CN107766720A - 对应用程序进行审计的系统、方法、装置及测试设备 - Google Patents
对应用程序进行审计的系统、方法、装置及测试设备 Download PDFInfo
- Publication number
- CN107766720A CN107766720A CN201610695644.6A CN201610695644A CN107766720A CN 107766720 A CN107766720 A CN 107766720A CN 201610695644 A CN201610695644 A CN 201610695644A CN 107766720 A CN107766720 A CN 107766720A
- Authority
- CN
- China
- Prior art keywords
- application program
- audited
- devices under
- security audit
- set commands
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本申请提供一种对应用程序进行安全审计的系统、方法、装置及测试设备,该方法包括:与被测试设备建立通信连接;通过所述通信连接向被测试设备传输预设命令,以使所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;接收所述被测试设备对所述待审计应用程序进行安全审计的结果。在本申请的技术方案可以实现通过预设命令的方式将测试设备侧和被测试设备侧的操作合并为测试设备侧的操作,将多次重复繁琐的操作简化为一次操作,提高被测试设备上的待审计应用程序的审计效率。
Description
技术领域
本申请涉及安全技术领域,尤其涉及一种对应用程序进行审计的系统、方法、装置及测试设备。
背景技术
在iOS应用审计的过程中,例如,为确认应用程序(APP)是否在钥匙串(keychain)中存储了敏感信息,安全审计人员需要通过控制手机端执行一个可执行文件(keychaindump程序),以获取钥匙串信息,然后再切换到电脑端,在电脑端从手机端下载钥匙串信息,最后在电脑端从钥匙串信息中搜索是否有敏感信息,该过程需要安全审计人员在手机端和电脑端多次来回操作。
发明内容
本申请提供一种新的技术方案,可以在对待审计应用程序进行安全审计的过程中,将测试设备侧和被测试设备侧的操作合并为测试设备侧的操作,将多次重复繁琐的操作简化为一次操作。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种对应用程序进行审计的系统,包括:测试设备和被测试设备,所述被测试设备上安装有待审计应用程序,所述测试设备与所述被测试设备之间建立通信连接;所述测试设备通过所述通信连接向所述被测试设备传输预设命令;所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;所述测试设备接收所述被测试设备对所述待审计应用程序进行安全审计的结果。
根据本申请的第二方面,提出了一种对应用程序进行审计的方法,包括:被测试设备建立通信连接;通过所述通信连接向被测试设备传输预设命令,所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;接收所述被测试设备对所述待审计应用程序进行安全审计的结果。
根据本申请的第三方面,提出了一种对应用程序进行审计的方法,包括:与测试设备建立通信连接;通过所述通信连接接收来自所述测试设备传输的预设命令;通过执行所述预设命令对所述待审计应用程序进行安全审计;向所述测试设备发送对所述待审计应用程序进行安全审计的结果。
根据本申请的第四方面,提出了一种对应用程序进行审计的装置,包括:道建立单元,用于与被测试设备建立通信连接;命令传输单元,用于通过所述通道建立单元建立的所述通信连接向被测试设备传输预设命令,所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;结果接收单元,用于接收所述被测试设备根据所述命令传输单元传输的所述预设命令对所述待审计应用程序进行安全审计的结果。
根据本申请的第五方面,提出了一种对应用程序进行审计的装置,待审计应用程序安装在被测试设备上,包括:第二通道建立单元,用于与测试设备建立通信连接;命令接收单元,用于通过所述第二通道建立单元建立的所述通信连接接收来自所述测试设备传输的预设命令;命令执行单元,用于通过执行所述命令接收单元接收到的所述预设命令对所述待审计应用程序进行安全审计;结果发送单元,用于向所述测试设备发送所述命令执行单元对所述待审计应用程序进行安全审计的结果。
根据本申请的第五方面,提出了一种测试设备,待审计应用程序安装在被测试设备上,所述测试设备包括:
处理器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器,用于与被测试设备建立通信连接;通过所述通信连接向被测试设备传输预设命令,所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;接收所述被测试设备对所述待审计应用程序进行安全审计的结果。
根据本申请的第六方面,提出了一种被测试设备,待审计应用程序安装在被测试设备上,所述测试设备包括:
处理器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器,用于与测试设备建立通信连接;通过所述通信连接接收来自所述测试设备传输的预设命令;通过执行所述预设命令对所述待审计应用程序进行安全审计;向所述测试设备发送对所述待审计应用程序进行安全审计的结果。
由以上技术方案可见,本申请实现了通过预设命令的方式将测试设备侧和被测试设备侧的操作合并为测试设备侧的操作,提高被测试设备上的待审计应用程序的审计效率。
附图说明
图1示出了根据本发明的一示例性实施例的对应用程序进行审计的系统的结构图;
图2示出了根据本发明的一示例性实施例的对应用程序进行审计的方法的流程示意图;
图3示出了根据本发明的又一示例性实施例的对应用程序进行审计的方法的流程示意图;
图4示出了根据本发明的再一示例性实施例的对应用程序进行审计的方法的流程示意图;
图5示出了根据本发明的另一示例性实施例的对应用程序进行审计的方法的流程示意图;
图6示出了根据本发明的一示例性实施例的对应用程序进行审计的装置的结构示意图;
图7示出了根据本发明的又一示例性实施例的对应用程序进行审计的装置的结构示意图;
图8示出了根据本发明的一示例性实施例的测试设备的结构示意图;
图9示出了根据本发明的一示例性实施例的被测试设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请涉及到的基本概念:
安全审计(security audit),指由安全审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,做出相应评价,以评价计算机网络环境的安全性。
安全外壳协议(Secure Shell,简称为SSH),指为远程登录会话和其他网络服务提供安全性的协议,利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
图1示出了根据本发明的一示例性实施例的对应用程序进行审计的系统的结构图;如图1所示,对应用程序进行审计的系统包括:个人计算机(Personal Computer,简称为PC)11和智能手机12,其中,PC11可以视为本申请中的测试设备并可执行本申请提供的对应用程序进行审计的方法,智能手机12可以视为本申请中的被测试设备,智能手机12上能正常安装和运行需要被审计的应用程序(APP)。PC11可以对iOS系统下的应用程序通过逆向、破解、中间人攻击测试等技术手段,对iOS App的安全性进行全方位测试,发现iOS App的安全漏洞,评估其安全级别,进而提出关于iOS APP的安全建议和修复方案。
其中,PC11通过通信连接向智能手机12传输预设命令;智能手机12通过执行预设命令对待审计应用程序进行安全审计;PC11接收被测试设备对待审计应用程序进行安全审计的结果。
进一步地,PC11可以周期性检测是否有预设命令输入,在检测到有预设命令输入时,将预设命令与预设列表中的命令进行匹配,得到匹配结果,根据匹配结果,确定是否需要执行通过通信连接向智能手机12传输预设命。
进一步地,PC11在接收到安全审计的结果后,确定安全审计的结果是否为预设格式,当安全审计的结果不为预设格式时,将安全审计的结果进行格式化处理成预设格式并展示。
本实施例中,实现了通过预设命令的方式将PC11侧和智能手机12侧的操作合并为测试设备侧的操作,提高了被测试设备上的待审计应用程序的审计效率。
为对本申请进行进一步说明,提供下列实施例:
图2示出了根据本发明的一示例性实施例的对应用程序进行审计的方法的流程示意图;本实施例可以执行在上述图1所示的PC11上,本实施例结合图1进行示例性说明,其中,待审计应用程序安装在被测试设备上,如图2所示,包括如下步骤:
步骤201,与被测试设备建立通信连接。
在一实施例中,该通信连接可以为通信信道并且通信息到为可信信道,可以通过安全外壳协议(Secure Shell,简称为SSH)实现PC11的认证以及与智能手机12之间建立通信信道,PC11与智能手机12基于SSH协议建立可信的通信连接的过程可以参见现有技术的描述,在此不再详述。PC11向智能手机12发起连接请求时,PC11上安装的客户端能确认智能手机12的身份,确保不被中间人攻击。
步骤202,通过通信连接向被测试设备传输预设命令,以使被测试设备通过执行预设命令对待审计应用程序进行安全审计。
在一实施例中,预设命令可以为对被测试设备上的应用程序进行安全审计的操作命令,可以根据安全审计人员的具体测试需求来设计,本申请对预设命令的具体名称不做限制。在一实施例中,当被测试设备接收到预设命令后,会对预设命令进行解析并执行预设命令,得到安全审计的结果。
步骤203,接收被测试设备对待审计应用程序进行安全审计的结果。
在一实施例中,安全审计的结果可以为文件,也可以是字符串。
在一示例性场景中,以预设命令为dipa命令为例进行示例性说明,dipa命令可以将智能手机12解密得到的ipa文件下载到PC11本地,ipa文件是智能手机12的iOS系统上的应用安装文件,ipa文件中至少包含一个binary文件和其他资源文件(例如,图片等),任何一个从应用商店(App Store)下载的应用程序,其binary文件都是经过加密的,而本申请通过在PC11侧输入dipa命令,通过通信连接向智能手机12传输dipa命令,可以使智能手机12将已加密的binary解密,并将整个ipa文件从智能手机12下载到PC11,此处整个ipa文件可视为本申请所述的安全审计的结果。
由上述描述可知,本发明实施例通过上述步骤201-步骤203,实现了通过预设命令的方式将测试设备侧和被测试设备侧的操作合并为测试设备侧的操作,提高了被测试设备上的待审计应用程序的审计效率。
图3示出了根据本发明的又一示例性实施例的对应用程序进行审计的方法的流程示意图;本实施例在上述实施例的基础上,以如何根据预设命令的类型来确定是在远程执行预设命令还是在本地执行预设命令为例并结合图 1进行示例性说明,如图3所示,包括如下步骤:
步骤301,周期性检测是否有命令输入,在检测到有预设命令输入时,执行步骤302,在未检测到有预设命令输入时,继续周期性检测。
在一实施例中,PC11可以处于监听命令输入的状态。
步骤302,在检测到有预设命令输入时,将预设命令与预设列表中的命令进行匹配,得到匹配结果。
在一实施例中,预设列表可以记录对应用程序进行安全审计所使用的命令,预设列表还用于记录每一记命令对应的类型,例如本地命令或者远程命令,预设列表可以参见表1。
表1
| 序号 | 命令名称 | 命令的类型 |
| 1 | “ab”命令 | 远程命令 |
| 2 | nonfat命令 | 本地命令 |
| … | … | … |
步骤303,根据匹配结果确定预设命令的类型,如果预设命令的类型为远程命令,执行步骤304,如果预设命令的类型为本地命令,执行步骤305,如果预设命令的类型为本地命令。
在一实施例中,例如,匹配结果表示该预设命令为“ab”命令,则根据上述表1所示的预设列表,可以通过查找预设列表找到该“ab”命令的类型为远程命令。
步骤304,如果预设命令的类型为远程命令,则确定需要执行通过通信连接向被测试设备传输预设命令的步骤,进一步可以通过上述图2所示流程对被审计应用程序进行审计,对于远程命令的相关描述本实施例不再详述。
步骤305,如果预设命令的类型为本地命令,则在本地执行预设命令。
当预设命令的类型为本地命令时,在一示例性场景中,以预设命令为nonfat命令为例进行示例性说明,例如,PC11在检测到nonfat(对binary进行瘦身)命令时,由于待审计应用程序至少对应一个binary文件,即可执行文件,而每个binary文件通常都会支持多种架构(architecture),例如,支持armv7和arm64,会导致binary文件变大,不便于安全审计的分析,而对于安全审计人员来说,只需要拿到binary文件支持的其中一个架构的代码即可满足安全审计的需求,因此本申请通过nonfat命令能够把binary文件中多余的架构支持代码抹除,只留下其中一种架构支持代码,从而便于分析。
本实施例中,在检测到有预设命令输入时,将预设命令与预设列表中的命令进行匹配,得到匹配结果,根据匹配结果确定预设命令的类型,无论预设命令的类型为远程命令还是本地命令,均可以在测试设备侧完成对待审计应用程序的安全审计,避免了在被测试设备侧的手动操作。
图4示出了根据本发明的再一示例性实施例的对应用程序进行审计的方法的流程示意图;本实施例在上述实施例的基础上,以如何通过文件传输服务传输安全审计的结果为例并结合图1进行示例性说明,如图4所示,包括如下步骤:
步骤401,通过通信连接启动被测试设备的文件传输服务。
步骤402,通过通信连接向被测试设备传输预设命令,以使被测试设备通过执行预设命令对待审计应用程序进行安全审计。
步骤402的描述可以参见上述图2所示实施例的描述,在此不再详述。
步骤403,接收被测试设备基于文件传输服务对待审计应用程序进行安全审计的结果。
在一实施例中,当预设命令需要在PC11侧和智能手机12侧之间传输文件时,通过启动一个文件传输服务,从而可以将智能手机12在执行命令后得到的文件传输到PC11侧,以dipa命令为例进行说明,智能手机12需要把ipa文件解密、打包,然后把ipa文件从智能手机12侧传输到PC11侧。
步骤404,确定安全审计的结果是否为预设格式。
步骤405,当安全审计的结果不为预设格式时,将安全审计的结果进行格式化处理成预设格式并展示。
在一实施例中,安全审计的结果可以以文件的方式传输至PC11侧,也可以以字符串的方式传输至PC11侧,PC11接收到安全设计的结果后,为了方便安全审计人员阅读和理解,可以将安全审计的结果格式化成预设格式。在一实施例中,预设格式可以由PC11侧的客户端来确定,例如本文的方式,本申请对预设格式的具体形式不做限制,只要能够方便安全审计人员查看安全审计的结果即可。
本实施例中,通过启动一个文件传输服务,从而可以将被测试设备在执行命令后得到的文件传输到测试设备;通过将安全审计的结果格式化成预设格式,可以方便安全审计人员查看安全审计的结果。
图5示出了根据本发明的另一示例性实施例的对应用程序进行审计的方法的流程示意图;本实施例可以执行在上述图1所示的智能手机12上,本实施例结合图1进行示例性说明,其中,待审计应用程序安装在被测试设备上,如图5所示,包括如下步骤:
步骤501,与测试设备建立通信连接;
步骤502,通过通信连接接收来自测试设备传输的预设命令;
步骤503,通过执行预设命令对待审计应用程序进行安全审计;
步骤504,向测试设备发送对待审计应用程序进行安全审计的结果。
关于被测试设备执行预设命令的描述可以参见上述图1-图4中任一实施例中的相关描述,本实施例不再详述。
可选的,在图5所示实施例的基础上,对应用程序进行审计的方法还包括:
通过通信连接启动文件传输服务;
向测试设备发送对待审计应用程序进行安全审计的结果,包括:
基于文件传输服务,向测试设备发送对待审计应用程序进行安全审计的结果。
图6示出了根据本发明的一示例性实施例的对应用程序进行审计的装置的结构示意图;待审计应用程序安装在被测试设备上,如图6所示,对应用程序进行审计的装置可包括:第一通道建立单元61、命令传输单元62、结果接收单元63;其中:
第一通道建立单元61,用于与被测试设备建立通信连接;
命令传输单元62,用于通过第一通道建立单元61建立的通信连接向被测试设备传输预设命令,以使被测试设备通过执行预设命令对待审计应用程序进行安全审计;
结果接收单元63,用于接收被测试设备根据命令传输单元62传输的预设命令对待审计应用程序进行安全审计的结果。
可选的,装置还包括:
检测单元64,用于周期性检测是否有预设命令输入;
匹配单元65,用于在检测单元64检测到有预设命令输入时,将预设命令与预设列表中的命令进行匹配,得到匹配结果;
根据匹配单元65得到的匹配结果,确定命令传输单元62是否需要执行通过通信连接向被测试设备传输预设命令的步骤。
可选的,装置还包括:
类型确定单元66,用于根据匹配单元65得到的匹配结果确定预设命令的类型;
如果类型确定单元66确定预设命令的类型为远程命令,则确定命令传输单元需要执行通过通信连接向被测试设备传输预设命令的步骤;
本地执行单元67,用于如果类型确定单元66确定预设命令的类型为本地命令,则在本地执行预设命令。
可选的,装置还包括:
格式确定单元68,用于确定结果接收单元63接收到的安全审计的结果是否为预设格式;
格式处理单元69,用于当格式确定单元68确定安全审计的结果不为预设格式时,将安全审计的结果进行格式化处理成预设格式并展示。
可选的,装置还包括:
服务启动单元70,用于通过通道建立单元61建立的通信连接启动被测试设备的文件传输服务;
结果接收单元63用于接收被测试设备基于文件传输服务对待审计应用程序进行安全审计的结果。
图7示出了根据本发明的又一示例性实施例的对应用程序进行审计的装置的结构示意图;待审计应用程序安装在被测试设备上,如图7所示,对应用程序进行审计的装置可包括:第二通道建立单元71、命令接收单元72、命令执行单元73、结果发送单元74;其中:
第二通道建立单元71,用于与测试设备建立通信连接;
命令接收单元72,用于通过第二通道建立单元71建立的通信连接接收来自测试设备传输的预设命令;
命令执行单元73,用于通过执行命令接收单元72接收到的预设命令对待审计应用程序进行安全审计;
结果发送单元74,用于向测试设备发送命令执行单元73对待审计应用程序进行安全审计的结果。
可选的,装置还包括:
启动服务单元75,用于通过第二通道建立单元71建立的通信连接启动文件传输服务;
结果发送单元74包括:
发送子单元741,用于基于启动服务单元75启动的文件传输服务,向测试设备发送对待审计应用程序进行安全审计的结果。
对应于上述图2-图4任一实施例提供的对应用程序进行审计的方法,本申请还提出了图8所示的根据本发明的一示例性实施例的测试设备的示意结构图。请参考图8,在硬件层面,该测试设备可包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上实现上述对应用程序进行审计的装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
其中,处理器,用于与被测试设备建立通信连接;通过通信连接向被测试设备传输预设命令,以使被测试设备通过执行预设命令对待审计应用程序进行安全审计,其中,待审计应用程序安装在被测试设备上;接收被测试设备对待审计应用程序进行安全审计的结果。
对应于上述图5实施例提供的对应用程序进行审计的方法,本申请还提出了图9所示的根据本发明的一示例性实施例的被测试设备的示意结构图。请参考图9,在硬件层面,该被测试设备可包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上实现上述对应用程序进行审计的装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
其中,处理器,用于与测试设备建立通信连接;通过所述通信连接接收来自所述测试设备传输的预设命令;通过执行所述预设命令对所述待审计应用程序进行安全审计;向所述测试设备发送对所述待审计应用程序进行安全审计的结果。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种对应用程序进行安全审计的系统,其特征在于,所述系统包括:测试设备和被测试设备,所述被测试设备上安装有待审计应用程序,所述测试设备与所述被测试设备之间建立通信连接;
所述测试设备通过所述通信连接向所述被测试设备传输预设命令;
所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;
所述测试设备接收所述被测试设备对所述待审计应用程序进行安全审计的结果。
2.根据权利要求1所述的系统,其特征在于,
所述测试设备周期性检测是否有所述预设命令输入;
在检测到有所述预设命令输入时,将所述预设命令与预设列表中的命令进行匹配,得到匹配结果;
根据所述匹配结果,确定是否需要执行所述通过所述通信连接向被测试设备传输预设命令。
3.根据权利要求1所述的系统,其特征在于,
所述测试设备在接收到所述安全审计的结果后,确定所述安全审计的结果是否为预设格式,当所述安全审计的结果不为预设格式时,将所述安全审计的结果进行格式化处理成所述预设格式并展示。
4.一种对应用程序进行安全审计的方法,其特征在于,待审计应用程序安装在被测试设备上,所述方法包括:
与被测试设备建立通信连接;
通过所述通信连接向被测试设备传输预设命令,以使所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;
接收所述被测试设备对所述待审计应用程序进行安全审计的结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
确定所述安全审计的结果是否为预设格式;
当所述安全审计的结果不为预设格式时,将所述安全审计的结果进行格式化处理成所述预设格式并展示。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
周期性检测是否有所述预设命令输入;
在检测到有所述预设命令输入时,将所述预设命令与预设列表中的命令进行匹配,得到匹配结果;
根据所述匹配结果,确定是否需要执行所述通过所述通信连接向被测试设备传输预设命令的步骤。
7.根据权利要求6所述的方法,其特征在于,所述根据所述匹配结果,确定是否需要执行所述通过所述通信连接向被测试设备传输预设命令的步骤,包括:
根据所述匹配结果确定所述预设命令的类型;
如果所述预设命令的类型为远程命令,则确定需要执行所述通过所述通信连接向被测试设备传输预设命令的步骤;
如果所述预设命令的类型为本地命令,则在本地执行所述预设命令。
8.根据权利要求4所述的方法,其特征在于,所述方法还包括:
通过所述通信连接启动所述被测试设备的文件传输服务;
所述接收所述被测试设备对所述待审计应用程序进行安全审计的结果,包括:
接收所述被测试设备基于所述文件传输服务对所述待审计应用程序进行安全审计的结果。
9.根据权利要求4所述的方法,其特征在于,所述通信连接为通信信道并且所述通信信道为可信信道。
10.根据权利要求9所述的方法,其特征在于,所述通信信道通过SSH建立。
11.一种对应用程序进行安全审计的方法,其特征在于,待审计应用程序安装在被测试设备上,所述方法包括:
与测试设备建立通信连接;
通过所述通信连接接收来自所述测试设备传输的预设命令;
通过执行所述预设命令对所述待审计应用程序进行安全审计;
向所述测试设备发送对所述待审计应用程序进行安全审计的结果。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
通过所述通信连接启动文件传输服务;
所述向所述测试设备发送对所述待审计应用程序进行安全审计的结果,包括:
基于所述文件传输服务,向所述测试设备发送对所述待审计应用程序进行安全审计的结果。
13.一种对应用程序进行安全审计的装置,其特征在于,待审计应用程序安装在被测试设备上,所述装置包括:
第一通道建立单元,用于与被测试设备建立通信连接;
命令传输单元,用于通过所述第一通道建立单元建立的所述通信连接向被测试设备传输预设命令,以使所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;
结果接收单元,用于接收所述被测试设备根据所述命令传输单元传输的所述预设命令对所述待审计应用程序进行安全审计的结果。
14.一种对应用程序进行安全审计的装置,其特征在于,待审计应用程序安装在被测试设备上,所述装置包括:
第二通道建立单元,用于与测试设备建立通信连接;
命令接收单元,用于通过所述第二通道建立单元建立的所述通信连接接收来自所述测试设备传输的预设命令;
命令执行单元,用于通过执行所述命令接收单元接收到的所述预设命令对所述待审计应用程序进行安全审计;
结果发送单元,用于向所述测试设备发送所述命令执行单元对所述待审计应用程序进行安全审计的结果。
15.一种测试设备,其特征在于,待审计应用程序安装在被测试设备上,所述测试设备包括:
处理器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器,用于与被测试设备建立通信连接;通过所述通信连接向被测试设备传输预设命令,以使所述被测试设备通过执行所述预设命令对所述待审计应用程序进行安全审计;接收所述被测试设备对所述待审计应用程序进行安全审计的结果。
16.一种被测试设备,其特征在于,待审计应用程序安装在所述被测试设备上,所述被测试设备包括:
处理器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器,用于与测试设备建立通信连接;通过所述通信连接接收来自所述测试设备传输的预设命令;通过执行所述预设命令对所述待审计应用程序进行安全审计;向所述测试设备发送对所述待审计应用程序进行安全审计的结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610695644.6A CN107766720A (zh) | 2016-08-19 | 2016-08-19 | 对应用程序进行审计的系统、方法、装置及测试设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610695644.6A CN107766720A (zh) | 2016-08-19 | 2016-08-19 | 对应用程序进行审计的系统、方法、装置及测试设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107766720A true CN107766720A (zh) | 2018-03-06 |
Family
ID=61263226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610695644.6A Pending CN107766720A (zh) | 2016-08-19 | 2016-08-19 | 对应用程序进行审计的系统、方法、装置及测试设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107766720A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210366054A1 (en) * | 2020-05-19 | 2021-11-25 | Kpmg Llp | System and method for embedding a data analytics system in a third party native environment |
| CN116107911A (zh) * | 2023-03-29 | 2023-05-12 | 杭州海康威视数字技术股份有限公司 | 基于事件重放的隐私合规自动化审计方法、装置及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1963785A (zh) * | 2006-12-12 | 2007-05-16 | 北京中星微电子有限公司 | 软件测试系统和软件测试方法 |
| CN104537308A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 提供应用安全审计功能的系统及方法 |
| CN104699616A (zh) * | 2015-03-31 | 2015-06-10 | 北京奇虎科技有限公司 | 一种应用测试的方法、装置及系统 |
| CN104978258A (zh) * | 2014-04-01 | 2015-10-14 | 中国银联股份有限公司 | 软件自动化测试方法及系统 |
| CN105487966A (zh) * | 2014-09-17 | 2016-04-13 | 腾讯科技(深圳)有限公司 | 程序测试方法、装置及系统 |
| CN105653943A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | Android应用的日志审计方法及系统 |
-
2016
- 2016-08-19 CN CN201610695644.6A patent/CN107766720A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1963785A (zh) * | 2006-12-12 | 2007-05-16 | 北京中星微电子有限公司 | 软件测试系统和软件测试方法 |
| CN104978258A (zh) * | 2014-04-01 | 2015-10-14 | 中国银联股份有限公司 | 软件自动化测试方法及系统 |
| CN105487966A (zh) * | 2014-09-17 | 2016-04-13 | 腾讯科技(深圳)有限公司 | 程序测试方法、装置及系统 |
| CN104537308A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 提供应用安全审计功能的系统及方法 |
| CN104699616A (zh) * | 2015-03-31 | 2015-06-10 | 北京奇虎科技有限公司 | 一种应用测试的方法、装置及系统 |
| CN105653943A (zh) * | 2015-12-24 | 2016-06-08 | 北京奇虎科技有限公司 | Android应用的日志审计方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210366054A1 (en) * | 2020-05-19 | 2021-11-25 | Kpmg Llp | System and method for embedding a data analytics system in a third party native environment |
| US11941705B2 (en) * | 2020-05-19 | 2024-03-26 | Kpmg Llp | System and method for embedding a data analytics system in a third party native environment |
| CN116107911A (zh) * | 2023-03-29 | 2023-05-12 | 杭州海康威视数字技术股份有限公司 | 基于事件重放的隐私合规自动化审计方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110336810B (zh) | 信息分享方法、平台、计算设备及存储介质 | |
| CN105207775B (zh) | 验证信息的读取方法及装置 | |
| JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| CN110209583B (zh) | 安全测试方法、装置、系统、设备和存储介质 | |
| CN104715195B (zh) | 基于动态插桩的恶意代码检测系统及方法 | |
| CN106412024B (zh) | 一种页面获取方法和装置 | |
| CN104881602B (zh) | 无人参与且安全的设备授权 | |
| CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
| CN104919467B (zh) | 控制对网络驱动器的访问的方法和网络驱动器系统 | |
| CN111813696B (zh) | 应用测试方法、装置、系统及电子设备 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN102215254A (zh) | 安全提供用户对计算机设备远程管理许可的会话密钥信息 | |
| CN103544449B (zh) | 基于分级控制的文件流转方法及系统 | |
| CN103973715B (zh) | 一种云计算安全系统和方法 | |
| CN108076056A (zh) | 云服务器登录方法及装置 | |
| CN106919811A (zh) | 文件检测方法和装置 | |
| CN107623698A (zh) | 远程调试网络设备方法和装置 | |
| CN107046495A (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| CN110290154A (zh) | 一种非法外联检测设备、方法与存储介质 | |
| CN107733853A (zh) | 页面访问方法、装置、计算机和介质 | |
| CN106357601A (zh) | 数据访问方法、装置及系统 | |
| CN107122685A (zh) | 一种大数据安全存储方法和设备 | |
| CN106790291A (zh) | 一种入侵检测提示方法及装置 | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN107766720A (zh) | 对应用程序进行审计的系统、方法、装置及测试设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |
|
| RJ01 | Rejection of invention patent application after publication |