[发明专利]PhoneGap框架的应用程序的漏洞检测方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及PhoneGap框架的应用程序的漏洞检测方法及装置。

背景技术

PhoneGap是目前唯一一款支持7个平台的开源开发框架，旨在让开发者使用HTML(Hyper Text Mark-up Language，超文本标记语言)、Javascript、CSS(Cascading Style Sheet，层叠样式表)等Web APIs开发跨平台的应用程序，开发者使用普通的web技术即可轻松调用不同移动平台的API接口，因此，越来越多的web开发者选择使用PhoneGap开发移动应用程序。然而，若使用不当，采用基于PhoneGap框架的应用程序很容易存在白名单绕过漏洞或白名单配置不当漏洞，黑客利用该类漏洞使终端可以访问一些非法网站，从而通过访问该网站后自动执行一些黑客命令，如后台下载恶意软件、获取联系人信息等。因此，对使用基于PhoneGap框架的应用程序进行该类漏洞的检测尤为重要。

发明内容

本发明实施例提供了PhoneGap框架的应用程序的漏洞检测方法及装置，可自动检测基于PhoneGap框架的应用程序是否存在白名单绕过漏洞和/或白名单配置不当漏洞。

本发明实施例提供PhoneGap框架的应用程序的漏洞检测方法，包括：

获取应用程序所基于的PhoneGap框架的版本信息和白名单配置信息，其中，所述白名单配置信息中包括所述应用程序具有访问权限的网址；

根据所述版本信息和所述白名单配置信息，确定所述应用程序的漏洞类型。

其中，所述漏洞类型包括：

白名单绕过漏洞和/或白名单配置不当漏洞。

其中，所述根据所述版本信息和所述白名单配置信息，确定所述应用程序的漏洞类型，包括：

将所述版本信息与预设版本信息进行比较，确定所述应用程序是否存在所述白名单绕过漏洞。

其中，所述根据所述版本信息和所述白名单配置信息，确定所述应用程序的漏洞类型，包括：

对所述白名单配置信息进行解析，确定所述应用程序是否存在所述白名单配置不当漏洞。

其中，所述对所述白名单配置信息进行解析，确定所述应用程序是否存在所述白名单配置不当漏洞，包括：

识别所述白名单配置信息是否为特定字符；

若是，确定所述应用程序存在所述白名单配置不当漏洞。

其中，所述特定字符包括“*”或“.*”。

其中，所述识别所述白名单配置信息是否为特定字符，还包括：

若识别出所述白名单配置信息不是所述特定字符，将所述白名单配置信息中具有访问权限的网址与预设的黑名单数据库进行比对，若所述具有访问权限的网址中存在至少一条黑名单记录，确定所述应用程序存在所述白名单配置不当漏洞。

其中，在所述获取应用程序所基于的PhoneGap框架的版本信息和白名单配置信息之前，所述方法还包括：

对所述应用程序进行解包处理，获取所述应用程序的配置文件，所述配置文件包括所述应用程序所基于的PhoneGap框架的版本信息和白名单配置信息。

其中，所述方法还包括：

保存所述应用程序的检测结果，并标记所述应用程序已检测。

其中，所述方法还包括：

获取参数信息，将所述参数信息和所述检测结果上传至服务器，其中，所述参数信息包括所述应用程序所在终端的标识信息和所述终端的操作系统版本信息。

其中，所述方法还包括：

将所述至少一条黑名单记录从所述白名单配置信息中删除。

相应的，本发明实施例提供PhoneGap框架的应用程序的漏洞检测装置，包括：

获取模块，用于获取应用程序所基于的PhoneGap框架的版本信息和白名单配置信息，其中，所述白名单配置信息中包括所述应用程序具有访问权限的网址；

确定模块，用于根据所述版本信息和所述白名单配置信息，确定所述应用程序的漏洞类型。

其中，所述漏洞类型包括：

白名单绕过漏洞和/或白名单配置不当漏洞。

其中，所述确定模块包括：

第一确定单元，用于将所述版本信息与预设版本信息进行比较，确定所述应用程序是否存在所述白名单绕过漏洞。

其中，所述确定模块包括：

第二确定单元，用于对所述白名单配置信息进行解析，确定所述应用程序是否存在所述白名单配置不当漏洞。