[发明专利]一种应用程序的本地跨域漏洞检测方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种应用程序的本地跨域漏洞检测方法及装置。

背景技术

通常，应用程序的私有文件不允许其它任何文件或应用程序访问，只有应用程序本身可以访问该私有文件，若该私有文件被非自身应用程序的其它文件或应用程序所访问时，说明该应用程序存在本地跨域漏洞。

当应用程序存在本地跨域漏洞时，黑客可利用该漏洞使终端自动执行一些黑客命令，如后台下载恶意软件、获取用户隐私，甚至篡改用户的重要信息等。因此，对该类漏洞的检测尤为重要。目前，常采用的解决方法是手动触发的方式来检测，对应用程序的安装文件进行反编译，然后在反编译后的原文件中查找特定代码，从而确定该应用程序是否存在本地跨域漏洞。然而，该方法需人工检测，检测效率低。

发明内容

本发明实施例提供一种应用程序的本地跨域漏洞检测方法及装置，可自动检测待检测应用程序是否存在本地跨域漏洞，检测效率高。

本发明实施例提供一种应用程序的本地跨域漏洞检测方法，包括：

指示待检测应用程序访问第一通用资源标识符所指向的共享文件，所述共享文件不是所述待检测应用程序的共享文件；

指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，所述私有文件为所述待检测应用程序的非共享文件；

若成功访问所述私有文件，则确定所述待检测应用程序存在本地跨域漏洞。

其中，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件之前，所述方法还包括：

将所述待检测应用程序的安装包文件导入装有手机模拟器的计算机中；

根据所述安装包文件在所述手机模拟器中安装所述待检测应用程序。

其中，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件之前，所述方法还包括：

检测所述待检测应用程序是否具有提供访问文件的功能；

若是，执行所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件的步骤；

若否，则确定所述待检测应用程序不存在本地跨域漏洞。

其中，所述检测所述待检测应用程序是否具有提供访问文件的功能之前，还包括：

对所述待检测应用程序进行解包处理，获取所述待检测应用程序的配置文件，所述配置文件记录有所述待检测应用程序是否具有提供访问文件的功能。

其中，所述指示待检测应用程序访问第一通用资源标识符所指向的共享文件，包括：

通过adb调试工具给所述待检测应用程序发送包括访问所述第一通用资源标识符所指向的共享文件的操作指令。

其中，所述指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，包括：

所述共享文件中包括访问所述第二通用资源标识符所指向的私有文件的JavaScript脚本程序，所述待检测应用程序访问所述共享文件后，通过所述JavaScript脚本程序自动去访问所述第二通用资源标识符所指向的私有文件。

其中，所述指示所述待检测应用程序访问所述共享文件中包括的第二通用资源标识符所指向的私有文件，包括：

所述共享文件中加载有所述第二通用资源标识符，所述第二通用资源标识符指向所述待检测应用程序的私有文件；

所述待检测应用程序访问所述共享文件后，若接收到访问所述私有文件的确认指令，访问所述第二通用资源标识符所指向的私有文件。

其中，所述方法还包括：

输出所述待检测应用程序的检测结果，所述检测结果包括漏洞信息和检测时间。

其中，所述待检测应用程序为Android浏览器或内置浏览器的Android应用程序。

其中，所述方法还包括：

记录所述待检测应用程序的特征信息，并将所述特征信息和所述检测结果上传至服务器。

其中，所述特征信息为所述待检测应用程序的包名和/或MD5值。

其中，所述方法还包括：

提示用户所述待检测应用程序存在所述本地跨域漏洞。

其中，所述方法还包括：

修复所述待检测应用程序中存在的本地跨域漏洞。

其中，所述修复模块还用于下载所述待检测应用程序的升级包文件，将所述升级包文件替换掉所述待检测应用程序中对应的原始文件。

相应的，本发明实施例还提供一种应用程序的本地跨域漏洞检测装置，包括：