本发明专利技术公开了一种应用软件网络安全的检测平台和方法,所述平台中,静态分析引擎用于对于应用软件进行静态分析,解析应用软件的各个组件,获取组件的接口以及组件之间调用函数,根据应用软件组件之间的调用函数,确定应用软件的内部运行流程;查询其中存在可疑漏洞的组件;所述模拟单元,用于根据每个组件的可疑漏洞的种类,编写用于攻击相应组件的可疑漏洞的测试用例;所述动态沙盒,用于使用测试用例对应用软件的相应组件进行动态分析,并检测组件的输出,根据输出的内容和漏洞的种类判断测试用例的攻击是否有效,若有效,则组件的可疑漏洞为实际漏洞。采用上述技术方案,可以快速有效的检测到应用软件中,存在漏洞的组件和漏洞的类型。漏洞的类型。漏洞的类型。
【技术实现步骤摘要】
应用软件网络安全的检测平台和方法
[0001]本专利技术涉及应用软件网络安全
,尤其涉及一种应用软件网络安全的检测平台和方法。
技术介绍
[0002]如今,手机、平板电脑甚至手表等移动终端都已经智能化,随着人们对于移动终端便捷度和功能性的要求,支持移动终端的应用软件开始多样化和复杂化,许多功能可以直接通过移动终端的应用软件实现。
[0003]然而,由于移动终端应用软件的多样化和复杂化,导致应用软件中涉及的组件较多,每个组件之间的数据交互路径成为了新的网络攻击渠道。传统的网络攻击,大多集中在应用软件与外部进行数据交互的过程中,而应用软件内部的安全防御却被忽视了。
[0004]现有技术中,对于应用软件内部安全防御检测,通常采用的方案是,模拟针对应用软件内部组件的网络攻击,但是这种方案缺乏针对性,由于应用软件组件之间的运行路径较为复杂,并且组件之间同样存在一些安全防护措施(安全防护措辞可能不全面),因此,现有技术中的检测方案难以快速有效的检测得到存在漏洞的组件和漏洞的类型。
技术实现思路
[0005]专利技术目的:本专利技术提供一种应用软件网络安全的检测平台和方法,旨在快速有效的检测到应用软件中,存在漏洞的组件和漏洞的类型。
[0006]技术方案:本专利技术提供一种应用软件网络安全的检测方法,包括:对于应用软件进行静态分析,解析应用软件的各个组件,获取组件的接口以及组件之间调用函数;根据应用软件组件之间的调用函数,确定应用软件的内部运行流程;查询内部运行流程中关键信息经过的组件,确定相应组件的接口的安全防护措施,据此查询其中存在可疑漏洞的组件;根据每个组件的可疑漏洞的种类,编写用于攻击相应组件的可疑漏洞的测试用例;使用测试用例对应用软件的相应组件进行动态分析,并检测组件的输出,根据输出的内容和漏洞的种类判断测试用例的攻击是否有效,若有效,则组件的可疑漏洞为实际漏洞。
[0007]具体的,确定应用软件与外界进行数据交互的接口所在的对外交互组件,根据对外交互组件的调用函数查询调用的组件、调用的功能和交互的数据类型,继续根据查询得到的组件的调用函数查询调用的组件、调用的功能和交互的数据类型,由此遍历应用软件的所有组件,形成应用软件的内部运行流程;所述内部运行流程,包括组件之间调用的功能和交互的数据类型。
[0008]具体的,所述关键信息包括:安全验证信息、身份信息和资产信息。
[0009]具体的,根据应用软件的内部运行流程,确定用于验证、对外交互、记录、存储和展示所述关键信息的关键组件。
[0010]具体的,确定相应组件的接口的安全防护措施,据此查询其中存在可疑漏洞的组件,查询应用软件组件与关键组件接口交互数据的路径中的安全防护措施,若安全防护措
施与安全防护措施组合相比,缺少一种及以上的安全防护措施,或安全防护措施低于相应的标准安全等级,则认定组件存在可疑漏洞;所述安全防护措施组合:信息加密、安全验证、信息完整性识别和恶意程序识别。
[0011]具体的,根据应用软件组件与关键组件接口交互数据的路径中,缺少的安全防护措施,以及低于标准安全等级的安全防护措施,确定可疑漏洞的种类,编写用于攻击相应组件的可疑漏洞的测试用例。
[0012]具体的,在信息加密漏洞的测试用例运行中,若关键信息被窃取,则认定攻击有效;在安全验证漏洞的测试用例运行中,若关键信息被篡改,则认定攻击有效;在信息完整性识别的测试用例运行中,若关键信息被篡改,则认定攻击有效;在恶意程序识别的测试用例运行中,若恶意程序有效运行,则认定攻击有效。
[0013]本专利技术提供一种应用软件网络安全的检测平台,包括:静态分析引擎、攻击模拟单元和动态沙盒,其中:所述静态分析引擎,用于对于应用软件进行静态分析,解析应用软件的各个组件,获取组件的接口以及组件之间调用函数;根据应用软件组件之间的调用函数,确定应用软件的内部运行流程;查询内部运行流程中关键信息经过的组件,确定相应组件的接口的安全防护措施,据此查询其中存在可疑漏洞的组件;所述模拟单元,用于根据每个组件的可疑漏洞的种类,编写用于攻击相应组件的可疑漏洞的测试用例;所述动态沙盒,用于使用测试用例对应用软件的相应组件进行动态分析,并检测组件的输出,根据输出的内容和漏洞的种类判断测试用例的攻击是否有效,若有效,则组件的可疑漏洞为实际漏洞。
[0014]有益效果:与现有技术相比,本专利技术具有如下显著优点:可以快速有效的检测到应用软件中,存在漏洞的组件和漏洞的类型。
附图说明
[0015]图1为本专利技术提供的应用软件网络安全的检测方法的流程示意图。
具体实施方式
[0016]下面结合附图对本专利技术的技术方案作进一步说明。
[0017]移动终端应用软件的在现如今的日常生活中,使用频率极高,相应的应用软件网络安全也极其重要,其涉及人们的重要信息,包括身份信息和资产信息等等。因此,对于应用软件的网络安全风险管控,是十分重要的研究课题。本专利技术主要关注对于应用软件内部组件的网络安全。
[0018]参阅图1,其为本专利技术提供的应用软件网络安全的检测方法的流程示意图。
[0019]步骤1,对于应用软件进行静态分析,解析应用软件的各个组件,获取组件的接口以及组件之间调用函数。
[0020]在具体实施中,可以通过静态分析引擎对应用软件进行分析,包括对于应用软件的代码进行分析,可以分析得到应用软件中的所有组件,根据组件进而可以确定组件与组件之间进行数据交互的接口,以及组件中用于调用其他组件的功能或数据的调用函数,由此可以确定组件之间的运行路径。
[0021]步骤2,根据应用软件组件之间的调用函数,确定应用软件的内部运行流程。
[0022]在具体实施中,组件的调用函数涉及该组件调用其他组件的功能或数据(包括调
用的数据类型),根据应用软件中的一个组件的调用函数,可以查询得到该组件与其他组件之间的关系,进而可以确定应用软件组件的内部运行流程。
[0023]本专利技术实施例中,确定应用软件与外界进行数据交互的接口所在的对外交互组件,根据对外交互组件的调用函数查询调用的组件、调用的功能和交互的数据类型,继续根据查询得到的组件的调用函数查询调用的组件、调用的功能和交互的数据类型,由此遍历应用软件的所有组件,形成应用软件的内部运行流程。
[0024]本专利技术实施例中,所述内部运行流程,包括组件之间调用的功能和交互的数据类型。
[0025]在具体实施中,由于应用软件的内部运行流程往往是从应用软件与外界进行数据交互开始,因此可以首先查询应用软件与外界进行数据交互的接口,确定该接口所在的对外交互组件,根据该组件的调用函数可知其调用的组件(功能、数据等等),根据被调用的组件的调用函数继续进行查询其他被调用的组件,根据上述流程遍历应用软件所有组件,即可以形成应用软件的内部运行流程。
[0026]步骤3,查询内部运行流程中关键信息经过的组件,确定相应组件的接口的安全防护措施,据此查询其中存在可疑漏洞的组件。...
【技术保护点】
【技术特征摘要】
1.一种应用软件网络安全的检测方法,其特征在于,包括:对于应用软件进行静态分析,解析应用软件的各个组件,获取组件的接口以及组件之间调用函数;根据应用软件组件之间的调用函数,确定应用软件的内部运行流程;查询内部运行流程中关键信息经过的组件,确定相应组件的接口的安全防护措施,据此查询其中存在可疑漏洞的组件;根据每个组件的可疑漏洞的种类,编写用于攻击相应组件的可疑漏洞的测试用例;使用测试用例对应用软件的相应组件进行动态分析,并检测组件的输出,根据输出的内容和漏洞的种类判断测试用例的攻击是否有效,若有效,则组件的可疑漏洞为实际漏洞。2.根据权利要求1所述的应用软件网络安全的检测方法,其特征在于,所述根据应用软件组件之间的调用函数,确定应用软件的内部运行流程,包括:确定应用软件与外界进行数据交互的接口所在的对外交互组件,根据对外交互组件的调用函数查询调用的组件、调用的功能和交互的数据类型,继续根据查询得到的组件的调用函数查询调用的组件、调用的功能和交互的数据类型,由此遍历应用软件的所有组件,形成应用软件的内部运行流程;所述内部运行流程,包括组件之间调用的功能和交互的数据类型。3.根据权利要求2所述的应用软件网络安全的检测方法,其特征在于,所述关键信息包括:安全验证信息、身份信息和资产信息。4.根据权利要求3所述的应用软件网络安全的检测方法,其特征在于,所述查询内部运行流程中关键信息经过的组件,包括:根据应用软件的内部运行流程,确定用于验证、对外交互、记录、存储和展示所述关键信息的关键组件。5.根据权利要求4所述的应用软件网络安全的检测方法,其特征在于,所述确定相应组件的接口的安全防护措施,据此查询其中存在可疑漏洞的组件,包括:查询应用软件组件与关键组件接口交互数据的路径中的安全防护措施,若安全防护措施与安全防护措施组合相...
【专利技术属性】
技术研发人员:汪德嘉,吴皓,
申请(专利权)人:江苏通付盾科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。