CN105930273A - 一种移动应用自动化安全测试平台 - Google Patents

一种移动应用自动化安全测试平台 Download PDF

Info

Publication number
CN105930273A
CN105930273A CN201610288563.4A CN201610288563A CN105930273A CN 105930273 A CN105930273 A CN 105930273A CN 201610288563 A CN201610288563 A CN 201610288563A CN 105930273 A CN105930273 A CN 105930273A
Authority
CN
China
Prior art keywords
control station
order
mobile terminal
automatization
test platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610288563.4A
Other languages
English (en)
Inventor
黄祖源
周靖
耿贞伟
苏永东
陈何雄
薛永军
彭晓平
苏文伟
段琳
孙恒
孙恒一
郭威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center of Yunnan Power Grid Co Ltd
Original Assignee
Information Center of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center of Yunnan Power Grid Co Ltd filed Critical Information Center of Yunnan Power Grid Co Ltd
Priority to CN201610288563.4A priority Critical patent/CN105930273A/zh
Publication of CN105930273A publication Critical patent/CN105930273A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Prevention of errors by analysis, debugging or testing of software
    • G06F11/3668Testing of software
    • G06F11/3696Methods or tools to render software testable
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Prevention of errors by analysis, debugging or testing of software
    • G06F11/3668Testing of software
    • G06F11/3672Test management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种移动应用自动化安全测试平台,用于对Android应用程序的安全性进行检测,以验证Android应用程序是否符合安全规范,该平台能对安装在Android系统上的应用程序进行组件分析,通过暴露的组件,确定出攻击面,进行渗透测试,深入挖掘出应用程序存在的漏洞,其测试的覆盖范围包括认证绕过测试、SQL注入测试、数据存储的不安全以及文件系统被读取等方面。在测试过程中不需要获取手机端的root权限,可以保证以一个普通Android应用的身份与其他应用和操作系统交互。此测试平台与web界的自动化扫描工具不同,它是一种交互式的安全测试平台,在使用过程中,用户只需在自己的工作站(PC端)上输入命令,命令会通过端口的连接传递到Android设备上的代理程序执行,从而完成整个安全测试。

Description

一种移动应用自动化安全测试平台
技术领域
本发明属于软件测试领域,涉及到自动化技术领域。
背景技术
移动终端及应用程序不断在企业各个业务系统中推广,使办公不再受时间地点的限制,极大的提高了工作效率,其带来诸多便利的同时,企业信息的安全也更加受到重视。移动APP中包含的业务数据和敏感信息面临更多威胁,移动APP的安全问题日渐突出,如:移动APP在使用过程中受到跨站脚本攻击,敏感数据被窃取,代码被非法篡改,密码遭受破解等。面对这些威胁,能够找到一个快速便捷的移动应用程序安全测试方案是非常必要的。
对移动应用程序的安全测试,存在一些安全测试的工具,这些安全测试的工具,每个能够完成安全测试的一方面,但尚且没有一个比较完整的测试平台能够比较系统全面的完成安全测试各个测试点的覆盖。在另一方面,基于移动应用的不受时间和地点控制的特征,以及Android系统源代码对外开放的条件,其应用程序被破坏的几率大大提升,而软件安全测试把重点依然放在比较成熟的web安全研究,导致了移动应用安全测试技术发展缓慢。
电网公司一向很注重企业信息化建设,随着移动互联网的普及,智能终端和移动应用得到迅猛发展,企业信息化外延发展迅速,企业IT应用建设处于向移动迁移的过程中,将现有IT系统延伸到手机上,即企业级移动应用是必然的发展方向,结合云南电网的特点,为保证企业级移动应用的安全使用,配合网络互联网安全的相关规定,搭建了此移动应用自动化安全测试平台。
发明内容
根据目前移动应用安全测试的现状,没有一个比较完善的能够覆盖所有安全测试点的平台或者工具,以供企业安全测试使用。本测试平台集成了部分开源的安全测试工具,实现了在一个测试平台,对移动应用程序存在的安全问题一体化测试目的。
为了实现上述目的,本发明的一个移动应用自动化安全测试平台,本发明特征在于,包括以下几个部分:
一种移动应用自动化安全测试平台,本发明特征在于,包括以下部分:
A、移动应用自动化安全测试的控制台作为移动应用自动化安全测试平台的核心部分,运
行于PC端,实现测试人员的指令输入,以及最终测试结果的输出;
B、运行在Android设备上的代理程序,将控制台输入的命令在移动端执行,实现漏洞的
挖掘发现,是系统的基础部分;
C、控制台与代理程序之间信息交互的端口,负责控制台与代理程序之间的数据传输;
D、JDK环境,作为自动化安全测试平台的基础部分,保证控制台的命令能够被执行。
本发明位于PC端的控制台为核心部分,输入命令依赖于PC端的命令行工具;其基础部分是工作于位于移动端的代理程序,将控制台输入的命令在移动端执行,实现漏洞的挖掘发现;其通信桥梁依赖于端口,用于数据信息的传输;JDK环境用于对整个测试平台的工具提供环境支持,保证命令的正确执行。
本发明所述的控制台,包括安装在PC端的命令行程序,以及在PC端进行命令输入的命令行工具,其命令行程序实现与移动端代理程序的连接,保证从PC端输入的命令能够正常在移动端进行执行。
本发明控制台的全部输入命令是:
本发明所述的位于移动端的代理程序,是一个运行在移动端的应用程序,通过与控制台的连接,保证控制台的输入命令在移动端被执行,并且把在移动端读取的数据经过端口传送到控制台进行显示。
附图说明
图1为本发明流程图;
图2为发明结构示意图。
具体实施方式
下面结合图1对本发明做进一步详细的说明:
如图1,图2,一种移动应用自动化安全测试平台,本发明特征在于,包括以下部分:
A、移动应用自动化安全测试的控制台作为移动应用自动化安全测试平台的核心部分,运行于PC端,实现测试人员的指令输入,以及最终测试结果的输出;
B、运行在Android设备上的代理程序,将控制台输入的命令在移动端执行,实现漏洞的挖掘发现,是系统的基础部分;
C、控制台与代理程序之间信息交互的端口,负责控制台与代理程序之间的数据传输;
D、JDK环境,作为自动化安全测试平台的基础部分,保证控制台的命令能够被执行。
本发明位于PC端的控制台为核心部分,输入命令依赖于PC端的命令行工具;其基础部分是工作于位于移动端的代理程序,将控制台输入的命令在移动端执行,实现漏洞的挖掘发现;其通信桥梁依赖于端口,用于数据信息的传输;JDK环境用于对整个测试平台的工具提供环境支持,保证命令的正确执行。
本发明所述的控制台,包括安装在PC端的命令行程序,以及在PC端进行命令输入的命令行工具,其命令行程序实现与移动端代理程序的连接,保证从PC端输入的命令能够正常在移动端进行执行。
本发明控制台的全部输入命令是:
本发明所述的位于移动端的代理程序,是一个运行在移动端的应用程序,通过与控制台的连接,保证控制台的输入命令在移动端被执行,并且把在移动端读取的数据经过端口传送到控制台进行显示。
本发明通过PC端的命令行工具进行整个测试的控制,位于PC端的控制台能够依靠JDK环境,通过端口31415,将命令传递到移动端的代理程序,在移动端执行输入命令后,返回完整的测试报告,测试报告在控制台进行显示。
其中控制台的功能是作为命令输入接口,以及提供一个结果展示的作用,在控制台,测试人员可以选择自己需要测试的移动APP,查看此APP的详细版本信息,以及暴露的组件信息,在分析组件的暴露情况后,选择自己需要的攻击面,实施进一步的渗透测试,保证测试的正确性,最终的测试结果会归纳显示在控制台,汇总成一份完整的测试报告。
开放的用于控制台与代理程序进行通信的端口,是系统设置默认的端口31415,设置这个端口的目的是此端口是空闲的通信端口,可以提供随时使用而不抢占其他通道,通过端口传递的命令到达移动端的代理程序,移动端的代理程序是可以对安装在移动端的APP进行信息读取,以及相关的一些写操作的,当读取到移动端的信息后,实时的反馈回控制台,进行信息的存储,最终结果在控制台进行展示。

Claims (5)

1.一种移动应用自动化安全测试平台,其特征在于,包括以下部分:
A、移动应用自动化安全测试的控制台作为移动应用自动化安全测试平台的核心部分,运行于PC端,实现测试人员的指令输入,以及最终测试结果的输出;
B、运行在Android设备上的代理程序,将控制台输入的命令在移动端执行,实现漏洞的挖掘发现,是系统的基础部分;
C、控制台与代理程序之间信息交互的端口,负责控制台与代理程序之间的数据传输;
D、JDK环境,作为自动化安全测试平台的基础部分,保证控制台的命令能够被执行。
2.根据权利要求1所述的一种移动应用自动化安全测试平台,其特征在于,位于PC端的控制台为核心部分,输入命令依赖于PC端的命令行工具;其基础部分是工作于位于移动端的代理程序,将控制台输入的命令在移动端执行,实现漏洞的挖掘发现;其通信桥梁依赖于端口,用于数据信息的传输;JDK环境用于对整个测试平台的工具提供环境支持,保证命令的正确执行。
3.根据权利要求1或2所述的一种移动应用自动化安全测试平台,其特征在于,所述的控制台,包括安装在PC端的命令行程序,以及在PC端进行命令输入的命令行工具,其命令行程序实现与移动端代理程序的连接,保证从PC端输入的命令能够正常在移动端进行执行。
4.根据权利要求3所述的一种移动应用自动化安全测试平台,其特征在于,控制台的全部输入命令是:
命令为Run module 描述是执行一个应用程序模块;
命令为List 描述是显示当前会话所能执行的所有应用程序模块,此处隐藏了未获得相应权限的模块;
命令为Shell 描述是在设备上启动一个交互式Linux shell;
命令为Cd 描述是挂载一个特定的命名空间作为会话的根目录;
Clean 描述是移除Android设备上由测试平台存储的临时文件;
Echo 描述是在控制台打印信息;
Exit 描述是终止会话。
5.根据权利要求2或3所述的一种移动应用自动化安全测试平台,其特征在于,所述的位于移动端的代理程序,是一个运行在移动端的应用程序,通过与控制台的连接,保证控制台的输入命令在移动端被执行,并且把在移动端读取的数据经过端口传送到控制台进行显示。
CN201610288563.4A 2016-05-04 2016-05-04 一种移动应用自动化安全测试平台 Pending CN105930273A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610288563.4A CN105930273A (zh) 2016-05-04 2016-05-04 一种移动应用自动化安全测试平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610288563.4A CN105930273A (zh) 2016-05-04 2016-05-04 一种移动应用自动化安全测试平台

Publications (1)

Publication Number Publication Date
CN105930273A true CN105930273A (zh) 2016-09-07

Family

ID=56834083

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610288563.4A Pending CN105930273A (zh) 2016-05-04 2016-05-04 一种移动应用自动化安全测试平台

Country Status (1)

Country Link
CN (1) CN105930273A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106407811A (zh) * 2016-10-10 2017-02-15 合肥红珊瑚软件服务有限公司 一种sql注入漏洞定位检测系统
CN107392033A (zh) * 2017-08-30 2017-11-24 杭州安恒信息技术有限公司 一种安卓设备渗透测试系统及其自动化渗透测试方法
CN109802999A (zh) * 2018-12-28 2019-05-24 北京指掌易科技有限公司 一种通过vsa技术在pc端实现移动应用功能的方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102479152A (zh) * 2010-11-26 2012-05-30 腾讯科技(深圳)有限公司 基于Android平台获取工具自动测试结果的方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102479152A (zh) * 2010-11-26 2012-05-30 腾讯科技(深圳)有限公司 基于Android平台获取工具自动测试结果的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张刘正: "Android 系统下软件自动化测试框架(本地化平台)的研究与实现", 《中国优秀硕士论文全文数据库 信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106407811A (zh) * 2016-10-10 2017-02-15 合肥红珊瑚软件服务有限公司 一种sql注入漏洞定位检测系统
CN107392033A (zh) * 2017-08-30 2017-11-24 杭州安恒信息技术有限公司 一种安卓设备渗透测试系统及其自动化渗透测试方法
CN107392033B (zh) * 2017-08-30 2019-12-31 杭州安恒信息技术股份有限公司 一种安卓设备渗透测试系统及其自动化渗透测试方法
CN109802999A (zh) * 2018-12-28 2019-05-24 北京指掌易科技有限公司 一种通过vsa技术在pc端实现移动应用功能的方法

Similar Documents

Publication Publication Date Title
US20150242636A1 (en) Systems and methods for automated detection of application vulnerabilities
TWI575397B (zh) 利用運行期代理器及動態安全分析之應用程式逐點保護技術
US9465718B2 (en) Filter generation for load testing managed environments
US9485268B2 (en) System, method and apparatus to visually configure an analysis of a program
CN102541729A (zh) 软件安全漏洞检测装置和方法
CN113268684A (zh) 数据处理方法、装置、终端设备以及存储介质
Berger et al. An android security case study with bauhaus
CN104731566A (zh) 集成开发环境测试装置、方法及系统
CN105930273A (zh) 一种移动应用自动化安全测试平台
CN103729293A (zh) 一种基于uml活动图的gui测试方法
Cope Strong security starts with software development
US20080222610A1 (en) Intelligent Processing Tools
Schindler et al. Privacy leak identification in third-party android libraries
CN109558328A (zh) 一种代码覆盖率的测试方法、系统、装置及可读存储介质
CN107832176A (zh) 一种Windows下硬盘压力自动测试方法及系统
US20140057231A1 (en) Break-fix simulator
Al-Ahmad et al. Mobile cloud computing applications penetration testing model design
CN107798244A (zh) 一种检测远程代码执行漏洞的方法及装置
Khan et al. A literature review on software testing techniques for smartphone applications
US20160188443A1 (en) Testing application internal modules with instrumentation
US20160004630A1 (en) Opportunistic error injection
CN110795330A (zh) 一种Monkey压力测试的方法和装置
CN111782557B (zh) 一种web应用权限的测试方法及其系统
Motan et al. Android app testing: A model for generating automated lifecycle tests
Kim et al. Effective mobile applications testing strategies

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160907