标函数的函数地址,获得目标函数的函数地址,根据函数地址调用目标函数,并对目标函数进行封装,形成操作系统接口。4.如权利要求1所述的一种移动端应用程序的安全测试方法,其特征在于,所述根据第一报文进行显示并获取第二报文,第二报文为基于第一报文进行调整后的报文数据包括:通过获取的应用程序中的报文数据,当报文数据为二进制数据流时,根据预设的数据转换方式对二进制数据流进行转换,获得第一报文。5.如权利要求4所述的一种移动端应用程序的安全测试方法,其特征在于,还包括:获取移动终端通过二进制数据流进行转换的第一报文,将第一报文进行预处理获得第二报文,第二报文是基于第一报文进行调整后的报文。6.如权利要求1所述的一种移动端应用程序的安全测...
【专利技术属性】
技术研发人员:康剑萍,
申请(专利权)人:康剑萍,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。