[发明专利]一种安卓设备渗透测试系统及其自动化渗透测试方法

说明书

本发明涉及安卓设备的漏洞扫描和安全评级技术，旨在提供一种安卓设备渗透测试系统及其自动化渗透测试方法。该种安卓设备渗透测试系统包括信息识别及处理模块、安卓漏洞识别模块、后台数据分析模块和前端效果展示模块。任意安卓设备只需数据线连接本发明的渗透测试系统，即可几秒内获取当前设备高危、中危、低危漏洞个数、设备安全系数、修复方案和安全建议。本发明的渗透测试系统高效、兼容性高、即插即用，能全自动执行并输出有效安全分析结果，让普通用户几秒内即可掌握安卓设备现状。

技术领域

本发明是关于安卓设备的漏洞扫描和安全评级技术领域，特别涉及一种安卓设备渗透测试系统及其自动化渗透测试方法。

背景技术

随着安卓设备的普及(手机、智能家居、远程遥控、企业管理等)，如果这些安卓设备存在隐私泄露或实时监听等安全隐患，如果被攻击者恶意利用，那么用户个人信息，甚至多数安卓设备都会面临安全风险。

随着越来越广泛使用的安卓设备，大家也越来越关注安卓设备本身的安全，有越来越多安卓设备安全漏洞检测的需求。应用程序的开发会针对代码做安全审计和扫描，安卓系统也会接收外部提交的漏洞并提供补丁，各大安全公司也会提供各类病毒扫描工具，支付安全保险。但是上述方法除了耗费人力和时间，仍然无法让普通用户获知安卓设备本身的安全状况，具体有哪些漏洞、安全系数、需要注意的安全操作、问题的解决方案。缺少一款，针对普通用户群体，即插即用，兼容性高、通用性好、符合需求的安全扫描工具。

综上，在现有技术中渗透测试的方法都是针对有一定技术基础的人员，或者是针对用户业务安全的服务，缺少一款让普通用户快速获悉安卓设备安全现状的渗透测试系统。而且传统的扫描方式，从漏洞发掘到漏洞利用等测试需要耗费大量的时间，多次运行，还需要人工输入命令和使用不同工具的一步一步配置环境来进行渗透测试。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能实现即插即用，高效显示设备存在的漏洞，并能自动实时更新漏洞库的渗透测试系统及其自动化渗透测试方法。为解决上述技术问题，本发明的解决方案是：

提供一种安卓设备渗透测试系统，包括信息识别及处理模块、安卓漏洞识别模块、后台数据分析模块和前端效果展示模块；

所述信息识别及处理模块用于定时收集采样最新安卓漏洞，分析出ID、漏洞类别、漏洞名称、漏洞等级、漏洞描述、最佳修复方案、检测方案及用户操作建议字段；通过ID去重插入后台数据库表(该渗透测试系统的后台数据库表)，并生成对应的扫描规则java文件(即对应扫描规则的代码)；

所述安卓漏洞识别模块用于将安卓设备的本地漏洞检测结果(即安卓设备上的漏洞扫描应用的检测结果；安卓设备渗透测试系统能自动安装漏洞扫描应用)回传给服务器(该渗透测试系统的服务器)；

所述后台数据分析模块用于接收安卓设备应用程序回传文件(安卓设备应用程序回传到该渗透系统服务器的文件)，解析该文件对应的关键字，并从后台数据库表抽取出漏洞对应的漏洞描述、修复方案及漏洞评分信息，输出分析结果；分析结果包含漏洞ID、漏洞危害等级、漏洞影响范围、漏洞影响、漏洞修复方案、漏洞安全建议、漏洞高中低危分布、漏洞个数以及对应安卓设备总体评分信息；

所述前端效果展示模块用于对后台数据分析模块的分析结果进行信息处理后展示，展示的内容包括：设备漏洞个数(设备高危、中危及低危漏洞个数)、设备评分、安全建议，并能够点击查看漏洞详情。

在本发明中，所述前端效果展示模块，在电脑端以web页面展示后台数据分析模块的分析结果，在手机端以HTML5页面展示后台数据分析模块的分析结果。

在本发明中，所述前端效果展示模块中的信息处理，是指将后台数据分析模块的分析结果，包括漏洞ID、漏洞危害登记、漏洞影响范围、漏洞影响、漏洞修复方案、漏洞安全建议、漏洞高中低危分布、漏洞个数以及对应安卓设备总体评分信息，进行归纳和整理后输出为文本或网页形式。