CN112182581A - 应用测试方法、装置、应用测试设备和存储介质 - Google Patents
应用测试方法、装置、应用测试设备和存储介质 Download PDFInfo
- Publication number
- CN112182581A CN112182581A CN202011017419.XA CN202011017419A CN112182581A CN 112182581 A CN112182581 A CN 112182581A CN 202011017419 A CN202011017419 A CN 202011017419A CN 112182581 A CN112182581 A CN 112182581A
- Authority
- CN
- China
- Prior art keywords
- application
- file
- data
- electronic equipment
- memory card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了应用测试方法、装置、应用测试设备和存储介质,涉及人工智能和应用测试技术领域。具体实现方案为:在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据;对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。本申请能够提高待测应用的测试效率。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及人工智能和应用测试技术领域,具体涉及一种应用测试方法、装置、应用测试设备和存储介质。
背景技术
随着计算机技术的快速发展,电子设备逐渐成为智能家具的中控和用户的私人助理,因此电子设备的安全性和隐私性备受用户关注。
为了丰富用户体验,电子设备中往往会预装第三方应用。然而第三方应用由于开发者的水平参差不起,往往会出现安全漏洞,也会成为攻击者攻击电子设备的入口。如何对第三方应用进行安全性测试避免安全漏洞是业内重要问题。
发明内容
本公开提供了一种用于应用测试方法、装置、应用测试设备以及存储介质。
根据本公开的一方面,提供了一种应用测试方法,包括:
在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据;
对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
根据本公开的一方面,提供了一种应用测试装置,包括:
数据采集模块,用于在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据;
数据分析模块,用于对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
根据第三方面,提供了一种应用测试设备,该应用测试设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如本申请实施例中任一项所述的应用测试方法。
根据第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行如本申请实施例中任一项所述的应用测试方法。
根据本申请的技术能够提高待测应用的测试效率。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1a是根据本申请实施例提供的一种应用测试方法的流程示意图;
图1b是根据本申请实施例提供的一种应用测试系统的结构示意图;
图2是根据本申请实施例提供的另一种应用测试方法的流程示意图;
图3是根据本申请实施例提供的又一种应用测试方法的流程示意图;
图4是根据本申请实施例提供的再一种应用测试方法的流程示意图;
图5是根据本申请实施例提供的一种应用测试装置的结构示意图;
图6是用来实现本申请实施例的应用测试方法的应用测试设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1a是根据本申请实施例提供的应用测试方法的流程示意图。本实施例可适用于对第三方应用程序进行安全性测试的情况。本实施例公开的应用测试方法可以由应用测试设备执行,具体可以由应用测试装置来执行,该装置可以由软件和/或硬件的方式实现,配置于应用测试设备中。参见图1a,本实施例提供的应用测试方法包括:
S110、在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据。
S120、对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
在本申请实施例中,电子设备可以为诸如智能音箱、智能手机和平板电脑之类的终端设备,待测应用可以为可能需要预安装到电子设备中的应用程序(Application)。检测代理(Agent)应用可以为检测工具的客户端(Client),其与检测工具相互配合进行测试。检测工具可以承载在应用测试设备中。图1b是根据本申请实施例提供的一种应用测试系统的结构示意图,参考图1b,应用测试系统可以包括应用测试设备,以及与应用测试设备通信连接的电子设备,应用测试设备中承载有检测工具,电子设备中承载有检测代理应用。
具体的,可以对待测应用进行功能、性能方面测试,且通过检测代理应用采集待测应用在测试过程中写入存储卡的文件写入数据;对文件写入数据进行敏感性分析,并根据分析结果得到文件写入数据中是否包括用户敏感数据,从而得到待测应用的安全性测试结果。其中,存储卡可以为SD卡(Secure Digital Memory Card,安全数码卡),本申请实施例对存储卡不作具体限定。
其中,安全性测试结果用于表征待测应用是否安全。进一步的,若文件写入数据中包括用户敏感数据,则可以记录包括的用户敏感数据用于测试人员进行安全分析;否则,可以确定待测应用属于安全应用,并且可以为待测应用分配预安装权限,用于允许对待测应用进行预安装。
部分第三方应用的开发者为了保存登录状态或节约空间占用,将用户重要请求日志、令牌或音多媒体文件等敏感数据存放在电子设备的存储卡中。由于存储卡默认全局可读,因此电子设备中任意应用均可以跨进程访问用户敏感数据,造成用户敏感信息泄漏。通过检测代理应用与检测工具配合进行自动化测试,能够提高待测应用的测试效率,降低测试成本;并且,通过采集待测应用写入存储卡中的数据,并对写入的数据进行敏感性分析,待测应用在存储卡中的数据写入行为是实际发生的,相比于对待测应用代码进行静态分析,能够降低误报率。另外,只需通过丰富对待测应用的功能、性能测试,就能够提高测试覆盖率,使得漏报率较低。
在一种可选实施方式中,所述电子设备为智能音箱。进一步的,电子设备可以为有屏智能音箱,也可以为无屏智能音箱,本申请实施例对智能音箱的类型不作具体限定。
本申请实施例的技术方案,通过检测代理应用与检测工具配合进行自动化测试,能够提高待测应用的测试效率,降低测试成本;并且,通过监控待测应用在存储卡中实际发生的数据写入行为,能够降低误报率。
图2是根据本申请实施例提供的一种应用测试方法的流程示意图。本实施例是在上述实施例的基础上提出的一种可选方案。参见图2,本实施例提供的应用测试方法包括:
S210、在对电子设备中待测应用进行测试过程中,通过检测代理应用创建文件变化通知实例。
S220、在通过所述文件变化通知实例监测到所述电子设备中存储卡存在文件更改事件情况下,通过钩子函数获取所述存储卡中的文件更改数据。
在本申请实施例中,文件变化通知(Inotify)机制用于监视文件系统事件,可以用于实时监测文件或者目录,在文件或目录发生变化情况下,Linux内核将文件或目录的变化发送给Inotify文件描述符,在应用层只需调用读函数就可以读取这些事件,方便易操作。
具体的,检测代理应用创建文件变化通知实例,可以通过文件变化通知实例定向监控对存储卡目录及其文件的访问,文件变化通知实例协助实时监控待测应用对存储卡的数据写入行为,将存储卡中的文件写入数据推送给检测代理应用,检测代理应用记录文件写入数据。通过创造性地基于文件变化通知机制实时监控待测应用对存储卡的数据写入行为,能够进一步提高测试效率,降低检测工具、检测代理应用的开发成本。
S230、通过所述检测代理应用根据所述文件更改数据,确定所述待测应用写入所述电子设备中存储卡的文件写入数据。
具体的,确定文件变更数据由待测应用写入,还是由除待测应用之外的其他应用写入,其他应用可以为第三方应用,也可以为电子设备的系统应用(即操作系统应用)。从文件更改数据中选择由待测应用写入的数据,作为文件写入数据。通过从文件更改数据中排除由其他第三方应用或系统应用写入的数据,使文件写入数据均由待测应用写入,能够避免其他第三方应用、系统应用在测试过程中也有对存储卡的数据写入行为,干扰测试过程,因而能够提高待测应用的测试准确度。
在一种可选实施方式中,所述通过所述检测代理应用根据所述文件更改数据,确定所述待测应用写入所述电子设备中存储卡的文件写入数据,包括:若所述文件更改数据属于除系统应用文件之外的其他文件,则通过所述检测代理应用将所述文件更改数据作为所述待测应用写入所述电子设备中存储卡的文件写入数据。
具体的,检测代理应用可以将系统应用访问的存储卡目录加入安全白名单,过滤系统应用对存储卡的写入行为,从而避免系统应用运行异常或系统应用对存储卡的写入行为影响待测应用的测试结果,或导致测试效率降低。
S240、对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
本申请实施例的技术方案,通过基于文件变化通知机制实时监控待测应用对存储卡的数据写入行为,能够进一步提高测试效率,降低检测工具、检测代理应用的开发成本;通过从存储卡的文件更改数据中选择待测应用写入存储卡的文件写入数据,能够避免其他第三方应用或系统应用也对存储卡存在数据写入行为,干扰测试结果,进一步能够提高待测应用的测试效率。
图3是根据本申请实施例提供的一种应用测试方法的流程示意图。本实施例是在上述实施例的基础上提出的一种可选方案。参见图3,本实施例提供的应用测试方法包括:
S310、在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据。
在一种可选实施方式中,电子设备为智能音箱。
S320、若检测到所述电子设备中其他第三方应用程序处于后台运行状态,则关闭所述其他第三方应用。
具体的,在待测应用的测试过程中,还关闭处于后台运行状态的其他第三方应用,也就是禁止第三方应用在电子设备后台运行,能够进一步避免用户敏感信息泄露,提高电子设备的安全性,尤其适用于智能音箱。需要说明的是,除了测试过程中,在智能音箱正常运行过程中,也可以禁止第三方应用在后台运行。
S330、对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
在一种可选实施方式中,所述方法还包括:在检测工具启动情况下,将所述检测代理应用推送到所述电子设备中,用于指示所述电子设备加载所述检测代理应用。
具体的,电子设备可以预先与承载有检测工具的应用测试设备建立通信连接,在启动情况下,检测工具可以自动将检测代理应用推给电子设备,电子设备加载并安装检测代理应用。通过检测工具自动将检测代理应用推送给电子设备,避免人工加载检测代理应用,能够进一步提高测试效率。
在一种可选实施方式中,对所述文件写入数据进行敏感性分析,包括:确定所述文件写入数据所属的文件类型;根据所述文件类型,对所述文件写入数据进行敏感性分析。
其中,文件写入数据所属的文件类型可以为诸如文本、图像、音频之类的多媒体文件,也可以为日志文件。具体的,可以根据文件后缀信息确定文件写入数据中是否存在多媒体文件,若存在,则可以记录多媒体文件,即可以将多媒体文件作为敏感信息;若为日志文件,则可以对日志文件内容进行敏感性分析。
在一种可选实施方式中,所述根据所述文件类型,对所述文件写入数据进行敏感性分析,包括:根据所述文件类型,确定所述文件写入数据是否包括敏感信息;其中,所述敏感信息包括如下至少一项:身份证号、手机号、移动设备识别码、位置信息、邮箱信息、令牌和密钥。
具体的,文件类型不同,对文件写入数据进行敏感性分析的方式可以不同。进一步的,可以对多媒体文件的文件名、标题等关键信息进行分析,可以对日志文件的内容本身进行分析。在敏感性分析过程中,可以通过正则匹配或随机熵等方式进行敏感信息检测。本申请实施例对敏感性分析方式不作具体限定。通过针对性地使用不同敏感性分析方式,能够兼顾测试效率和测试准确度。
本申请实施例的技术方案,在电子设备在引入第三方应用情况下,通过监控第三方应用在电子设备中存储卡的数据写入行为,对第三方应用进行安全性检测,效率高且能够保证较高的准确度。在第三方应用测试过程中,能够将人力成本由单人半天测试一个第三方应用,降低到单人10分钟测试一个第三方应用,且准确率可达90%以上。
图4是根据本申请实施例提供的一种应用测试方法的流程示意图。本实施例是在上述实施例的基础上提出的一种具体可选方案。参见图4,本实施例提供的应用测试方法包括:
S410、在检测工具启动情况下,将检测代理应用推送到电子设备中。
具体的,测试人员可以启动检测工具,检测工具启动后,将检测代理应用推给电子设备,也就是说检测工具控制电子设备启动检测代理人应用。
S420、检测代理应用创建文件变化通知实例。
S430、文件变化通知实例将电子设备的存储卡路径添加到被监控事件中。
S440、在监测到存储卡存在文件更改事件情况下,文件变化通知实例通过钩子函数获取存储卡中的文件更改数据。
具体的,可以启动电子设备中的待测第三方应用,测试人员可以对待测第三方应用进行功能测试和功能测试。
S450、文件变化通知实例将文件更改数据推送给检测代理应用。
在第三方应用测试过程中,文件变化通知实例监控第三方应用对存储卡的数据写入行为。
S460、检测代理应用根据安全白名单,从文件更改数据中确定待测应用写入存储卡的文件写入数据。
其中,安全白名单可以为系统应用访问的存储卡目录名单。
S470、检测工具从检测代理应用中拉取检测代理应用的日志,并根据日志拉取文件写入数据。
S480、检测工具对文件写入数据进行敏感性分析,得到待测应用的安全性测试结果。
本申请实施例的技术方案,通过检测工具与检测代理应用配合能够自动对待测第三方应用在存储卡上的文件写入行为进行监测,并且能够自动化获取检测代理应用的监控日志,提高了测试效率。在第三方应用测试过程中,能够将人力成本由单人半天测试一个第三方应用,降低到单人10分钟测试一个第三方应用,且准确率可达90%以上。
图5是本申请实施例提供的一种应用测试装置的结构示意图。参见图5,本申请实施例提供的应用测试装置500可以包括:
数据采集模块501,用于在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据;
数据分析模块502,用于对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
在一种可选实施方式中,所述数据采集模块501包括:
实例创建单元,用于通过所述检测代理应用创建文件变化通知实例;
更改数据获取单元,用于在通过所述文件变化通知实例监测到所述电子设备中存储卡存在文件更改事件情况下,通过钩子函数获取所述存储卡中的文件更改数据;
数据确定单元,用于通过所述检测代理应用根据所述文件更改数据,确定所述待测应用写入所述电子设备中存储卡的文件写入数据。
在一种可选实施方式中,所述数据确定单元具体用于:
若所述文件更改数据属于除系统应用文件之外的其他文件,则通过所述检测代理应用将所述文件更改数据作为所述待测应用写入所述电子设备中存储卡的文件写入数据。
在一种可选实施方式中,所述装置500还包括:
其他应用控制模块,用于若检测到所述电子设备中其他第三方应用程序处于后台运行状态,则关闭所述其他第三方应用。
在一种可选实施方式中,所述装置500还包括:
代理应用推送模块,用于在检测工具启动情况下,将所述检测代理应用推送到所述电子设备中,用于指示所述电子设备加载所述检测代理应用。
在一种可选实施方式中,所述数据分析模块502包括:
文件类型确定单元,用于确定所述文件写入数据所属的文件类型;
数据分析单元,用于根据所述文件类型,对所述文件写入数据进行敏感性分析。
在一种可选实施方式中,所述数据分析单元具体用于:
根据所述文件类型,确定所述文件写入数据是否包括敏感信息;其中,所述敏感信息包括如下至少一项:身份证号、手机号、移动设备识别码、位置信息、邮箱信息、令牌和密钥。
在一种可选实施方式中,所述电子设备为智能音箱。
本申请实施例的技术方案,通过检测代理应用与检测工具配合进行自动化测试,能够提高待测应用的测试效率,降低测试成本;并且,通过基于文件变化通知机制实时监控待测应用对存储卡的数据写入行为,能够进一步提高测试效率,降低检测工具、检测代理应用的开发成本;再者,还能够避免其他第三方应用或系统应用也对存储卡存在数据写入行为,干扰测试结果,进一步能够提高待测应用的测试效率。
根据本申请的实施例,本申请还提供了一种应用测试设备和一种可读存储介质。
如图6所示,是根据本申请实施例的应用测试方法的应用测试设备的框图。应用测试设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。应用测试设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图6所示,该应用测试设备包括:一个或多个处理器601、存储器602,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在应用测试设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个应用测试设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图6中以一个处理器601为例。
存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的应用测试方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的应用测试方法。
存储器602作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的应用测试方法对应的程序指令/模块(例如,附图5所示的数据采集模块501和数据分析模块502)。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及应用测试,即实现上述方法实施例中的应用测试方法。
存储器602可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据应用测试设备的使用所创建的数据等。此外,存储器602可以包括高速随机存储存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器602可选包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至应用测试设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
应用测试方法的应用测试设备还可以包括:输入装置603和输出装置604。处理器601、存储器602、输入装置603和输出装置604可以通过总线或者其他方式连接,图6中以通过总线连接为例。
输入装置603可接收输入的数字或字符信息,以及产生与应用测试设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
本申请实施例的技术方案,通过检测代理应用与检测工具配合进行自动化测试,能够提高待测应用的测试效率,降低测试成本;并且,通过基于文件变化通知机制实时监控待测应用对存储卡的数据写入行为,能够进一步提高测试效率,降低检测工具、检测代理应用的开发成本;再者,还能够避免其他第三方应用或系统应用也对存储卡存在数据写入行为,干扰测试结果,进一步能够提高待测应用的测试效率。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (18)
1.一种应用测试方法,包括:
在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据;
对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
2.根据权利要求1所述的方法,其中,所述通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据,包括:
通过所述检测代理应用创建文件变化通知实例;
在通过所述文件变化通知实例监测到所述电子设备中存储卡存在文件更改事件情况下,通过钩子函数获取所述存储卡中的文件更改数据;
通过所述检测代理应用根据所述文件更改数据,确定所述待测应用写入所述电子设备中存储卡的文件写入数据。
3.根据权利要求2所述的方法,其中,所述通过所述检测代理应用根据所述文件更改数据,确定所述待测应用写入所述电子设备中存储卡的文件写入数据,包括:
若所述文件更改数据属于除系统应用文件之外的其他文件,则通过所述检测代理应用将所述文件更改数据作为所述待测应用写入所述电子设备中存储卡的文件写入数据。
4.根据权利要求1所述的方法,还包括:
若检测到所述电子设备中其他第三方应用程序处于后台运行状态,则关闭所述其他第三方应用。
5.根据权利要求1所述的方法,还包括:
在检测工具启动情况下,将所述检测代理应用推送到所述电子设备中,用于指示所述电子设备加载所述检测代理应用。
6.根据权利要求1所述的方法,其中,所述对所述文件写入数据进行敏感性分析,包括:
确定所述文件写入数据所属的文件类型;
根据所述文件类型,对所述文件写入数据进行敏感性分析。
7.根据权利要求6所述的方法,其中,所述根据所述文件类型,对所述文件写入数据进行敏感性分析,包括:
根据所述文件类型,确定所述文件写入数据是否包括敏感信息;其中,所述敏感信息包括如下至少一项:身份证号、手机号、移动设备识别码、位置信息、邮箱信息、令牌和密钥。
8.根据权利要求1-7中任一项所述的方法,其中,所述电子设备为智能音箱。
9.一种应用测试装置,包括:
数据采集模块,用于在对电子设备中待测应用进行测试过程中,通过所述电子设备中的检测代理应用采集所述待测应用写入所述电子设备中存储卡的文件写入数据;
数据分析模块,用于对所述文件写入数据进行敏感性分析,得到所述待测应用的安全性测试结果。
10.根据权利要求9所述的装置,其中,所述数据采集模块包括:
实例创建单元,用于通过所述检测代理应用创建文件变化通知实例;
更改数据获取单元,用于在通过所述文件变化通知实例监测到所述电子设备中存储卡存在文件更改事件情况下,通过钩子函数获取所述存储卡中的文件更改数据;
数据确定单元,用于通过所述检测代理应用根据所述文件更改数据,确定所述待测应用写入所述电子设备中存储卡的文件写入数据。
11.根据权利要求10所述的装置,其中,所述数据确定单元具体用于:
若所述文件更改数据属于除系统应用文件之外的其他文件,则通过所述检测代理应用将所述文件更改数据作为所述待测应用写入所述电子设备中存储卡的文件写入数据。
12.根据权利要求9所述的装置,还包括:
其他应用控制模块,用于若检测到所述电子设备中其他第三方应用程序处于后台运行状态,则关闭所述其他第三方应用。
13.根据权利要求9所述的装置,还包括:
代理应用推送模块,用于在检测工具启动情况下,将所述检测代理应用推送到所述电子设备中,用于指示所述电子设备加载所述检测代理应用。
14.根据权利要求9所述的装置,其中,所述数据分析模块包括:
文件类型确定单元,用于确定所述文件写入数据所属的文件类型;
数据分析单元,用于根据所述文件类型,对所述文件写入数据进行敏感性分析。
15.根据权利要求14所述的装置,其中,所述数据分析单元具体用于:
根据所述文件类型,确定所述文件写入数据是否包括敏感信息;其中,所述敏感信息包括如下至少一项:身份证号、手机号、移动设备识别码、位置信息、邮箱信息、令牌和密钥。
16.根据权利要求9-15中任一项所述的装置,其中,所述电子设备为智能音箱。
17.一种应用测试设备,其中,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011017419.XA CN112182581B (zh) | 2020-09-24 | 2020-09-24 | 应用测试方法、装置、应用测试设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011017419.XA CN112182581B (zh) | 2020-09-24 | 2020-09-24 | 应用测试方法、装置、应用测试设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112182581A true CN112182581A (zh) | 2021-01-05 |
| CN112182581B CN112182581B (zh) | 2023-10-13 |
Family
ID=73955516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011017419.XA Active CN112182581B (zh) | 2020-09-24 | 2020-09-24 | 应用测试方法、装置、应用测试设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112182581B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113326513A (zh) * | 2021-06-16 | 2021-08-31 | 百度在线网络技术(北京)有限公司 | 应用测试方法和装置、系统、电子设备、计算机可读介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100212010A1 (en) * | 2009-02-18 | 2010-08-19 | Stringer John D | Systems and methods that detect sensitive data leakages from applications |
| CN103309808A (zh) * | 2013-06-13 | 2013-09-18 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 |
| CN103996007A (zh) * | 2014-05-29 | 2014-08-20 | 诸葛建伟 | Android应用权限泄露漏洞的测试方法及系统 |
| CN104484607A (zh) * | 2014-12-16 | 2015-04-01 | 上海交通大学 | Android应用程序安全性测试的通用方法及系统 |
| CN104866770A (zh) * | 2014-02-20 | 2015-08-26 | 腾讯科技(深圳)有限公司 | 敏感数据扫描方法和系统 |
| US20150302206A1 (en) * | 2014-04-22 | 2015-10-22 | International Business Machines Corporation | Method and system for hiding sensitive data in log files |
| US20150347270A1 (en) * | 2014-05-28 | 2015-12-03 | National Central University | Automatic test system and test method for computer, record medium, and program product |
| US20160062879A1 (en) * | 2014-08-29 | 2016-03-03 | International Business Machines Corporation | Testing a mobile application |
| CN106815527A (zh) * | 2016-12-01 | 2017-06-09 | 全球能源互联网研究院 | 一种ios应用数据安全的检测方法和装置 |
| CN107133519A (zh) * | 2017-05-15 | 2017-09-05 | 华中科技大学 | 一种安卓应用网络通信中隐私泄漏检测方法及系统 |
| US10091222B1 (en) * | 2015-03-31 | 2018-10-02 | Juniper Networks, Inc. | Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs |
| CN109815105A (zh) * | 2017-11-20 | 2019-05-28 | 北京京东尚科信息技术有限公司 | 基于Btrace的应用程序测试方法和装置 |
| CN110147675A (zh) * | 2019-05-22 | 2019-08-20 | 杭州安恒信息技术股份有限公司 | 一种智能终端的安全检测方法及设备 |
| CN110390209A (zh) * | 2019-07-25 | 2019-10-29 | 中国工商银行股份有限公司 | 生产数据访问方法及装置 |
| CN111159712A (zh) * | 2019-12-23 | 2020-05-15 | 京东数字科技控股有限公司 | 检测方法、设备及存储介质 |
| CN111522701A (zh) * | 2020-04-16 | 2020-08-11 | 北京百度网讯科技有限公司 | 一种测试方法、测试系统、电子设备及存储介质 |
| US10747900B1 (en) * | 2019-08-19 | 2020-08-18 | Cyberark Software Ltd. | Discovering and controlling sensitive data available in temporary access memory |
| CN111639027A (zh) * | 2020-05-25 | 2020-09-08 | 北京百度网讯科技有限公司 | 一种测试方法、装置及电子设备 |
-
2020
- 2020-09-24 CN CN202011017419.XA patent/CN112182581B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100212010A1 (en) * | 2009-02-18 | 2010-08-19 | Stringer John D | Systems and methods that detect sensitive data leakages from applications |
| CN103309808A (zh) * | 2013-06-13 | 2013-09-18 | 中国科学院信息工程研究所 | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 |
| CN104866770A (zh) * | 2014-02-20 | 2015-08-26 | 腾讯科技(深圳)有限公司 | 敏感数据扫描方法和系统 |
| US20150302206A1 (en) * | 2014-04-22 | 2015-10-22 | International Business Machines Corporation | Method and system for hiding sensitive data in log files |
| US20150347270A1 (en) * | 2014-05-28 | 2015-12-03 | National Central University | Automatic test system and test method for computer, record medium, and program product |
| CN103996007A (zh) * | 2014-05-29 | 2014-08-20 | 诸葛建伟 | Android应用权限泄露漏洞的测试方法及系统 |
| CN105446872A (zh) * | 2014-08-29 | 2016-03-30 | 国际商业机器公司 | 测试移动应用的管理器、测试代理器及方法 |
| US20160062879A1 (en) * | 2014-08-29 | 2016-03-03 | International Business Machines Corporation | Testing a mobile application |
| CN104484607A (zh) * | 2014-12-16 | 2015-04-01 | 上海交通大学 | Android应用程序安全性测试的通用方法及系统 |
| US10091222B1 (en) * | 2015-03-31 | 2018-10-02 | Juniper Networks, Inc. | Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs |
| CN106815527A (zh) * | 2016-12-01 | 2017-06-09 | 全球能源互联网研究院 | 一种ios应用数据安全的检测方法和装置 |
| CN107133519A (zh) * | 2017-05-15 | 2017-09-05 | 华中科技大学 | 一种安卓应用网络通信中隐私泄漏检测方法及系统 |
| CN109815105A (zh) * | 2017-11-20 | 2019-05-28 | 北京京东尚科信息技术有限公司 | 基于Btrace的应用程序测试方法和装置 |
| CN110147675A (zh) * | 2019-05-22 | 2019-08-20 | 杭州安恒信息技术股份有限公司 | 一种智能终端的安全检测方法及设备 |
| CN110390209A (zh) * | 2019-07-25 | 2019-10-29 | 中国工商银行股份有限公司 | 生产数据访问方法及装置 |
| US10747900B1 (en) * | 2019-08-19 | 2020-08-18 | Cyberark Software Ltd. | Discovering and controlling sensitive data available in temporary access memory |
| CN111159712A (zh) * | 2019-12-23 | 2020-05-15 | 京东数字科技控股有限公司 | 检测方法、设备及存储介质 |
| CN111522701A (zh) * | 2020-04-16 | 2020-08-11 | 北京百度网讯科技有限公司 | 一种测试方法、测试系统、电子设备及存储介质 |
| CN111639027A (zh) * | 2020-05-25 | 2020-09-08 | 北京百度网讯科技有限公司 | 一种测试方法、装置及电子设备 |
Non-Patent Citations (3)
| Title |
|---|
| 李伟明;贺玄;王永剑;: "基于动态污点跟踪的敏感文件泄露检测方法", 华中科技大学学报(自然科学版), no. 11, pages 44 - 47 * |
| 李晖;王斌;张文;汤祺;张艳丽;: "X-Decaf:Android平台社交类应用的缓存文件泄露检测", 电子与信息学报, no. 01, pages 66 - 74 * |
| 路晔绵;应凌云;苏璞睿;冯登国;靖二霞;谷雅聪;: "Android Settings机制应用安全性分析与评估", 计算机研究与发展, no. 10, pages 2248 - 2261 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113326513A (zh) * | 2021-06-16 | 2021-08-31 | 百度在线网络技术(北京)有限公司 | 应用测试方法和装置、系统、电子设备、计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112182581B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10216607B2 (en) | Dynamic tracing using ranking and rating | |
| US8713535B2 (en) | Reliable and accurate usage detection of a software application | |
| US8601443B2 (en) | Method and system for correlating trace data | |
| US10019581B2 (en) | Identifying stored security vulnerabilities in computer software applications | |
| US8621613B1 (en) | Detecting malware in content items | |
| US9355003B2 (en) | Capturing trace information using annotated trace output | |
| CN111416811A (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| CN108920690B (zh) | 可视化网络安全审计方法及系统 | |
| US20200193021A1 (en) | Malware collusion detection | |
| CN110826058A (zh) | 基于用户交互的恶意软件检测 | |
| CN111654495B (zh) | 用于确定流量产生来源的方法、装置、设备及存储介质 | |
| CN112035354A (zh) | 风险代码的定位方法、装置、设备及存储介质 | |
| CN113792341A (zh) | 应用程序的隐私合规自动化检测方法、装置、设备及介质 | |
| US10015181B2 (en) | Using natural language processing for detection of intended or unexpected application behavior | |
| JPWO2015121923A1 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| US10375576B1 (en) | Detection of malware apps that hijack app user interfaces | |
| CN112182581B (zh) | 应用测试方法、装置、应用测试设备和存储介质 | |
| US11550567B2 (en) | User and entity behavior analytics of infrastructure as code in pre deployment of cloud infrastructure | |
| CN108874658A (zh) | 一种沙箱分析方法、装置、电子设备及存储介质 | |
| US11886600B2 (en) | Testing instrumentation for intrusion remediation actions | |
| US9952773B2 (en) | Determining a cause for low disk space with respect to a logical disk | |
| CN112182561B (zh) | 一种后门的检测方法、装置、电子设备和介质 | |
| US10430582B2 (en) | Management apparatus and management method | |
| CN111753330A (zh) | 数据泄露主体的确定方法、装置、设备和可读存储介质 | |
| WO2022195739A1 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |