[发明专利]一种基于车载终端系统的漏洞测试方法及装置

说明书

本发明提供了一种基于车载终端系统的漏洞测试方法及装置，具体包括：A、获取待测车载终端系统的系统架构；B、获取漏洞验证脚本库的漏洞验证脚本编号及对应的漏洞验证脚本执行环境信息；还获取包含各种漏洞验证脚本执行结果的漏洞验证脚本执行结果信息；C、根据漏洞验证脚本执行环境信息进行测试环境准备；所述漏洞验证脚本执行环境信息包括是否需要获取root权限、脚本执行终端目录、是否需要赋予执行权限；D、根据漏洞验证脚本编号加载相应系统架构下的漏洞验证脚本文件；E、执行所述漏洞验证脚本文件得到相应漏洞验证脚本执行结果，并与漏洞验证脚本执行结果信息作对比获取漏洞检测结果，将所述漏洞检测结果保存到漏洞检测结果信息库。采用本发明能够准确触发漏洞，对漏洞进行检测。

技术领域

本发明涉及互联网信息技术领域，特别涉及一种基于车载终端系统的漏洞测试方法及装置。

背景技术

车联网时代，汽车通过车载终端系统可以与智能终端、互联网等进行连接，实现娱乐、导航、交通信息等服务。汽车终端系统常采用嵌入式Linux、QNX、Android等作为操作系统，目前主流的汽车终端系统主要是厂商基于Android操作系统进行定制化开发的。所以针对汽车终端安全检测方法可以参考针对Android系统漏洞检测的方法。

国内目前比较常见的系统漏洞自动化测试工具有：VTS、X-Ray。

Android VTS

2015年末，NowSecure发布了一个Android漏洞测试套件Android VTS，AndroidVTS根据漏洞缺陷清单，扫描用户的设备，进行漏洞检测。通过Android VTS，用户可以检测手机中是否存在漏洞或缺陷，以及手机生产商和运营商是否有最新的补丁发布。

X-Ray

X-Ray可以检测Android设备中未修复的漏洞，X-Ray详细了解了一类被称为“特权升级”的漏洞。恶意应用程序可利用此类漏洞获取设备上的root权限，并执行通常受Android操作系统限制的操作。经调研X-Ray工具的检测原理是组织了一些漏洞PoC，遍历执行PoC脚本，然后回收漏洞触发结果。

国外漏洞检测产品比国内丰富许多，比较主流的有Nessus和Belarc SecurityAdvisor。

Nessus

Nessus能够对大多数主流操作系统进行漏洞扫描。Nessus检测Android系统漏洞时不需要安装到手机，从另一个角度讲Nessus进行Android系统漏洞扫描时需要借助PC。

Belarc Security Advisor

Belarc Security Advisor是专门针对Android系统设计的漏洞扫描工具，BelarcSecurity Advisor可以检测多个系统和预装应用层面的漏洞，并快速返回扫描结果。

根据以上说明可以看出，现有技术存在以下问题：

目前国内主流的Android系统漏洞自动化测试工具均存在在较高的操作系统版本上兼容性差以及运行过程不稳定的问题；这两个工具中涵盖的漏洞数量十分少，并且不利于扩展，检测信息十分有限。国外的漏洞检测工具虽然可以达到漏洞检测的目的，但是Android系统的碎片化问题非常严重，导致检测结果存在很大的误差。

除此之外这些工具由于只是针对Android系统进行的漏洞检测，并没有考虑到车载终端系统的特殊性，所以并不完全适用于车载终端系统的漏洞检测。

发明内容

本发明的目的在于提供了一种基于车载终端系统的漏洞测试方法及装置，能够准确触发漏洞，对漏洞进行检测。

本发明实施例提供了一种基于车载终端系统的漏洞测试方法，该方法包括：