����、可維護(hù)性等指標(biāo),將不滿足規(guī)范性����、安全性�����、可靠性����、可維護(hù)性等指標(biāo)的代碼所具有的靜態(tài)特征稱為漏洞靜態(tài)特征�。
[0035]可選地,漏洞靜態(tài)特征包括:調(diào)用危險(xiǎn)的應(yīng)用程序接口���、和/或具有危險(xiǎn)的應(yīng)用程序配置文件��、和/或無(wú)法實(shí)現(xiàn)關(guān)鍵安全函數(shù)。其中����,調(diào)用危險(xiǎn)的應(yīng)用程序接口是指開(kāi)發(fā)方所開(kāi)發(fā)的應(yīng)用程序調(diào)用危險(xiǎn)的應(yīng)用程序接口,用戶啟動(dòng)應(yīng)用程序后���,該應(yīng)用程序可以通過(guò)危險(xiǎn)的應(yīng)用程序接口而將用戶隱私泄露�,甚至給用戶造成財(cái)產(chǎn)損失�����;具有危險(xiǎn)的應(yīng)用程序配置文件是指開(kāi)發(fā)方所開(kāi)發(fā)的應(yīng)用程序具有危險(xiǎn)的應(yīng)用程序配置文件,用戶在啟動(dòng)該應(yīng)用程序后����,該應(yīng)用程序通過(guò)運(yùn)行危險(xiǎn)的應(yīng)用程序配置文件而將用戶隱私泄露,甚至給用戶造成財(cái)產(chǎn)損失��;無(wú)法實(shí)現(xiàn)關(guān)鍵安全函數(shù)是指開(kāi)發(fā)方開(kāi)發(fā)的應(yīng)用程序無(wú)法實(shí)現(xiàn)應(yīng)用程序中關(guān)鍵安全函數(shù)的作用�����,而將用戶隱私泄露�����,甚至給用戶造成財(cái)產(chǎn)損失���。
[0036]獲取應(yīng)用程序開(kāi)發(fā)方上傳的待檢測(cè)的應(yīng)用程序的安裝包文件����,根據(jù)編碼經(jīng)驗(yàn)對(duì)安裝包文件進(jìn)行分析����,從該安裝包文件中提取出相關(guān)的靜態(tài)特征�����,通過(guò)將安裝包文件的靜態(tài)特征與預(yù)先存儲(chǔ)的漏洞靜態(tài)特征進(jìn)行匹配����,來(lái)對(duì)安裝包文件進(jìn)行靜態(tài)檢測(cè)����,例如,將安裝包文件的靜態(tài)特征與漏洞靜態(tài)特征中的調(diào)用危險(xiǎn)的應(yīng)用程序接口這一特征進(jìn)行匹配�����,若安裝包文件的靜態(tài)特征與漏洞靜態(tài)特征中的調(diào)用危險(xiǎn)的應(yīng)用程序接口這一特征所匹配��,則得到安裝包文件中存在漏洞為調(diào)用危險(xiǎn)的應(yīng)用程序接口的靜態(tài)檢測(cè)結(jié)果��,說(shuō)明應(yīng)用程序開(kāi)發(fā)方所開(kāi)發(fā)的應(yīng)用程序可以調(diào)用危險(xiǎn)應(yīng)用的接口�,而對(duì)用戶的終端設(shè)備造成危害���;若安裝包文件的靜態(tài)特征與漏洞靜態(tài)特征中的調(diào)用危險(xiǎn)的應(yīng)用程序接口這一特征不匹配���,則得到安裝包文件中不存在漏洞為調(diào)用危險(xiǎn)的應(yīng)用程序接口的靜態(tài)檢測(cè)結(jié)果���。
[0037]通過(guò)將安裝包文件的靜態(tài)特征與預(yù)先存儲(chǔ)的漏洞靜態(tài)特征進(jìn)行匹配,可以幫助開(kāi)發(fā)方查找安裝包文件中存在的安全漏洞等問(wèn)題��,從而保證應(yīng)用程序的整體質(zhì)量��,防止泄露用戶隱私或給用戶造成財(cái)產(chǎn)損失�����。
[0038]步驟S201��,將安裝包文件傳遞給終端設(shè)備����,以使終端設(shè)備安裝該安裝包文件對(duì)應(yīng)的應(yīng)用程序。
[0039]在該步驟中����,將安裝包文件傳遞給終端設(shè)備后,在終端設(shè)備側(cè)安裝該安裝包文件對(duì)應(yīng)的應(yīng)用程序�,以在完全真實(shí)的終端設(shè)備環(huán)境下對(duì)終端設(shè)備進(jìn)行動(dòng)態(tài)檢測(cè),與終端設(shè)備模擬器相比���,檢測(cè)過(guò)程更加穩(wěn)定���,審計(jì)結(jié)果更加準(zhǔn)確����。
[0040]步驟S202���,將終端設(shè)備實(shí)際運(yùn)行應(yīng)用程序所產(chǎn)生的動(dòng)態(tài)特征與預(yù)先存儲(chǔ)的漏洞動(dòng)態(tài)特征進(jìn)行匹配�����,得到動(dòng)態(tài)檢測(cè)結(jié)果�。
[0041]漏洞動(dòng)態(tài)特征是通過(guò)在真實(shí)環(huán)境中執(zhí)行應(yīng)用程序的方式下�,對(duì)應(yīng)用程序進(jìn)行動(dòng)態(tài)檢測(cè),應(yīng)用程序所存在的漏洞特征�。
[0042]可選地,漏洞動(dòng)態(tài)特征包括:SQL注入檢測(cè)返回特定的錯(cuò)誤代碼和/或應(yīng)用程序存在全局可讀寫(xiě)的文件和/或遠(yuǎn)程代碼執(zhí)行�。
[0043]在終端設(shè)備安裝上述安裝包文件對(duì)應(yīng)的應(yīng)用程序后,運(yùn)行該應(yīng)用程序����,并將終端設(shè)備運(yùn)行應(yīng)用程序的過(guò)程中產(chǎn)生的動(dòng)態(tài)特征與預(yù)先存儲(chǔ)的漏洞動(dòng)態(tài)特征進(jìn)行匹配,例如與漏洞動(dòng)態(tài)特征中的應(yīng)用程序存在全局可讀寫(xiě)的文件這一特征進(jìn)行匹配��,若終端設(shè)備實(shí)際運(yùn)行應(yīng)用程序所產(chǎn)生的動(dòng)態(tài)特征與漏洞動(dòng)態(tài)特征中的應(yīng)用程序存在全局可讀寫(xiě)的文件這一特征所匹配�,則得到安裝包文件中存在漏洞為應(yīng)用程序存在全局可讀寫(xiě)的文件的動(dòng)態(tài)檢測(cè)結(jié)果,說(shuō)明應(yīng)用程序開(kāi)發(fā)方所開(kāi)發(fā)的應(yīng)用程序存在全局可讀寫(xiě)文件���,而對(duì)用戶的終端設(shè)備造成危害�����;若終端設(shè)備實(shí)際運(yùn)行應(yīng)用程序所產(chǎn)生的動(dòng)態(tài)特征與漏洞動(dòng)態(tài)特征中的應(yīng)用程序存在全局可讀寫(xiě)的文件這一特征不匹配���,則得到安裝包文件中不存在漏洞為應(yīng)用程序存在全局可讀寫(xiě)的文件的動(dòng)態(tài)檢測(cè)結(jié)果。
[0044]通過(guò)將安裝包文件的動(dòng)態(tài)特征與預(yù)先存儲(chǔ)的漏洞動(dòng)態(tài)特征進(jìn)行匹配����,可以幫助開(kāi)發(fā)方查找安裝包文件中存在的安全漏洞等問(wèn)題。
[0045]步驟S203�����,結(jié)合靜態(tài)檢測(cè)結(jié)果和動(dòng)態(tài)檢測(cè)結(jié)果�,檢測(cè)應(yīng)用程序是否具有漏洞,進(jìn)而確定對(duì)應(yīng)用程序的安全審計(jì)結(jié)果��。
[0046]可選地�,若所述靜態(tài)檢測(cè)結(jié)果表明所述安裝包文件的靜態(tài)特征與預(yù)先存儲(chǔ)的至少一個(gè)漏洞靜態(tài)特征相匹配,和/或,所述動(dòng)態(tài)檢測(cè)結(jié)果表明所述終端設(shè)備實(shí)際運(yùn)行所述應(yīng)用程序所產(chǎn)生的動(dòng)態(tài)特征與預(yù)先存儲(chǔ)的至少一個(gè)漏洞動(dòng)態(tài)特征相匹配����,則檢測(cè)出所述應(yīng)用程序具有漏洞,進(jìn)而確定對(duì)應(yīng)用程序的安全審計(jì)結(jié)果����。安全審計(jì)結(jié)果可以向開(kāi)發(fā)方展示應(yīng)用程序存在哪些漏洞、漏洞修復(fù)建議和漏洞出處�����,也可以向開(kāi)發(fā)方展示應(yīng)用程序的漏洞等級(jí)���,這里主要根據(jù)所涉及到威脅等級(jí)將漏洞分為超危���、高危、中危�����、低危漏洞�,開(kāi)發(fā)方可以根據(jù)應(yīng)用程序的漏洞等級(jí)確定是否對(duì)漏洞進(jìn)行修復(fù),在開(kāi)發(fā)方確定進(jìn)行漏洞修復(fù)的情況下���,可以根據(jù)安全審計(jì)結(jié)果給出漏洞出處和漏洞修復(fù)建議有針對(duì)性的對(duì)應(yīng)用程序安裝包文件進(jìn)行修改����。
[0047]根據(jù)本發(fā)明上述實(shí)施例提供的方法���,通過(guò)對(duì)安裝包文件進(jìn)行靜態(tài)檢測(cè)�����,在終端設(shè)備側(cè)對(duì)運(yùn)行的應(yīng)用程序進(jìn)行動(dòng)態(tài)檢測(cè)�����,來(lái)檢測(cè)安裝包文件是否存在漏洞���,進(jìn)而確定對(duì)應(yīng)用程序的安全審計(jì)結(jié)果,在完全真實(shí)的終端設(shè)備環(huán)境下對(duì)終端設(shè)備進(jìn)行動(dòng)態(tài)檢測(cè)����,與終端設(shè)備模擬器相比,檢測(cè)過(guò)程更加穩(wěn)定���,審計(jì)結(jié)果更加準(zhǔn)確���;此外��,可以幫助開(kāi)發(fā)方查找安裝包文件中存在的安全漏洞等問(wèn)題��,從而保證應(yīng)用程序的整體質(zhì)量�����,防止泄露用戶隱私或給用戶造成財(cái)產(chǎn)損失��。
[0048]圖3示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的應(yīng)用程序漏洞檢測(cè)方法的流程圖�����。如圖3所示�����,該方法包括以下步驟:
[0049]步驟S300��,收集大量應(yīng)用程序的漏洞靜態(tài)特征和漏洞動(dòng)態(tài)特征��,預(yù)先將漏洞靜態(tài)特征和漏洞動(dòng)態(tài)特征存儲(chǔ)到云端漏洞知識(shí)庫(kù)中�����。
[0050]通過(guò)對(duì)大量的應(yīng)用程序進(jìn)行靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)��,得到應(yīng)用程序的漏洞靜態(tài)特征和漏洞動(dòng)態(tài)特征����,并將所得到的漏洞靜態(tài)特征和漏洞動(dòng)態(tài)特征存儲(chǔ)到云端漏洞知識(shí)庫(kù)中,供對(duì)開(kāi)發(fā)方上傳的待檢測(cè)的應(yīng)用程序進(jìn)行靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)����。云端漏洞知識(shí)庫(kù)是云端維護(hù)的存儲(chǔ)各種漏洞靜態(tài)特征和漏洞動(dòng)態(tài)特征的數(shù)據(jù)庫(kù)�,在圖1所示的系統(tǒng)中,云端漏洞知識(shí)庫(kù)可以設(shè)置在獨(dú)立的云端服務(wù)器(圖1未示出)�����,各個(gè)審計(jì)節(jié)點(diǎn)都可以訪問(wèn)該云端服務(wù)器的云端漏洞知識(shí)庫(kù)�����;或者���,在每臺(tái)安全審計(jì)服務(wù)器中設(shè)置云端漏洞知識(shí)庫(kù)��,以便不同安全審計(jì)服務(wù)器中的審計(jì)節(jié)點(diǎn)訪問(wèn)自己服務(wù)器中的云端漏洞知識(shí)庫(kù)�。
[0051]步驟S301,獲取待檢測(cè)的應(yīng)用程序的安裝包文件����。
[0052]在應(yīng)用程序開(kāi)發(fā)方提交應(yīng)用程序后,任務(wù)調(diào)度服務(wù)器為應(yīng)用程序創(chuàng)建對(duì)應(yīng)的處理任務(wù)���,將處理任務(wù)分配給對(duì)應(yīng)的審計(jì)節(jié)點(diǎn)�,審計(jì)節(jié)點(diǎn)獲取該待檢測(cè)的應(yīng)用程序的安裝包文件����,對(duì)其進(jìn)行安全審計(jì)。
[0053]步驟S302�����,對(duì)安裝包文件進(jìn)行反編譯處理����,得到反編譯代碼。
[0054]反編譯處理是借用反編譯器���,嘗試從程序的機(jī)器碼或字節(jié)碼����,重現(xiàn)高級(jí)語(yǔ)言形式的源代碼。審計(jì)節(jié)點(diǎn)在獲取到應(yīng)用程序的安裝包文件后���,先對(duì)安裝包文件進(jìn)行反編譯處理����,得到高級(jí)語(yǔ)言形式的源代碼����,例如,在對(duì)安裝包文件進(jìn)行反編譯處理后得到Java代碼����。
[0055]步驟S303��,從反編譯代碼中提取安裝包文件的靜態(tài)特征�。
[0056]步驟S304,通過(guò)將安裝包文件的靜態(tài)特征與預(yù)先存儲(chǔ)的漏洞靜態(tài)特征進(jìn)行匹配��,得到靜態(tài)檢測(cè)結(jié)果�。
[0057]將從步驟S303提取的安裝包文件的靜態(tài)特征與步驟S300中云端漏洞知識(shí)庫(kù)中預(yù)先存儲(chǔ)的漏洞靜態(tài)特征進(jìn)行匹配,例如與調(diào)用危險(xiǎn)的應(yīng)用程序接口這一特征進(jìn)行匹配�����,若安裝包文件的靜態(tài)特征與漏洞靜態(tài)特征中的調(diào)用危險(xiǎn)的應(yīng)用程序接口這一特征所匹配,則得到安裝包文件中存在漏洞為調(diào)用危險(xiǎn)的應(yīng)用程序接口的靜態(tài)檢測(cè)結(jié)果�,說(shuō)明應(yīng)用程序開(kāi)發(fā)方所開(kāi)發(fā)的應(yīng)用程序可以調(diào)用危險(xiǎn)應(yīng)用的接口,而對(duì)用戶的終端設(shè)備造成危害����;若安裝包文件的靜態(tài)特征與漏洞靜態(tài)特征中的調(diào)用危險(xiǎn)的應(yīng)用程序接口這一特征不匹配,則得到安裝包文件中不存在漏洞為調(diào)用危險(xiǎn)的應(yīng)用程序接口的靜態(tài)檢測(cè)結(jié)果�����。
[0058]步驟S305�����,將安裝包文件傳遞給終端設(shè)備���,以使終端設(shè)備安裝該安裝包文件對(duì)應(yīng)的應(yīng)用程序�����。
[0059]在該步驟中�,將安裝包文件傳遞給終端設(shè)備后��,在終端設(shè)備側(cè)安裝該安裝包文件對(duì)應(yīng)的應(yīng)用程序,以在完全真實(shí)的終端設(shè)備環(huán)境下對(duì)終端設(shè)備進(jìn)行動(dòng)態(tài)檢測(cè)��,與終端設(shè)備模擬器相比�,檢測(cè)過(guò)程更加穩(wěn)定,審計(jì)結(jié)果更加準(zhǔn)確��。
[0060]步驟S306��,利用預(yù)先存儲(chǔ)的漏洞動(dòng)態(tài)特征����,根據(jù)與預(yù)先存儲(chǔ)的漏洞動(dòng)態(tài)特征對(duì)應(yīng)的動(dòng)態(tài)檢測(cè)邏輯通過(guò)觸發(fā)終端設(shè)備中的動(dòng)態(tài)檢測(cè)的代理程序?qū)Π惭b有安裝包文件的終端設(shè)備進(jìn)行動(dòng)態(tài)檢測(cè),得到動(dòng)態(tài)