[发明专利]一种移动端应用程序的安全测试方法及系统

说明书

本发明提出了一种移动端应用程序的安全测试方法及系统，涉及计算机软件领域。一种移动端应用程序的安全测试方法包括：从移动终端接口中采集与应用程序的第一报文；根据第一报文进行显示并获取第二报文，第二报文为基于第一报文进行调整后的报文数据；从预设安全测试库中，获取与第二报文的类型相对应的目标安全测试用例；基于第二报文与目标安全测试用例进行数据交互，获得安全测试结果。其能够提高业务场景中的移动端与服务端之间的交互流程的安全测试效率。此外本发明还提出了一种移动端应用程序的安全测试系统。

技术领域

本发明涉及计算机软件领域，具体而言，涉及一种移动端应用程序的安全测试方法及系统。

背景技术

目前，应用于国内业务场景中的应用在被推广到国际业务场景中之后，通常会由于线上数据无法出境的等合规原因，使得安全团队无法采集国际网关的流量数据进行自动化漏洞测试。

在这种情况下，则需要借助人工来对移动端和服务端之间的交互流程进行安全测试。而人工测试将会耗费大量的人力和时间，且快速的研发流程也会导致人工测试难以跟上业务发展的速度。因此，如何提供一种安全测试方法来测试国际业务场景中的客户端与服务端之间的交互流程，保证移动端与服务端之间安全交互，仍然需要进一步的解决方案。

发明内容

本发明的目的在于提供一种移动端应用程序的安全测试方法，其能够提高业务场景中的移动端与服务端之间的交互流程的安全测试效率。

本发明的另一目的在于提供一种移动端应用程序的安全测试系统，其能够运行一种移动端应用程序的安全测试方法。

本发明的实施例是这样实现的：

第一方面，本申请实施例提供一种移动端应用程序的安全测试方法，其包括从移动终端接口中采集与应用程序的第一报文；根据第一报文进行显示并获取第二报文，第二报文为基于第一报文进行调整后的报文数据；从预设安全测试库中，获取与第二报文的类型相对应的目标安全测试用例；基于第二报文与目标安全测试用例进行数据交互，获得安全测试结果。

在本发明的一些实施例中，上述从移动终端接口中采集与应用程序的第一报文包括：通过移动终端中的数据采集程序，从移动终端的操作系统的接口中采集与应用程序相关的报文数据。

在本发明的一些实施例中，上述还包括：通过应用程序的底层接口，查找实现反射机制的目标函数的函数地址，获得目标函数的函数地址，根据函数地址调用目标函数，并对目标函数进行封装，形成操作系统接口。

在本发明的一些实施例中，上述根据第一报文进行显示并获取第二报文，第二报文为基于第一报文进行调整后的报文数据包括：通过获取的应用程序中的报文数据，当报文数据为二进制数据流时，根据预设的数据转换方式对二进制数据流进行转换，获得第一报文。

在本发明的一些实施例中，上述还包括：获取移动终端通过二进制数据流进行转换的第一报文，将第一报文进行预处理获得第二报文，第二报文是基于第一报文进行调整后的报文。

在本发明的一些实施例中，上述从预设安全测试库中，获取与第二报文的类型相对应的目标安全测试用例包括：通过移动终端中的数据采集应用程序，将第二报文发送给预设安全测试库，通预设安全测试库将报文数据发送给数据解析引擎。

在本发明的一些实施例中，上述基于第二报文与目标安全测试用例进行数据交互，获得安全测试结果包括：基于目标安全测试用例对第二报文进行安全测试，若测试得到第二报文存在指定类型的漏洞，则确定应用程序中存在漏洞。

第二方面，本申请实施例提供一种移动端应用程序的安全测试系统，其包括采集模块，用于从移动终端接口中采集与应用程序的第一报文；

显示模块，用于根据第一报文进行显示并获取第二报文，第二报文为基于第一报文进行调整后的报文数据；