CN105827664B - 漏洞检测方法及装置 - Google Patents
漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN105827664B CN105827664B CN201610392723.XA CN201610392723A CN105827664B CN 105827664 B CN105827664 B CN 105827664B CN 201610392723 A CN201610392723 A CN 201610392723A CN 105827664 B CN105827664 B CN 105827664B
- Authority
- CN
- China
- Prior art keywords
- page
- information
- login
- verification code
- short message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种漏洞检测方法及装置。其中方法包括:对于移动应用安装包,获取多个应用页面;对多个应用页面进行识别处理,得到注册页面和登录页面;将预设用户信息和第一验证码信息输入至注册页面,以进行注册;若注册成功,则将预设用户信息输入至登录页面,以进行登录;若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据登录会话信息,对应用程序编程接口信息进行漏洞检测。基于上述实施方案,实现了移动应用程序的自动注册和登录,解决了无法获得登录状态的应用程序编程接口信息或获取应用程序编程接口信息不完整的问题,从而提高了移动应用程序漏洞检测的完整性,提高了移动应用程序的安全性。
Description
技术领域
本发明涉及移动互联网技术领域,具体涉及一种漏洞检测方法及装置。
背景技术
随着移动智能终端的发展,移动平台上的安全问题也日益突出。移动应用存在的安全隐患直接威胁到移动智能终端用户的信息安全,除了移动应用客户端的安全性,还包括移动应用客户端所连接的服务端的安全性。移动应用服务端的安全隐患严重者可直接导致数据泄露,造成经济损失。为避免移动应用服务端存在安全隐患,通过漏洞扫描技术检测移动应用服务端应用程序编程接口(API)安全漏洞。
目前移动应用服务端API漏洞检测方法主要有两种:
一种是对移动应用客户端进行静态分析,提取服务端API信息提交给漏洞检测引擎扫描漏洞,这种方法主要是对移动应用客户端进行静态分析,通过语义分析器提取服务端应用程序编程接口信息,包括URL地址及对应参数,提交给漏洞检测引擎扫描漏洞,然而部分移动应用服务端API需要扫描引擎支持使用账号登录后才可以正常访问,否则即便从客户端提取出了准确的API信息,扫描引擎也无法检测这部分API的漏洞。
另一种是通过自动化测试方法,动态运行移动应用获取服务端API信息提交给漏洞检测引擎扫描漏洞,这种方法主要是使用自动化测试框架,动态运行移动应用,通过网络代理获取服务端API信息,提交给漏洞检测引擎扫描漏洞。其中自动化测试方法通过获取页面元素信息,识别按钮模拟点击触发网络事件获取服务端API信息,但是无法实现注册及登录行为的自动实现,部分注册功能还需要手机验证。因此使用自动化测试框架的动态提取API信息的方法无法获取到登录后访问的服务端API信息,也就无法检测该部分API的安全性。
发明内容
鉴于上述问题,提出了本发明的漏洞检测方法及装置,用以解决现有技术中移动应用程序漏洞检测不全面的问题。
根据本发明的一个方面,提供了一种漏洞检测方法,该方法包括:
对于移动应用安装包,获取多个应用页面;
对多个应用页面进行识别处理,得到注册页面和登录页面;
将预设用户信息和第一验证码信息输入至注册页面,以进行注册;
若注册成功,则将预设用户信息输入至登录页面,以进行登录;
若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据登录会话信息,对应用程序编程接口信息进行漏洞检测。
根据本发明的另一方面,提供了一种漏洞检测装置,该装置包括:
应用程序爬虫引擎,用于对于移动应用安装包,获取多个应用页面;
页面处理模块,用于对多个应用页面进行识别处理,得到注册页面和登录页面;
输入模块,用于将预设用户信息和第一验证码信息输入至注册页面,以进行注册;若注册成功,则将预设用户信息输入至登录页面,以进行登录;
应用程序爬虫引擎进一步用于:在登录成功后,获取移动应用程序登录后应用程序编程接口信息和登录会话信息;
漏洞检测模块,用于根据登录会话信息,对所述应用程序编程接口进行漏洞检测。
根据本发明的漏洞检测方法及装置,对于移动应用安装包,获取多个应用页面,对多个应用页面进行识别处理,得到注册页面和登录页面,将预设用户信息和第一验证码信息输入至注册页面,以进行注册,若注册成功,则将预设用户信息输入至登录页面,以进行登录,若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据登录会话信息,对应用程序编程接口信息进行漏洞检测。基于上述实施方案,实现了移动应用程序的自动注册和登录,解决了无法获得登录状态的应用程序编程接口信息或获取应用程序编程接口信息不完整的问题,从而提高了移动应用程序漏洞检测的完整性,提高了移动应用程序的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明提供的漏洞检测方法的实施例一的流程图;
图2示出了本发明提供的漏洞检测方法的实施例二的流程图;
图3示出了本发明提供的漏洞检测装置的实施例一的功能框图;
图4示出了本发明提供的漏洞检测装置的实施例二的功能框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了本发明提供的漏洞检测方法的实施例一的流程图。如图1所示,本实施例的漏洞检测方法,具体可以包括以下步骤:
步骤S100,对于移动应用安装包,获取多个应用页面。
本实施例中的移动应用安装包可以是用户从应用商店下载的想要安装到移动终端的应用安装包,还可以是利用移动终端设备上的浏览器下载到移动终端中想要安装的应用安装包,总的来说,是用户在安装之前想要判断是否存在漏洞的应用安装包。
每个移动应用安装包都包含有很多个应用页面和接口,以应用安装包为微信为例,可以包含:注册页面、登录页面、通讯录页面、聊天页面、朋友圈页面等等,其中部分接口的安全性可以在移动应用程序登录之前便能检测出来,而部分接口的安全性只能在移动应用程序登录之后才能检测出来,本实施例需要对移动应用程序登录之后才能检测出安全性的接口进行漏洞检测,在本步骤中,从移动应用安装包中获取多个应用页面。
步骤S101,对多个应用页面进行识别处理,得到注册页面和登录页面。
在步骤S100中获取了多个应用页面,需要对这些页面进行识别处理,主要是为了从多个应用页面中识别出注册页面和登录页面,以进行移动应用程序的自动注册和登录。
步骤S102,将预设用户信息和第一验证码信息输入至注册页面,以进行注册。
其中,预设用户信息包括:预设用户名字符串和预设密码字符串,用于移动应用程序的注册和登录;第一验证码信息用于移动应用程序的注册。
在本实施例中,预先设置用户信息,利用预设用户信息和第一验证码信息进行移动应用程序注册,即将预设用户信息和第一验证码信息输入至注册页面,进行应用注册。
步骤S103,若注册成功,则将预设用户信息输入至登录页面,以进行登录。
在注册成功后,利用步骤S102中注册移动应用程序时在注册页面所输入的预设用户信息登录移动应用程序,具体地,将预设用户信息输入至登录页面,进行登录。
步骤S104,若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据登录会话信息,对应用程序编程接口信息进行漏洞检测。
在利用预设用户信息登录至登录页面后,获取移动应用程序登录后应用程序编程接口信息(API信息)和登录会话信息,其中登录会话信息表明移动应用程序已登录,API信息为移动应用登录状态下所获取到的信息,根据登录会话信息对应用程序编程接口信息进行漏洞检测,具体地,可以将所获取到的API信息与预先存储的漏洞信息进行匹配,若API信息与预先存储的漏洞信息匹配一致,则说明API接口存在漏洞,提示用户该移动应用程序并不安全,让用户根据提示决定是否安装移动应用程序。
根据本发明上述实施例提供的漏洞检测方法,对于移动应用安装包,获取多个应用页面,对多个应用页面进行识别处理,得到注册页面和登录页面,将预设用户信息和第一验证码信息输入至注册页面,以进行注册,若注册成功,则将预设用户信息输入至登录页面,以进行登录,若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据登录会话信息,对应用程序编程接口信息进行漏洞检测。基于上述实施方案,实现了移动应用的自动注册和登录,解决了无法获得登录状态的应用程序编程接口信息或获取应用程序编程接口信息不完整的问题,从而提高了移动应用程序漏洞检测的完整性,提高了移动应用程序的安全性。
图2示出了本发明提供的漏洞检测方法的实施例二的流程图。如图2所示,本实施例的漏洞检测方法,具体可以包括以下步骤:
步骤S200,导入移动应用安装包完成自动安装及运行,执行自动模拟点击,获取多个应用页面。
具体地,每个移动应用安装包都包含有很多个应用页面,以移动应用安装包为微信为例,可以包含:注册页面、登录页面、通讯录页面、聊天页面、朋友圈页面等等,向应用程序爬虫引擎导入移动应用安装包完成自动安装及运行,由应用程序爬虫引擎执行自动模拟点击,获取多个应用页面。
步骤S201,对多个应用页面进行文字识别处理和/或图像识别处理,得到注册页面、登录页面以及注册页面和登录页面中的文本框属性信息,记录注册页面和登录页面的映射关系。
在利用步骤S200获取到多个应用页面后,对上述多个应用页面进行识别处理,主要是进行文字识别处理和/或图像识别处理,识别筛选出多个应用页面中的注册页面和登录页面,以及页面内文本框对应的属性信息,其中,文本框属性信息为以下信息中的一种:用户名和密码;或者用户名、密码和图文验证码;或者用户名、密码和短信验证码,并记录注册页面和登录页面的映射关系,主要是为了在完成注册后能够很快定位到登录页面,进行登录。
在文本框属性信息为:用户名、密码和短信验证码时,需要移动终端短信验证,具体可以采用如下方法步骤:
步骤S202,触发发送短信验证码事件,向移动终端发送获取短信验证码请求。
本实施例中,在识别出文本框属性信息为:用户名、密码和短信验证码的情况下,说明注册涉及到移动终端短信验证,需要获取短信验证码,可以通过触发发送短信验证码事件,通过向移动终端发送短信的方式,向移动终端发送获取短信验证码请求,在向移动终端发送获取短信验证码请求后,将处于等待接收短信验证码状态。
步骤S203,接收移动终端中监听模块响应获取短信验证码请求而返回的短信验证码。
本实施例中,移动终端中有一监听模块,监听模块在监听到收到短信后,从短信中识别出短信验证码,并响应获取短信验证码请求返回短信验证码,接收监听模块返回的短信验证码。
步骤S204,将预设用户名字符串、预设密码字符串和短信验证码输入至注册页面,以进行注册。
步骤S205,判断注册是否成功,若否,则执行步骤S206;若是,则执行步骤S207。
在接收到短信验证码之后,将预设用户名字符串、预设密码字符串和短信验证码输入至注册页面,进行移动应用程序注册,若注册成功,则可以进行移动应用程序的登录,若注册不成功,则需要用户手动完成注册。
一般情况下,在移动应用程序注册时,可以利用邮箱、手机号码等作为用户名进行注册,密码可以随机设置,例如英文字母和数字的组合,本领域技术人员可以根据实际需要对预设用户名字符串和预设密码字符串进行设置,这里不做具体说明。
步骤S206,返回移动操作界面,以供用户手动完成注册。
在注册未成功的情况下,需要向用户返回移动操作界面,用户可以利用所返回的移动操作界面,手动进行移动应用程序注册,在完成注册后,由应用程序爬虫引擎自动完成后续操作步骤。
步骤S207,根据映射关系定位到登录页面,将预设用户名字符串、预设密码字符串和第二验证码信息输入至登录页面,以进行登录。
具体地,若利用步骤S204完成移动应用程序注册,在根据步骤S201中所记录的注册页面和登录页面的映射关系,定位到登录页面,使用在步骤S204中注册时的预设用户名字符串和预设密码字符串登录移动应用程序,具体地,将预设用户名字符串、预设密码字符串和第二验证码信息输入至登录页面,以进行登录,其中,第二验证码信息用于移动应用程序的登录。
在本发明一种可选实施方式中,在根据映射关系定位到登录页面后,可以仅利用预设用户名字符串、预设密码字符串进行登录,也就是说不需要使用验证码即可登录页面,具体地,将预设用户名字符串、预设密码字符串输入至登录页面,以进行登录。
步骤S208,判断登录是否成功,若否,则执行步骤S209;若是,则执行步骤S210。
步骤S209,返回移动操作界面,以供用户手动完成登录。
在登录未成功的情况下,需要向用户返回移动操作界面,用户可以利用所返回的移动操作界面,手动进行移动应用程序登录,在完成登录后,由应用程序爬虫引擎自动完成后续操作步骤。
步骤S210,获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据所述登录会话信息,对应用程序编程接口信息进行漏洞检测。
在利用预设用户信息登录至登录页面后,获取应用程序登录后API信息和登录会话信息,其中登录会话信息表明移动应用程序已登录,API信息为移动应用程序登录状态下所获取到的信息,根据登录会话信息对应用程序编程接口信息进行漏洞检测,具体地,可以将所获取到的API信息与预先存储的漏洞信息进行匹配,若API信息与预先存储的漏洞信息匹配一致,则说明API接口存在漏洞,提示用户该移动应用程序并不安全,让用户根据提示决定是否安装移动应用程序。
根据本发明上述实施例提供的漏洞检测方法,实现了移动应用程序的自动注册和登录,解决了无法获得登录状态的应用程序编程接口信息或获取应用程序编程接口信息不完整的问题,从而提高了移动应用程序漏洞检测的完整性;对于需要短信验证才能注册的移动应用程序,可以自动触发发送短信验证码事件,向移动终端发送获取短信验证码请求,接收移动终端中监听模块响应获取短信验证码请求而返回的短信验证码,进行注册,解决了现有技术中无法实现自动注册的缺陷,对于无法自动完成注册或登录操作的,返回移动操作界面,可供用户手动完成注册或登录,从而能够获取移动应用程序登录后应用程序编程接口信息,对应用程序编程接口信息进行漏洞检测,使得对移动应用程序的漏洞检测更为全面,进一步提升了用户使用移动应用程序的安全性。
图3示出了本发明提供的漏洞检测装置的实施例一的功能框图。如图3所示,本实施例中漏洞检测装置,具体可以包括:应用程序爬虫引擎300、页面处理模块310、输入模块320和漏洞检测模块330。
应用程序爬虫引擎300,用于对于移动应用安装包,获取多个应用页面。
页面处理模块310,用于对多个应用页面进行识别处理,得到注册页面和登录页面。
输入模块320,用于将预设用户信息和第一验证码信息输入至注册页面,以进行注册;若注册成功,则将预设用户信息输入至登录页面,以进行登录。
应用程序爬虫引擎300进一步用于:在登录成功后,获取移动应用程序登录后应用程序编程接口信息和登录会话信息。
漏洞检测模块330,用于根据登录会话信息,对所述应用程序编程接口信息进行漏洞检测。
根据本发明上述实施例提供的漏洞检测装置,对于移动应用安装包,获取多个应用页面,对多个应用页面进行识别处理,得到注册页面和登录页面,将预设用户信息和第一验证码信息输入至注册页面,以进行注册,若注册成功,则将预设用户信息输入至登录页面,以进行登录,若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据所述登录会话信息,对应用程序编程接口信息进行漏洞检测。基于上述实施方案,实现了移动应用程序的自动注册和登录,解决了无法获得登录状态的应用程序编程接口信息或获取应用程序编程接口信息不完整的问题,从而提高了移动应用程序漏洞检测的完整性,提高了移动应用程序的安全性。
图4示出了本发明提供的漏洞检测装置的实施例二的功能框图。如图4所示,本实施例中漏洞检测装置,具体可以包括:应用程序爬虫引擎400、页面处理模块410、输入模块420和漏洞检测模块430。
应用程序爬虫引擎400,用于对于移动应用安装包,获取多个应用页面。
页面处理模块410,用于对多个应用页面进行识别处理,得到注册页面和登录页面。
输入模块420,用于将预设用户信息和第一验证码信息输入至注册页面,以进行注册;若注册成功,则将预设用户信息输入至登录页面,以进行登录。
应用程序爬虫引擎400进一步用于:在登录成功后,获取移动应用程序登录后应用程序编程接口信息和登录会话信息。
漏洞检测模块430,用于根据登录会话信息,对应用程序编程接口信息进行漏洞检测。
可选地,页面处理模块410进一步用于:对多个应用页面进行文字识别处理和/或图像识别处理,得到注册页面、登录页面以及注册页面和登录页面中的文本框属性信息,记录注册页面和登录页面的映射关系。
可选地,输入模块420进一步用于:根据映射关系定位到登录页面,将预设用户信息和第二验证码信息输入至登录页面,以进行登录。
可选地,预设用户信息包括:预设用户名字符串和预设密码字符串;
文本框属性信息为以下信息中的一种:用户名和密码;或者用户名、密码和图文验证码;或者用户名、密码和短信验证码。
可选地,若文本框属性信息为用户名、密码和短信验证码,输入模块420进一步用于:触发发送短信验证码事件,向所述移动终端发送获取短信验证码请求,接收移动终端中监听模块响应所述获取短信验证码请求而返回的短信验证码,将预设用户名字符串、预设密码字符串和短信验证码输入至所述注册页面,以进行注册。
可选地,若未注册成功或未登录成功,装置还包括:交互模块440,用于返回移动操作界面,以供用户手动完成注册或登录。
可选地,应用程序爬虫引擎400进一步用于:接收移动应用安装包完成自动安装及运行,执行自动模拟点击,获取多个应用页面。
根据本发明上述实施例提供的漏洞检测装置,实现了移动应用的自动注册和登录,解决了无法获得登录状态的应用程序编程接口信息或获取应用程序编程接口信息不完整的问题,从而提高了移动应用程序漏洞检测的完整性;对于需要短信验证才能注册的应用,可以自动触发发送短信验证码事件,向移动终端发送获取短信验证码请求,接收移动终端中监听模块响应获取短信验证码请求而返回的短信验证码,进行注册,解决了现有技术中无法实现自动注册的缺陷,对于无法自动完成注册或登录操作的,返回移动操作界面,可供用户手动完成注册或登录,从而能够获取移动应用程序登录后应用程序编程接口信息,对应用程序编程接口信息进行漏洞检测,使得对移动应用程序的漏洞检测更为全面,进一步提升了用户使用移动应用程序的安全性。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应该被理解和认定为覆盖了所有这些其他变型或修改。
本领域技术人员应当理解,本发明的实施方式可以实现为一种***、装置、设备、方法或计算机程序产品。此外,本发明也不针对任何特定编程语言,应当明白,可以利用各种编程语言实现本发明描述的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
此外,尽管在附图中以特定顺序描述了本发明实施操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。可以省略某些步骤,将多个步骤合并为一个步骤执行,或者将一个步骤分成多个步骤执行。
以上对本发明的方法和具体实施方法进行了详细的介绍,并给出了相应的实施例。当然,除上述实施例外,本发明还可以有其它实施方式,凡采用等同替换或等效变换形成的技术方案,均落在本发明所要保护的范围之内。
本发明公开了:A1、一种漏洞检测方法,其特征在于,所述方法包括:
对于移动应用安装包,获取多个应用页面;
对所述多个应用页面进行识别处理,得到注册页面和登录页面;
将预设用户信息和第一验证码信息输入至所述注册页面,以进行注册;
若注册成功,则将所述预设用户信息输入至所述登录页面,以进行登录;
若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据所述登录会话信息,对应用程序编程接口信息进行漏洞检测。
A2、根据A1所述的方法,其特征在于,所述对多个应用页面进行识别处理,得到注册页面和登录页面进一步包括:
对所述多个应用页面进行文字识别处理和/或图像识别处理,得到注册页面、登录页面以及注册页面和登录页面中的文本框属性信息,记录所述注册页面和登录页面的映射关系。
A3、根据A2所述的方法,其特征在于,所述将预设用户信息输入至所述登录页面,以进行登录进一步包括:
根据所述映射关系定位到登录页面,将所述预设用户信息和第二验证码信息输入至所述登录页面,以进行登录。
A4、根据A2或A3所述的方法,其特征在于,所述预设用户信息包括:预设用户名字符串和预设密码字符串;
文本框属性信息为以下信息中的一种:用户名和密码;或者用户名、密码和图文验证码;或者用户名、密码和短信验证码。
A5、根据A4所述的方法,其特征在于,若文本框属性信息为用户名、密码和短信验证码,所述将预设用户信息和第一验证码信息输入至所述注册页面,以进行注册进一步包括:
触发发送短信验证码事件,向所述移动终端发送获取短信验证码请求;
接收移动终端中监听模块响应所述获取短信验证码请求而返回的短信验证码;
将预设用户名字符串、预设密码字符串和短信验证码输入至所述注册页面,以进行注册。
A6、根据A1-A3任一项所述的方法,其特征在于,若未注册成功或未登录成功,所述方法还包括:
返回移动操作界面,以供用户手动完成注册或登录。
A7、根据A1-A3任一项所述的方法,其特征在于,所述对于移动应用安装包,获取多个应用页面进一步包括:
导入移动应用安装包完成自动安装及运行,执行自动模拟点击,获取多个应用页面。
本发明还公开了:B8、一种漏洞检测装置,其特征在于,所述装置包括:
应用程序爬虫引擎,用于对于移动应用安装包,获取多个应用页面;
页面处理模块,用于对所述多个应用页面进行识别处理,得到注册页面和登录页面;
输入模块,用于将预设用户信息和第一验证码信息输入至所述注册页面,以进行注册;若注册成功,则将所述预设用户信息输入至所述登录页面,以进行登录;
应用程序爬虫引擎进一步用于:在登录成功后,获取移动应用程序登录后应用程序编程接口信息和登录会话信息;
漏洞检测模块,用于根据登录会话信息,对所述应用程序编程接口信息进行漏洞检测。
B9、根据B8所述的装置,其特征在于,所述页面处理模块进一步用于:
对所述多个应用页面进行文字识别处理和/或图像识别处理,得到注册页面、登录页面以及注册页面和登录页面中的文本框属性信息,记录所述注册页面和登录页面的映射关系。
B10、根据B9所述的装置,其特征在于,所述输入模块进一步用于:
根据所述映射关系定位到登录页面,将所述预设用户信息和第二验证码信息输入至所述登录页面,以进行登录。
B11、根据B9或B10所述的装置,其特征在于,所述预设用户信息包括:预设用户名字符串和预设密码字符串;
文本框属性信息为以下信息中的一种:用户名和密码;或者用户名、密码和图文验证码;或者用户名、密码和短信验证码。
B12、根据B11所述的装置,其特征在于,若文本框属性信息为用户名、密码和短信验证码,所述输入模块进一步用于:触发发送短信验证码事件,向所述移动终端发送获取短信验证码请求,接收移动终端中监听模块响应所述获取短信验证码请求而返回的短信验证码,将预设用户名字符串、预设密码字符串和短信验证码输入至所述注册页面,以进行注册。
B13、根据B8-B10任一项所述的装置,其特征在于,若未注册成功或未登录成功,所述装置还包括:
交互模块,用于返回移动操作界面,以供用户手动完成注册或登录。
B14、根据B8-B10任一项所述的装置,其特征在于,所述应用程序爬虫引擎进一步用于:
接收移动应用安装包完成自动安装及运行,执行自动模拟点击,获取多个应用页面。
Claims (14)
1.一种漏洞检测方法,其特征在于,所述方法包括:
对于移动应用安装包,获取多个应用页面;
对所述多个应用页面进行识别处理,得到注册页面和登录页面;
将预设用户信息和第一验证码信息输入至所述注册页面,以进行注册;
若注册成功,则将所述预设用户信息输入至所述登录页面,以进行登录;
若登录成功,则获取移动应用程序登录后应用程序编程接口信息和登录会话信息,根据所述登录会话信息,对应用程序编程接口信息进行漏洞检测。
2.根据权利要求1所述的方法,其特征在于,对所述多个应用页面进行识别处理,得到注册页面和登录页面进一步包括:
对所述多个应用页面进行文字识别处理和/或图像识别处理,得到注册页面、登录页面以及注册页面和登录页面中的文本框属性信息,记录所述注册页面和登录页面的映射关系。
3.根据权利要求2所述的方法,其特征在于,所述将预设用户信息输入至所述登录页面,以进行登录进一步包括:
根据所述映射关系定位到登录页面,将所述预设用户信息和第二验证码信息输入至所述登录页面,以进行登录。
4.根据权利要求2或3所述的方法,其特征在于,所述预设用户信息包括:预设用户名字符串和预设密码字符串;
文本框属性信息为以下信息中的一种:用户名和密码;或者用户名、密码和图文验证码;或者用户名、密码和短信验证码。
5.根据权利要求4所述的方法,其特征在于,若文本框属性信息为用户名、密码和短信验证码,所述将预设用户信息和第一验证码信息输入至所述注册页面,以进行注册进一步包括:
触发发送短信验证码事件,向移动终端发送获取短信验证码请求;
接收移动终端中监听模块响应所述获取短信验证码请求而返回的短信验证码;
将预设用户名字符串、预设密码字符串和短信验证码输入至所述注册页面,以进行注册。
6.根据权利要求1-3任一项所述的方法,其特征在于,若未注册成功或未登录成功,所述方法还包括:
返回移动操作界面,以供用户手动完成注册或登录。
7.根据权利要求1-3任一项所述的方法,其特征在于,所述对于移动应用安装包,获取多个应用页面进一步包括:
导入移动应用安装包完成自动安装及运行,执行自动模拟点击,获取多个应用页面。
8.一种漏洞检测装置,其特征在于,所述装置包括:
应用程序爬虫引擎,用于对于移动应用安装包,获取多个应用页面;
页面处理模块,用于对所述多个应用页面进行识别处理,得到注册页面和登录页面;
输入模块,用于将预设用户信息和第一验证码信息输入至所述注册页面,以进行注册;若注册成功,则将所述预设用户信息输入至所述登录页面,以进行登录;
应用程序爬虫引擎进一步用于:在登录成功后,获取移动应用程序登录后应用程序编程接口信息和登录会话信息;
漏洞检测模块,用于根据登录会话信息,对所述应用程序编程接口信息进行漏洞检测。
9.根据权利要求8所述的装置,其特征在于,所述页面处理模块进一步用于:
对所述多个应用页面进行文字识别处理和/或图像识别处理,得到注册页面、登录页面以及注册页面和登录页面中的文本框属性信息,记录所述注册页面和登录页面的映射关系。
10.根据权利要求9所述的装置,其特征在于,所述输入模块进一步用于:
根据所述映射关系定位到登录页面,将所述预设用户信息和第二验证码信息输入至所述登录页面,以进行登录。
11.根据权利要求9或10所述的装置,其特征在于,所述预设用户信息包括:预设用户名字符串和预设密码字符串;
文本框属性信息为以下信息中的一种:用户名和密码;或者用户名、密码和图文验证码;或者用户名、密码和短信验证码。
12.根据权利要求11所述的装置,其特征在于,若文本框属性信息为用户名、密码和短信验证码,所述输入模块进一步用于:触发发送短信验证码事件,向移动终端发送获取短信验证码请求,接收移动终端中监听模块响应所述获取短信验证码请求而返回的短信验证码,将预设用户名字符串、预设密码字符串和短信验证码输入至所述注册页面,以进行注册。
13.根据权利要求8-10任一项所述的装置,其特征在于,若未注册成功或未登录成功,所述装置还包括:
交互模块,用于返回移动操作界面,以供用户手动完成注册或登录。
14.根据权利要求8-10任一项所述的装置,其特征在于,所述应用程序爬虫引擎进一步用于:
接收移动应用安装包完成自动安装及运行,执行自动模拟点击,获取多个应用页面。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610392723.XA CN105827664B (zh) | 2016-06-06 | 2016-06-06 | 漏洞检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610392723.XA CN105827664B (zh) | 2016-06-06 | 2016-06-06 | 漏洞检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105827664A CN105827664A (zh) | 2016-08-03 |
| CN105827664B true CN105827664B (zh) | 2019-01-29 |
Family
ID=56532798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610392723.XA Active CN105827664B (zh) | 2016-06-06 | 2016-06-06 | 漏洞检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105827664B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106295353B (zh) * | 2016-08-08 | 2020-04-07 | 腾讯科技(深圳)有限公司 | 一种引擎漏洞检测的方法以及检测装置 |
| CN106453275A (zh) * | 2016-09-23 | 2017-02-22 | 成都知道创宇信息技术有限公司 | 一种在Web漏洞扫描器中识别字符验证码的方法 |
| CN106685938B (zh) * | 2016-12-16 | 2019-07-05 | 杭州迪普科技股份有限公司 | 一种为登录页面生成防护配置的方法和装置 |
| CN107682361B (zh) * | 2017-10-31 | 2020-04-14 | 平安科技(深圳)有限公司 | 网站漏洞扫描方法、装置、计算机设备及存储介质 |
| CN109688122B (zh) * | 2018-12-18 | 2021-04-30 | 西安四叶草信息技术有限公司 | 数据获取方法及设备 |
| CN111723374B (zh) * | 2020-06-05 | 2024-06-11 | 绿盟科技集团股份有限公司 | 一种漏洞扫描方法及装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369272A (zh) * | 2007-08-17 | 2009-02-18 | 徐萍 | 一种自动填充***及自动填充注册或登录信息的方法 |
| CN101272237B (zh) * | 2008-04-22 | 2010-10-06 | 北京飞天诚信科技有限公司 | 一种用于自动生成和填写登录信息的方法和*** |
| CN104468459B (zh) * | 2013-09-12 | 2018-10-02 | 深圳市腾讯计算机***有限公司 | 一种漏洞检测方法及装置 |
| CN103714292B (zh) * | 2014-01-15 | 2016-10-05 | 四川师范大学 | 一种漏洞利用代码的检测方法 |
| CN103984900B (zh) * | 2014-05-19 | 2017-03-01 | 南京赛宁信息技术有限公司 | Android应用漏洞检测方法及*** |
| CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
-
2016
- 2016-06-06 CN CN201610392723.XA patent/CN105827664B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN105827664A (zh) | 2016-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105827664B (zh) | 漏洞检测方法及装置 | |
| US10243904B1 (en) | Determining authenticity of reported user action in cybersecurity risk assessment | |
| CN110378749B (zh) | 客户端相似性的评估方法、装置、终端设备及存储介质 | |
| CN104093141B (zh) | 终端应用的登录方法、装置、客户端及电子设备 | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| CN110324311A (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| CN108011863A (zh) | 识别暴力破解的方法及装置 | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及*** | |
| CN105847288B (zh) | 一种验证码处理方法和装置 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| CN105635178B (zh) | 保证安全的阻塞式网络访问方法及装置 | |
| JP2019519008A (ja) | 情報漏えい検査の方法、装置、サーバー及びコンピュータ可読記憶媒体 | |
| CN109976995B (zh) | 用于测试的方法和装置 | |
| CN107135195A (zh) | 异常用户账号的检测方法和装置 | |
| CN111241517A (zh) | 一种生物特征验证问答库的构建方法和装置 | |
| CN106550031A (zh) | 数据备份的方法及装置 | |
| CN104698919A (zh) | 一种对智能终端进行验机的方法和装置 | |
| CN110460612A (zh) | 安全测试方法、设备、存储介质及装置 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| CN106209757A (zh) | 自动检测和填充登录字段的便捷登录方法、装置和*** | |
| CN109656829A (zh) | 基于docker的测试方法及装置 | |
| CN108156165A (zh) | 一种误报检测的方法以及*** | |
| CN107517180B (zh) | 登录方法和装置 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN105337739B (zh) | 安全登录方法、装置、服务器及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 3F301, C2 Building, Suzhou 2.5 Industrial Park, 88 Dongchang Road, Suzhou Industrial Park, Jiangsu Province Applicant after: JIANGSU PAYEGIS TECHNOLOGY CO., LTD. Address before: A street in Suzhou City, Jiangsu Province Industrial Park No. 388 innovation park off No. 6 Building 5 floor Applicant before: JIANGSU PAYEGIS TECHNOLOGY CO., LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |