本发明专利技术公开了一种智能网联汽车APP渗透测试方法、系统及存储介质,该方法包括:获取智能网联汽车中的固件;对固件进行扫描,得到固件中的APK文件;对APK文件进行脱壳,得到原始文件;对原始文件进行静态扫描,得到静态评估结果。通过实施本发明专利技术,通过对固件扫描提取得到固件中的APK文件,经过对APK文件的脱壳确定原始文件,对原始文件进行静态扫描即可实现对智能网联汽车APP的渗透测试,解决了现有技术中汽车APP人工测试繁琐复杂,固件难以分析等问题,为进行自动化远程渗透测试创造了条件,方便测试人员使用;同时该渗透测试方法为汽车APP渗透测试提供了很好的指导作用,可有效推动汽车行业APP渗透测试水平的提升。动汽车行业APP渗透测试水平的提升。动汽车行业APP渗透测试水平的提升。
【技术实现步骤摘要】
一种智能网联汽车APP渗透测试方法、系统及存储介质
[0001]本专利技术涉及车载APP
,具体涉及一种智能网联汽车APP渗透测试方法、系统及存储介质。
技术介绍
[0002]近些年来,对智能网联汽车信息安全的研究已成为热点,物联网设备和车联网设备在当前日常生活中得到广泛应用。然而,车联网设备大都是功能单一化的设备,厂商对其进行维护时往往不会耗费过多精力,导致车联网设备潜在的安全漏洞的发现几率较低;而且现有技术中loT设备固件的测试主要以人工调试为主,包含大量的重复调试工作,效率低下。
[0003]汽车APP作为车联网系统必不可少的一环,围绕其进行的攻防研究备受关注。汽车APP渗透测试对于手机控车安全、车辆TSP安全、车主隐私等方面具有非常重要的作用。然而针对智能网联汽车APP渗透测试,还没有形成成熟的测试方法、测试体系、测试工具等。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供了涉及一种智能网联汽车APP渗透测试方法、系统及存储介质,以解决现有技术中缺少对汽车APP进行渗透性测试的测试方法或测试体系的技术问题。
[0005]本专利技术提出的技术方案如下:
[0006]本专利技术实施例第一方面提供一种智能网联汽车APP渗透测试方法,包括:获取智能网联汽车中的固件;对所述固件进行扫描,得到所述固件中的APK文件;对所述APK文件进行脱壳,得到原始文件;对所述原始文件进行静态扫描,得到静态评估结果。
[0007]可选地,该智能网联汽车APP渗透测试方法还包括:抓取控车APP上的数据包:根据所述数据包进行APP控车扫描,得到控车扫描结果。
[0008]可选地,对所述固件进行扫描,包括:对所述固件中的预设目录进行扫描以及对所述固件进行全盘扫描;对所述固件进行扫描,还包括:对所述固件进行解析、切割以及反编译。
[0009]可选地,对所述原始文件进行静态扫描,得到静态评估结果,包括:对所述原始文件进行反编译,得到配置文件、资源文件、签名文件以及代码文件;将所述配置文件、资源文件、签名文件以及代码文件分别与静态漏洞库中的漏洞规则匹配,进行源码安全评估,客户端安全评估,数据安全评估,动态链接库安全评估,得到静态评估结果。
[0010]可选地,对所述原始文件进行静态扫描,得到静态评估结果,还包括:对所述原始文件中的JAVA代码以及SO动态链接库进行反编译风险测试;对所述原始文件中的敏感关键词进行硬编码测试;对所述原始文件中的预设组件进行安全测试;对所述原始文件中的本地文件进行Drozer测试;对所述原始文件中的数据存在的漏洞进行测试;对所述原始文件中的动态链接库进行安全评估。
[0011]可选地,根据所述数据包进行APP控车扫描,得到控车扫描结果,包括:解密所述数据包中的HTTPS流量;将解密的HTTPS流量进行HTTPS安全测试;将解密的HTTPS流量进行TSP测试;抓取所述数据包中的敏感关键词数据,对所述敏感关键字数据进行重放攻击;对APP客户端进行动态安全测试。
[0012]可选地,对所述固件进行扫描之前,还包括:对所述固件进行缓冲区溢出,堆栈溢出,整数溢出的漏洞检测。
[0013]本专利技术实施例第二方面提供一种智能网联汽车APP渗透测试系统,包括:测试终端,所述测试终端包括:固件获取模块,用于获取智能网联汽车中的固件;扫描模块,用于对所述固件进行扫描,得到所述固件中的APK文件;脱壳模块,用于对所述APK文件进行脱壳,得到原始文件;评估模块,用于对所述原始文件进行静态扫描,得到静态评估结果。
[0014]可选地,该智能网联汽车APP渗透测试系统还包括:服务器终端和云端,所述服务器终端连接所述测试终端,用于对静态漏洞库中的漏洞规则进行管理,所述云端分别和所述服务器终端和所述测试终端连接。
[0015]本专利技术实施例第三方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如本专利技术实施例第一方面及第一方面任一项所述的智能网联汽车APP渗透测试方法。
[0016]本专利技术提供的技术方案,具有如下效果:
[0017]本专利技术实施例提供的智能网联汽车APP渗透测试方法、系统及存储介质,通过对固件扫描提取得到固件中的APK文件,经过对APK文件的脱壳确定原始文件,对原始文件进行静态扫描即可实现对智能网联汽车APP的渗透测试,解决了现有技术中汽车APP人工测试繁琐复杂,固件难以分析等问题,为进行自动化远程渗透测试创造了条件,方便测试人员使用;同时该渗透测试方法为汽车APP渗透测试提供了很好的指导作用,可有效推动汽车行业APP渗透测试水平的提升。
附图说明
[0018]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1是根据本专利技术实施例的智能网联汽车APP渗透测试方法的流程图;
[0020]图2是根据本专利技术实施例的智能网联汽车APP渗透测试系统的结构框图;
[0021]图3是根据本专利技术另一实施例的智能网联汽车APP渗透测试系统的结构框图;
[0022]图4是根据本专利技术实施例提供的计算机可读存储介质的结构示意图;
[0023]图5是根据本专利技术实施例提供的智能网联汽车APP渗透测试系统的结构示意图。
具体实施方式
[0024]正如在
技术介绍
中所述,目前针对智能网联汽车APP渗透测试,还没有形成成熟的测试方法、测试体系、测试工具等。现有的这对安卓&IOS APP的检测主要是静态特征扫描和动态行为检测。其中,基于静态特征扫描的App检测方案是部署在本地的形式下依据漏洞库
实现自动化,能够扫描App静态漏洞例如Webview,组件暴露,密码弱算法等漏洞。而基于动态行为的App检测方案是通过模拟器注入,重打包,抓包的形式进行动态测试,能够进行例如签名验证测试,Root环境测试,http/https通信测试等App动态测试。
[0025]基于上述内容可以用看出,现有技术针对的测试项和车载APP安全需求偏离较多;现有技术中针对APP的测试项无法应用到车载APP测试中。并且,车联网控制器中的APP隐藏在控制器固件中,需要人工提取后才能上传扫描,效率较低。
[0026]有鉴于此,本专利技术实施例提供一种智能网联汽车APP的渗透性测试方法,可以对汽车APP进行方便、快捷且有效的渗透测试。
[0027]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种智能网联汽车APP渗透测试方法,其特征在于,包括:获取智能网联汽车中的固件;对所述固件进行扫描,得到所述固件中的APK文件;对所述APK文件进行脱壳,得到原始文件;对所述原始文件进行静态扫描,得到静态评估结果。2.根据权利要求1所述的智能网联汽车APP渗透测试方法,其特征在于,还包括:抓取控车APP上的数据包:根据所述数据包进行APP控车扫描,得到控车扫描结果。3.根据权利要求1所述的智能网联汽车APP渗透测试方法,其特征在于,对所述固件进行扫描,包括:对所述固件中的预设目录进行扫描以及对所述固件进行全盘扫描;对所述固件进行扫描,还包括:对所述固件进行解析、切割以及反编译。4.根据权利要求1所述的智能网联汽车APP渗透测试方法,其特征在于,对所述原始文件进行静态扫描,得到静态评估结果,包括:对所述原始文件进行反编译,得到配置文件、资源文件、签名文件以及代码文件;将所述配置文件、资源文件、签名文件以及代码文件分别与静态漏洞库中的漏洞规则匹配,进行源码安全评估,客户端安全评估,数据安全评估,动态链接库安全评估,得到静态评估结果。5.根据权利要求4所述的智能网联汽车APP渗透测试方法,其特征在于,对所述原始文件进行静态扫描,得到静态评估结果,还包括:对所述原始文件中的JAVA代码以及SO动态链接库进行反编译风险测试;对所述原始文件中的敏感关键词进行硬编码测试;对所述原始文件中的预设组件进行安全测试;对所述原始文件中的本地文件进行Drozer测试;对所述原始文件中的...
【专利技术属性】
技术研发人员:王童,罗承刚,刘永星,刘鹏,张浩然,寿晶晶,
申请(专利权)人:国汽北京智能网联汽车研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。