[发明专利]一种检测应用漏洞的方法及装置

权利要求书

1.一种检测应用漏洞的方法，其特征在于，所述方法包括：

获取待检测的应用，并启动所述待检测的应用；

获取用户输入的信息，将所述用户输入的信息发送给服务器，并捕获与所述服务器之间的通信数据；

根据所述用户输入的信息和所述通信数据，检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息；

如果是通过明文的方式传输所述用户输入的信息，则确定所述待检测的应用存在漏洞。

2.根据权利要求1所述的方法，其特征在于，所述根据所述用户输入的信息和所述通信数据，检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息，包括：

通过预设算法转换对所述用户输入的信息进行加密，生成加密后的用户输入信息；

解析所述通信数据，并在解析出的所述通信数据中查询是否存在所述加密后的用户输入信息或所述用户输入的信息；

如果查询到所述用户输入的信息，则确定所述待检测的应用是通过明文的方式传输所述用户输入的信息。

3.根据权利要求2所述的方法，其特征在于，所述在解析出的所述通信数据中查询是否存在所述加密后的用户输入信息或所述用户输入的信息之后，所述方法还包括：

如果查询到所述加密后的用户输入信息，则确定所述待检测的应用是通过非明文的方式传输所述用户输入的信息，并确定传输所述用户输入的信息的方式为安全方式。

4.根据权利要求1所述的方法，其特征在于，所述根据所述用户输入的信息和所述通信数据，检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息之后，所述方法还包括：

根据所述用户输入的信息，检测所述待检测的应用是否是通过明文的方式保存所述用户输入的信息；

如果是通过明文的方式保存所述用户输入的信息，则确定所述待检测的应用存在漏洞。

5.根据权利要求4所述的方法，其特征在于，所述根据所述用户输入的信息，检测所述待检测的应用是否是通过明文的方式保存所述用户输入的信息，包括：

通过预设算法转换对所述用户输入的信息进行加密，生成加密后的用户输入信息；

在所述待检测的应用的文件中，查询是否存在所述加密后的用户输入信息或所述用户输入的信息；

如果查询到所述户输入的信息，则确定所述待检测的应用是通过明文的方式保存所述用户输入的信息。

6.根据权利要求5所述的方法，其特征在于，所述查询是否存在所述加密后的用户输入信息或所述用户输入的信息之后，所述方法还包括：

如果查询到所述加密后的用户输入信息，则确定所述待检测的应用是通过非明文的方式保存所述用户输入的信息，并确定保存所述用户输入的信息的方式为安全方式。

7.根据权利要求1所述的方法，其特征在于，所述根据所述用户输入的信息和所述通信数据，检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息之后，所述方法还包括：

对所述待检测的应用的安装包进行反编译，得到所述待检测的应用的安装文件；

在所述安装文件中获取保存所述待检测的应用组件权限的权限文件，并在所述权限文件中检测预设的组件对应的权限值是否为预设的权限值；

如果查询到所述预设的组件对应的权限值为预设的权限值，则确定所述待检测的应用存在漏洞。

8.根据权利要求1至7中任一项所述的方法，其特征在于，所述确定所述待检测的应用存在漏洞之后，所述方法还包括：

根据所述待检测的应用的检测结果，获取对应的建议信息；

根据所述建议信息，为所述待检测的应用生成检测报告。

9.一种检测应用漏洞的装置，其特征在于，所述装置包括：

第一获取模块，用于获取待检测的应用，并启动所述待检测的应用；

第二获取模块，用于获取用户输入的信息，将所述用户输入的信息发送给服务器，并捕获与所述服务器之间的通信数据；

第一检测模块，用于根据所述用户输入的信息和所述通信数据，检测所述待检测的应用是否是通过明文的方式传输所述用户输入的信息；

第一确定模块，用于如果是通过明文的方式传输所述用户输入的信息，则确定所述待检测的应用存在漏洞。