CN109446053A - 应用程序的测试方法、计算机可读存储介质及终端 - Google Patents
应用程序的测试方法、计算机可读存储介质及终端 Download PDFInfo
- Publication number
- CN109446053A CN109446053A CN201811017022.3A CN201811017022A CN109446053A CN 109446053 A CN109446053 A CN 109446053A CN 201811017022 A CN201811017022 A CN 201811017022A CN 109446053 A CN109446053 A CN 109446053A
- Authority
- CN
- China
- Prior art keywords
- application program
- message
- encryption method
- password
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephone Function (AREA)
Abstract
本发明属于信息安全技术领域,尤其涉及一种应用程序的测试方法、计算机可读存储介质及终端。所述测试方法包括:获取应用程序生成的登录报文;判断所述登录报文是否为密文形式的报文;若所述登录报文为密文形式的报文,则确定所述应用程序生成所述登录报文时调用的加密方法;对所述加密方法进行挂钩Hook,以在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息;进行所述应用程序的登录测试;应用本发明进行应用程序测试无需对应用程序的加密方法进行逆向分析,能够大大降低应用程序的测试难度。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种应用程序的测试方法、计算机可读存储介质及终端。
背景技术
目前,在应用程序的开发过程中,开发人员经常需要进行一些应用程序的破解测试,以便于从入侵者的角度了解相应的攻击手段和攻击原理,从而有利于有的放矢的对攻击手段采取对应的防护措施。例如,开发人员经常需要进行弱口令测试,即利用暴力破解的方式来测试一个口令字典中是否包括了能够成功登录应用程序的口令信息。
然而,为了保障用户的信息安全,大部分的客户端应用程序(例如安卓系统的app)在登录时都采用了加密机制,即对用户提交的关键信息进行加密处理,例如,对用户登录时输入的用户名和密码等信息进行加密。随着加密技术的发展,相应的加密保护措施越来越复杂,例如,从早期的SSL(Secure Sockets Layer,安全套接层)传输,发展到目前的关键参数加密、全报文加密,外加校验值、参数签名等等多种加密保护手段。上述加密机制等保护措施的提升,特别是对于一些非标准的加密算法,在进行测试时需要耗费大量的精力和手段用于加密逻辑的逆向分析中以得到加密前的明文,这无疑提高了应用程序的测试难度。
发明内容
有鉴于此,本发明提供了一种应用程序的测试方法、计算机可读存储介质及终端,以解决现有技术中采用了数据加密保护措施的应用程序测试难度高的问题。
本发明的第一方面提供了一种应用程序的测试方法,可以包括:
获取应用程序生成的登录报文;
判断所述登录报文是否为密文形式的报文;
若所述登录报文为密文形式的报文,则确定所述应用程序生成所述登录报文时调用的加密方法;
对所述加密方法进行挂钩Hook,以在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息;
进行所述应用程序的登录测试。
基于本发明的第一方面,在第一方面第一种可能的实现方式中,所述确定所述应用程序生成所述登录报文时调用的加密方法,包括:
对所述应用程序进行反编译,得到所述应用程序的源码;
从所述源码中定位所述应用程序进行登录报文发送操作之前的逻辑代码;
从所述逻辑代码包括的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
基于本发明的第一方面,在第一方面第二种可能的实现方式中,所述确定所述应用程序生成所述登录报文时调用的加密方法,包括:
对所述应用程序进行动态二进制插桩,以获取所述应用程序进行登录报文发送操作之前调用的方法;
从所述调用的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
基于本发明的第一方面,在第一方面第三种可能的实现方式中,所述判断所述登录报文是否为密文形式的报文,包括:
判断所述登录报文是否与预设的正则表达式相匹配;
若所述登录报文不与所述正则表达式相匹配,则判定所述登录报文为密文形式的报文。
基于本发明的第一方面,在第一方面第四种可能的实现方式中,所述正则表达式为:
[a-zA-Z]{2,10}.=[a-zA-Z0-9_-]{2,16}.&[a-zA-Z]{2,10}.=[a-zA-Z0-9]{2,16}
其中,[]用于匹配其所包含的任意字符,{}用于限定其之前的[]中的字符个数,.=用于匹配单个字符=,.&用于匹配单个字符&。
基于本发明的第一方面,在第一方面第五种可能的实现方式中,所述在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息,包括:
依次读取预设的口令字典中的口令信息;
在所述加密方法每次被调用时,将所述加密方法的传入参数的值替换为本次读取的口令信息。
基于本发明的第一方面,在第一方面第六种可能的实现方式中,所述依次读取预设的口令字典中的口令信息,包括:
根据所述口令信息的安全强度,依次读取预设的口令字典中所述安全强度小于预设值的口令信息。
基于本发明的第一方面,在第一方面第七种可能的实现方式中,所述口令信息的安全强度根据下式得到:
H=L×log2N
其中,H表示所述口令信息的安全强度,L表示所述口令信息包含的字符个数,N表示所述口令信息包含的字符种类个数。
本发明的第二方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如上述本发明第一方面及第一方面任一种可能的实现方式所述的应用程序的测试方法的步骤。
本发明的第三方面提供了一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令,所述处理器执行所述计算机可读指令时实现如上述本发明第一方面及第一方面任一种可能的实现方式所述的应用程序的测试方法。
本发明与现有技术相比存在的有益效果是:
通过获取应用程序生成的登录报文,并判断该登录报文是否为密文形式的报文,来确定应用程序在进行数据处理时是否采用了加密保护措施,当采用了加密保护措施时,进一步确定应用程序调用的加密方法;通过对应用程序调用的加密方法进行挂钩Hook,达到对该加密方法的动态跟踪的目的,从而在该加密方法被调用时,能够实时获取到该加密方法的入参,并读取预设的口令字典中的口令信息来对获取到的入参的值进行替换;由于获取到的入参的值即为应用程序的登录口令,通过上述替换使得登录口令在被加密之前即被替换为待测试的口令字典中的口令信息,因此无需进行对应用程序的加密方法的逆向分析,从而大大降低了应用程序的测试难度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中一种应用程序的测试方法的一个实施例流程图;
图2为本发明实施例中一种应用程序的测试方法的另一个实施例流程图;
图3为本发明实施例中一种应用程序的测试装置的一个实施例结构图;
图4为本发明实施例中一种终端的示意框图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,本发明实施例中一种应用程序的测试方法的一个实施例可以包括:
在步骤S101中、获取应用程序生成的登录报文。
在本发明实施例中,首先获取应用程序生成的登录报文,报文(message)是指网络中交换与传输的数据单元,即应用程序或者网站一次性要发送的数据块。报文一般包含了将要发送的完整的数据信息,例如,登录报文包含了要发送的完整的登录口令信息。
通常的,应用程序提供登录口令输入界面,登录口令包括用户名和密码,应用程序接收用户在登录口令输入界面输入的用户名和密码,并对接收到的数据进行处理,生成登录报文;该登录报文用于提交给服务器,以便于服务器根据该登录报文判断应用程序的本次登录是否合法,若合法,则向应用程序返回登录成功的响应,若非法,则向应用程序返回登录失败的响应。
在实际应用中,可以通过抓包工具来拦截和查看应用程序生成的登录报文,例如,通过抓包工具Fiddler来抓取支持http代理的任意应用程序的数据包。
在步骤S102中、判断所述登录报文是否为密文形式的报文。
本发明实施例中,在获取到应用程序生成的登录报文之后,需要判断获取到的登录报文是否为密文形式的报文,也即判断应用程序在生成登录报文时是否进行了加密操作;如果获取到的登录报文为明文形式的报文,则可以直接替换相应的参数来进行登录测试;如果获取到的登录报文为密文形式的报文,则无法通过直接替换相应的参数来进行登录测试。
具体的,登录报文实际上是一个字符串的形式,而明文形式的登录报文一般具有特定的字符串特征,通过分析登录报文的字符串特征,可以判断登录报文是否为密文形式的报文。示例性的,提供一个明文形式的登录报文,其可以为:username=ABC&password=123qweasd,它包含了用户登录的用户名和密码信息,用户名为ABC,密码为123qweasd,它还包含了两个参数username和password,并对这两个参数进行了赋值。
可选的,上述步骤S102可以通过以下步骤实现:
判断所述登录报文是否与预设的正则表达式相匹配;
若所述登录报文不与所述正则表达式相匹配,则判定所述登录报文为密文形式的报文。
本发明实施例中,根据明文形式的登录报文的字符串特征,可以归纳出对应的正则表达式,将步骤S101中获取的登录报文与归纳的正则表达式进行匹配,若匹配,则说明获取的登录报文为明文形式的报文,若不匹配,则说明获取的登录报文为密文形式的报文,通过这一方式可以对登录报文是否为密文形式进行较为快捷方便的自动鉴别。
可选的,所述正则表达式可以为:
[a-zA-Z]{2,10}.=[a-zA-Z0-9_-]{2,16}.&[a-zA-Z]{2,10}.=[a-zA-Z0-9]{2,16}
其中,[]用于匹配其所包含的任意字符,{}用于限定其之前的[]中的字符个数,.=用于匹配单个字符=,.&用于匹配单个字符&。
具体的,[a-zA-Z]{2,10}对应于用户名和密码的形参的字符串特征,其一般为2至10位的任意大写字母或小写字母的组合,比如上述例子中的username以及password;[a-zA-Z0-9_-]{2,16}对应于通常设置的用户名的字符串特征,其一般为2至16位小写字母、大写字母及符号“_”“-”的组合,比如上述例子中的ABC;[a-zA-Z0-9]{2,16}对应于通常设置的密码的字符串特征,其一般为2至16位小写字母、大写字母及数字的组合,比如上述例子中的123qweasd;“.=”对应于赋值符号“=”;“.&”对应于“与”的符号“&”;显然,本实施例中正则表达式针对的是一般情况下的测试规则,根据实际测试内容的不同,可以对上述正则表达式进行相应的变换。
在步骤S103中、若所述登录报文为密文形式的报文,则确定所述应用程序生成所述登录报文时调用的加密方法。
在本发明实施例中,若判定获取的登录报文为密文形式的报文时,可以进一步确定所述应用程序生成所述登录报文时调用的加密方法。这里的加密方法是指java中的方法,也即用于实现加密处理功能的函数。具体的,可以分析应用程序的源码或者跟踪应用程序运行过程中对方法的调用,从中确定应用程序在生成所述登录报文时调用的加密方法。
可选的,上述确定所述应用程序生成所述登录报文时调用的加密方法可以根据以下步骤实现:
对所述应用程序进行反编译,得到所述应用程序的源码;
从所述源码中定位所述应用程序进行登录报文发送操作之前的逻辑代码;
从所述逻辑代码包括的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
在本发明实施例中,通过对应用程序进行反编译来得到应用程序的源码,通过分析源码中各函数代码的功能操作定位应用程序进行登录报文发送操作之前的一段逻辑代码,从而再从该段逻辑代码包括的方法中选取出应用程序生成所述登录报文时调用的加密方法,选取的依据可以根据该加密方法的行为特征,例如,该加密方法的传入参数的值为所述应用程序的登录口令,并且,该加密方法返回的传出参数为字符串类型。
示例性的,对于安卓系统的应用软件,可以采用Apktool工具对应用程序(app)进行反编译,通过jar包阅读器查阅源码及逻辑代码中的功能信息,并找出加密方法;对于ios系统的应用软件,可以通过反汇编工具ida打开应用程序的安装包,进行源码的查阅并找出对应的加密方法。
可选的,上述确定所述应用程序生成所述登录报文时调用的加密方法还可以根据以下步骤实现:
对所述应用程序进行动态二进制插桩,以获取所述应用程序进行登录报文发送操作之前调用的方法;
从所述调用的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
在本发明实施例中,还可以通过对应用程序进行动态二进制插桩(DynamicBinary Instrumentation,简称DBI),将外部代码注入到正在运行的应用程序的二进制文件中,外部代码可以预先编写,用于跟踪应用程序在进行登录报文发送之前对所有方法的调用,从而可以进一步的从中定位应用程序进行加密处理时调用的类名及方法名。
具体的,可以通过frida框架实现对应用程序的动态二进制插桩。
在步骤S104中、对所述加密方法进行挂钩Hook,以在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息。
在本发明实施例中,在确定了应用程序生成所述登录报文时调用的加密方法之后,向该应用程序植入预先编写的与该加密方法对应的插件,例如,基于Hook技术可以实现的java系统中的Activity工作流的插件化;通过插件来跟踪该加密方法被调用时的传入参数,在这里,该传入参数即为登录口令信息,包括用户名信息和密码信息。并通过插件实现在该加密方法被调用时将传入参数的值替换为预设的口令字典中的口令信息。
需要说明的是,上述的口令字典位于安装该应用程序的终端上,该口令字典可以包括待测试的口令信息,例如弱口令信息,用于测试是否存在弱口令信息能够成功登录该应用程序。另外,该口令信息可以包括用户名信息和密码信息的组合;也可以仅包括密码信息,用于不替换用户名,仅进行密码测试。
在步骤S105中、进行所述应用程序的登录测试。
本发明实施例中,在上述步骤S104之后,可以对应用程序重复执行登录操作测试,每次登录测试时,应用程序会自动将预设的口令字典中的一组口令信息进行加密处理,生成登录报文并向服务器发送登录请求,根据服务器的响应信息可以得到服务器对该类攻击手段是否采取了对应的防御手段,若服务器采取了防御手段,还可以测试出服务器采取的防御手段的效果。
综上所述,本发明通过获取应用程序生成的登录报文,并判断该登录报文是否为密文形式的报文,来确定应用程序在进行数据处理时是否采用了加密保护措施,当采用了加密保护措施时,进一步确定应用程序调用的加密方法;通过对应用程序调用的加密方法进行挂钩Hook,达到对该加密方法的动态跟踪的目的,从而在该加密方法被调用时,能够实时获取到该加密方法的入参,并读取预设的口令字典中的口令信息来对获取到的入参的值进行替换;由于获取到的入参的值即为应用程序的登录口令,通过上述替换使得登录口令在被加密之前即被替换为待测试的口令字典中的口令信息,因此无需进行对应用程序的加密方法的逆向分析,从而大大降低了应用程序的测试难度。
具体地,针对应用程序的测试方法还可以包括如图2所示的步骤:
步骤S201、获取应用程序生成的登录报文;
步骤S202、判断所述登录报文是否为密文形式的报文;
步骤S203、若所述登录报文为密文形式的报文,则确定所述应用程序生成所述登录报文时调用的加密方法;
在本实施例中,上述步骤S201至步骤S203具体可参考图1所示实施例中的步骤S101至步骤S103,在此不再赘述。
步骤S204、依次读取预设的口令字典中的口令信息;
在本实施例中,通过插件可以实时跟踪指定加密方法的传入参数,对于本实施例中确定的应用程序调用的加密方法,通过跟踪实时获取其传入参数,进而在每次获取到该加密方法的传入参数时,从预设的口令字典中依次读取一组口令信息,以对获取到的传入参数的值进行替换。
步骤S205、在所述加密方法每次被调用时,将所述加密方法的传入参数的值替换为本次读取的口令信息;
在本实施例中,通过插件实时获取应用程序所采用的加密方法的传入参数,并对传入参数的值进行替换,实现了在应用程序每次进行登录操作时,实际向服务器发送的是加密后的口令字典中的口令信息。
步骤S206、进行所述应用程序的登录测试。
在本实施例中,通过多次的重复登录测试,可以将口令字典中的口令信息依次全部进行登录测试。
可选的,上述步骤S204可以包括:
根据所述口令信息的安全强度,依次读取预设的口令字典中所述安全强度小于预设值的口令信息。
在本实施例中,对于包含的口令信息的数量级较大的口令字典,有时无需进行全部口令信息的登录测试,而只需对其中安全强度交底较低的弱口令进行测试即可,因此,可以根据口令信息的安全强度,依次读取口令字典中安全强度小于预设值的口令信息。所述的预设值可以根据实际的测试需要进行灵活设定。
可选的,所述口令信息的安全强度根据下式得到:
H=L×log2N
其中,H表示所述口令信息的安全强度,L表示所述口令信息包含的字符个数,N表示所述口令信息包含的字符种类个数。
需要说明的是,口令信息的安全强度和其包含的字符个数、以及其包含的字符种类个数相关。在这里,字符种类包括大写字母、小写字母、数字以及特殊符号四种。
综上所述,本发明通过获取应用程序生成的登录报文,并判断该登录报文是否为密文形式的报文,来确定应用程序在进行数据处理时是否采用了加密保护措施,当采用了加密保护措施时,进一步确定应用程序调用的加密方法;通过对应用程序调用的加密方法进行挂钩Hook,达到对该加密方法的动态跟踪的目的,从而在该加密方法被调用时,能够实时获取到该加密方法的入参,并读取预设的口令字典中的口令信息来对获取到的入参的值进行替换;由于获取到的入参的值即为应用程序的登录口令,通过上述替换使得登录口令在被加密之前即被替换为待测试的口令字典中的口令信息,因此无需进行对应用程序的加密方法的逆向分析,从而大大降低了应用程序的测试难度。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
对应于上文实施例所述的应用程序的测试方法,图3示出了本发明实施例提供的一种应用程序的测试装置的一个实施例结构图。
本实施例中,一种应用程序的测试装置3可以包括:报文获取单元31、报文判断单元32、方法确定单元33、参数替换单元34和登录测试单元35。
报文获取单元31,用于获取应用程序生成的登录报文;
报文判断单元32,用于判断报文获取单元31获取的登录报文是否为密文形式的报文;
方法确定单元33,用于在报文判断单元32判定报文获取单元31获取的登录报文为密文形式的报文时,确定所述应用程序生成所述登录报文时调用的加密方法;
参数替换单元34,用于对方法确定单元33确定的加密方法进行挂钩Hook,以在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息;
登录测试单元35,用于进行所述应用程序的登录测试。
可选的,应用程序的测试装置3还可以包括:
反编译单元,用于对所述应用程序进行反编译,得到所述应用程序的源码;
定位单元,用于从所述反编译单元得到的源码中定位所述应用程序进行登录报文发送操作之前的逻辑代码;
上述方法确定单元33具体用于,从所述定位单元定位的逻辑代码包括的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
可选的,应用程序的测试装置3还可以包括:
方法获取单元,用于对所述应用程序进行动态二进制插桩,以获取所述应用程序进行登录报文发送操作之前调用的方法;
上述方法确定单元33具体用于,从所述方法获取单元获取的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
可选的,上述报文判断单元32具体用于,判断所述登录报文是否与预设的正则表达式相匹配,若所述登录报文不与所述正则表达式相匹配,则判定所述登录报文为密文形式的报文。
可选的,所述正则表达式为:
[a-zA-Z]{2,10}.=[a-zA-Z0-9_-]{2,16}.&[a-zA-Z]{2,10}.=[a-zA-Z0-9]{2,16}
其中,[]用于匹配其所包含的任意字符,{}用于限定其之前的[]中的字符个数,.=用于匹配单个字符=,.&用于匹配单个字符&。
可选的,应用程序的测试装置3还可以包括:
口令读取单元,用于依次读取预设的口令字典中的口令信息;
上述参数替换单元34具体用于,在所述加密方法每次被调用时,将所述加密方法的传入参数的值替换为口令读取单元本次读取的口令信息。
可选的,口令读取单元还用于,根据所述口令信息的安全强度,依次读取预设的口令字典中所述安全强度小于预设值的口令信息。
可选的,所述口令信息的安全强度根据下式得到:
H=L×log2N
其中,H表示所述口令信息的安全强度,L表示所述口令信息包含的字符个数,N表示所述口令信息包含的字符种类个数。
综上所述,本发明通过获取应用程序生成的登录报文,并判断该登录报文是否为密文形式的报文,来确定应用程序在进行数据处理时是否采用了加密保护措施,当采用了加密保护措施时,进一步确定应用程序调用的加密方法;通过对应用程序调用的加密方法进行挂钩Hook,达到对该加密方法的动态跟踪的目的,从而在该加密方法被调用时,能够实时获取到该加密方法的入参,并读取预设的口令字典中的口令信息来对获取到的入参的值进行替换;由于获取到的入参的值即为应用程序的登录口令,通过上述替换使得登录口令在被加密之前即被替换为待测试的口令字典中的口令信息,因此无需进行对应用程序的加密方法的逆向分析,从而大大降低了应用程序的测试难度。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置,模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
图4示出了本发明实施例提供的一种终端的示意框图,为了便于说明,仅示出了与本发明实施例相关的部分。
在本实施例中,终端4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。终端4可包括:处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机可读指令42,例如执行上述的应用程序的测试方法的计算机可读指令。所述处理器40执行所述计算机可读指令42时实现上述各个应用程序的测试方法实施例中的步骤,例如图1所示的步骤S101至S105。或者,所述处理器40执行所述计算机可读指令42时实现上述各装置实施例中各单元的功能,例如图3所示单元31至35的功能。
示例性的,所述计算机可读指令42可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器41中,并由所述处理器40执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段,该指令段用于描述所述计算机可读指令42在所述终端4中的执行过程。
所述处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述终端4的内部存储单元,例如终端4的硬盘或内存。所述存储器41也可以是所述终端4的外部存储设备,例如所述终端4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述终端4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机可读指令以及所述终端4所需的其它指令和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干计算机可读指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储计算机可读指令的介质。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种应用程序的测试方法,其特征在于,包括:
获取应用程序生成的登录报文;
判断所述登录报文是否为密文形式的报文;
若所述登录报文为密文形式的报文,则确定所述应用程序生成所述登录报文时调用的加密方法;
对所述加密方法进行挂钩Hook,以在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息;
进行所述应用程序的登录测试。
2.根据权利要求1所述的应用程序的测试方法,其特征在于,所述确定所述应用程序生成所述登录报文时调用的加密方法,包括:
对所述应用程序进行反编译,得到所述应用程序的源码;
从所述源码中定位所述应用程序进行登录报文发送操作之前的逻辑代码;
从所述逻辑代码包括的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
3.根据权利要求1所述的应用程序的测试方法,其特征在于,所述确定所述应用程序生成所述登录报文时调用的加密方法,包括:
对所述应用程序进行动态二进制插桩,以获取所述应用程序进行登录报文发送操作之前调用的方法;
从所述调用的方法中选取目标方法作为所述应用程序生成所述登录报文时调用的加密方法,其中,所述目标方法的传入参数的值为所述应用程序的登录口令,且,所述目标方法返回的传出参数为字符串类型。
4.根据权利要求1至3任一项所述的应用程序的测试方法,其特征在于,所述判断所述登录报文是否为密文形式的报文,包括:
判断所述登录报文是否与预设的正则表达式相匹配;
若所述登录报文不与所述正则表达式相匹配,则判定所述登录报文为密文形式的报文。
5.根据权利要求4所述的应用程序的测试方法,其特征在于,所述正则表达式为:
[a-zA-Z]{2,10}.=[a-zA-Z0-9_-]{2,16}.&[a-zA-Z]{2,10}.=[a-zA-Z0-9]{2,16}
其中,[]用于匹配其所包含的任意字符,{}用于限定其之前的[]中的字符个数,.=用于匹配单个字符=,.&用于匹配单个字符&。
6.根据权利要求1至3任一项所述的应用程序的测试方法,其特征在于,所述在所述加密方法被调用时,将所述加密方法的传入参数的值替换为预设的口令字典中的口令信息,包括:
依次读取预设的口令字典中的口令信息;
在所述加密方法每次被调用时,将所述加密方法的传入参数的值替换为本次读取的口令信息。
7.根据权利要求6所述的应用程序的测试方法,其特征在于,所述依次读取预设的口令字典中的口令信息,包括:
根据所述口令信息的安全强度,依次读取预设的口令字典中所述安全强度小于预设值的口令信息。
8.根据权利要求7所述的应用程序的测试方法,其特征在于,所述口令信息的安全强度根据下式得到:
H=L×log2N
其中,H表示所述口令信息的安全强度,L表示所述口令信息包含的字符个数,N表示所述口令信息包含的字符种类个数。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1至8中任一项所述的应用程序的测试方法的步骤。
10.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机可读指令,其特征在于,所述处理器执行所述计算机可读指令时实现如权利要求1至8中任一项所述的应用程序的测试方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811017022.3A CN109446053A (zh) | 2018-09-03 | 2018-09-03 | 应用程序的测试方法、计算机可读存储介质及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811017022.3A CN109446053A (zh) | 2018-09-03 | 2018-09-03 | 应用程序的测试方法、计算机可读存储介质及终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109446053A true CN109446053A (zh) | 2019-03-08 |
Family
ID=65530934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811017022.3A Pending CN109446053A (zh) | 2018-09-03 | 2018-09-03 | 应用程序的测试方法、计算机可读存储介质及终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109446053A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110096433A (zh) * | 2019-03-26 | 2019-08-06 | 北京邮电大学 | 一种iOS平台上获取加密数据的方法 |
CN110995743A (zh) * | 2019-12-17 | 2020-04-10 | 北京小米智能科技有限公司 | 终端设备的安全测试方法及装置、存储介质 |
CN113221152A (zh) * | 2021-05-31 | 2021-08-06 | 中国农业银行股份有限公司 | 数据处理方法、装置、设备、存储介质及程序 |
CN113641576A (zh) * | 2021-08-09 | 2021-11-12 | 北京金山云网络技术有限公司 | 数据库的测试方法、装置及终端设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701805A (zh) * | 2013-12-26 | 2014-04-02 | 山石网科通信技术有限公司 | 检测网络中弱口令的方法及装置 |
CN103886248A (zh) * | 2014-04-08 | 2014-06-25 | 国家电网公司 | 一种网站弱口令的检测方法 |
CN104580197A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 密码检测方法和密码检测系统 |
US9626506B1 (en) * | 2015-12-17 | 2017-04-18 | International Business Machines Corporation | Dynamic password generation |
CN107040553A (zh) * | 2017-06-16 | 2017-08-11 | 腾讯科技(深圳)有限公司 | 漏洞分析方法、装置、终端以及存储介质 |
-
2018
- 2018-09-03 CN CN201811017022.3A patent/CN109446053A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701805A (zh) * | 2013-12-26 | 2014-04-02 | 山石网科通信技术有限公司 | 检测网络中弱口令的方法及装置 |
CN103886248A (zh) * | 2014-04-08 | 2014-06-25 | 国家电网公司 | 一种网站弱口令的检测方法 |
CN104580197A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 密码检测方法和密码检测系统 |
US9626506B1 (en) * | 2015-12-17 | 2017-04-18 | International Business Machines Corporation | Dynamic password generation |
CN107040553A (zh) * | 2017-06-16 | 2017-08-11 | 腾讯科技(深圳)有限公司 | 漏洞分析方法、装置、终端以及存储介质 |
Non-Patent Citations (1)
Title |
---|
林昊等: "基于动态二进制插桩的密钥安全性检测", 网络与信息安全学报, vol. 3, no. 11, pages 00213 - 1 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110096433A (zh) * | 2019-03-26 | 2019-08-06 | 北京邮电大学 | 一种iOS平台上获取加密数据的方法 |
CN110096433B (zh) * | 2019-03-26 | 2020-07-14 | 北京邮电大学 | 一种iOS平台上获取加密数据的方法 |
CN110995743A (zh) * | 2019-12-17 | 2020-04-10 | 北京小米智能科技有限公司 | 终端设备的安全测试方法及装置、存储介质 |
CN110995743B (zh) * | 2019-12-17 | 2022-08-05 | 北京小米智能科技有限公司 | 终端设备的安全测试方法及装置、存储介质 |
CN113221152A (zh) * | 2021-05-31 | 2021-08-06 | 中国农业银行股份有限公司 | 数据处理方法、装置、设备、存储介质及程序 |
CN113641576A (zh) * | 2021-08-09 | 2021-11-12 | 北京金山云网络技术有限公司 | 数据库的测试方法、装置及终端设备 |
CN113641576B (zh) * | 2021-08-09 | 2024-06-04 | 北京金山云网络技术有限公司 | 数据库的测试方法、装置及终端设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
Costin et al. | A {Large-scale} analysis of the security of embedded firmwares | |
CN109446053A (zh) | 应用程序的测试方法、计算机可读存储介质及终端 | |
CN111008376B (zh) | 一种基于代码动态分析的移动应用源代码安全审计系统 | |
US20210334384A1 (en) | Detecting a potential security leak by a microservice | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US20120185936A1 (en) | Systems and Methods for Detecting Fraud Associated with Systems Application Processing | |
US20110228926A1 (en) | Side channel attack analysis | |
Li et al. | Security attack analysis using attack patterns | |
CN112039900B (zh) | 网络安全风险检测方法、系统、计算机设备和存储介质 | |
Ezzati-Jivan et al. | A stateful approach to generate synthetic events from kernel traces | |
CN109902493B (zh) | 脚本的下发方法及服务器 | |
WO2019125737A1 (en) | Automated fuzzing based on analysis of application execution flow | |
Auricchio et al. | An automated approach to web offensive security | |
Wang et al. | Design of network vulnerability scanning system based on NVTs | |
He et al. | Toward hybrid static-dynamic detection of vulnerabilities in IoT firmware | |
CN109088872A (zh) | 带使用期限的云平台的使用方法、装置、电子设备及介质 | |
Huynh et al. | An empirical investigation into open source web applications’ implementation vulnerabilities | |
Aarya et al. | Web scanning: existing techniques and future | |
US8683452B1 (en) | Dynamically obfuscated javascript | |
CN111159714B (zh) | 一种访问控制中主体运行时可信验证方法及系统 | |
Lloyd et al. | Security analysis of a biometric authentication system using UMLsec and JML | |
CN107391970A (zh) | Flash应用程序中的函数访问控制方法及装置 | |
CN115114674B (zh) | 支持损坏数据自动赔偿的云审计方法、装置、设备及介质 | |
Krishnaveni et al. | Securing Web Application from SQL Injection Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |