[发明专利]一种针对地下管线移动地理信息安全的渗透测试方法

说明书

技术领域

本发明涉及地下管线移动地理信息安全性测试技术领域。更具体地，涉 及一种针对地下管线移动地理信息安全的渗透测试方法。

背景技术

随着城市化进程的加速，各种城市管网重叠交错、杂乱无章地争抢着城 市有限的地下空间。近年来，地下管线事故频发，由此造成的爆炸、火灾、 有毒气体排放等问题，已经严重危害人民群众的生命安全。采用传统地理信 息系统(GIS)技术已经不能满足日常管线运行和维护管理。

现有技术中，移动GIS以移动互联网为支撑，以智能手机或平板电脑为 终端，结合北斗、GPS或基站为定位手段，是继桌面GIS、WEBGIS之后又 一新的技术热点，移动定位、移动办公等越来越成为企业或个人的迫切需求， 然而在地下管线移动应用得到广泛普及的同时，地下管线数据的安全性问题 也日益突出。针对移动GIS应用系统的安全性测试方法的研究也迫在眉睫。

现有技术中，主流的地下管线移动GIS系统是以空间数据库为数据支持， 以地理应用服务器为核心应用，以无线网络为通讯桥梁，以移动终端为采集 工具和应用工具的综合系统。地下管线移动GIS终端设备包括掌上电脑 (PDA)、便携式计算机、WAP(无线通用协议)手机、GPS定位仪器等。 软件主要是嵌入式的GIS应用软件。用户通过该终端向远程的地理信息服务 器发送服务请求，然后接受服务器传送的计算结果并显示出来。地下管线移 动GIS的应用是基于移动终端设备的。便携、低耗、计算能力强的移动终端 正日益成为移动GIS用户的首选。地下管线移动GIS中的地理应用服务器是 整个系统的关键部分，也是系统的GIS引擎，用于为地下管线移动GIS用户 提供大范围的地理服务以及潜在的空间分析和查询操作服务。

通常情况下，地下管线移动GIS终端应用是以webapi(网络应用程序接 口)的方式，调用地理服务器服务资源，进行相关的检索和查询操作。这种 模式把地下管线数据安全跟web安全绑在一起。地下管线移动app以web服 务的方式跟服务端交互，服务器端也是一个展示信息的网站，常见的web漏 洞在服务器端同样存在，例如SQL(结构化查询语言)注入、文件上传、中 间件/server漏洞等，但是由于地下管线移动app不是直接嵌入网页在app中， 而是使用api接口返回json(JavaScriptObjectNotation)数据，导致扫描器爬 虫无法爬取链接，无法对于地下管线GIS移动端应用进行渗透测试。

因此，非常需要一种基于渗透测试理论的通用性强、覆盖率广、灵活度 高的地下管线移动地理信息安全性的测试方法。

发明内容

本发明的目的在于提供一种针对地下管线移动地理信息安全的渗透测试 方法。

为达到上述目的，本发明采用下述技术方案：

一种针对地下管线移动地理信息安全的渗透测试方法，该渗透测试方法 包括如下步骤：

将APK文件后缀名改为zip，解压该压缩文件，得到其中的class.dex文 件；

将class.dex文件复制到dex2jar.bat文件所在目录，在命令行下执行dex2jar class.dex命令，在当前目录下生成class_dex2jar.jar文件；

打开jd-gui代码查看工具，导入所述class_dex2jar.jar文件，查看逆向后 的应用源码；

设置测试机的地址，利用测试机收集服务器端接口列表；

采用burpsuit工具通过服务器端接口列表实现对服务器的漏洞扫描，并 且向测试机输出漏洞分析报表，同时利用sqlmap工具对服务器端进行sql注 入测试，以探测sql注入漏洞。

优选地，所述步骤“打开jd-gui代码查看工具，导入上述步骤S2生成的 class_dex2jar.jar文件，查看逆向后的应用源码”中，对于未混淆的移动程序， 查看应用程序源码；对于混淆的移动程序，使用apkTool工具解析布局文件， 以解决布局文件的乱码情况。

优选地，所述步骤“打开jd-gui代码查看工具，导入上述步骤S2生成的 class_dex2jar.jar文件，查看逆向后的应用源码”中，在逆向后的程序源文件 中检索出服务器WebAPI接口列表。

优选地，所述burpsuit工具是用于攻击web应用程序的集成平台。