移动应用程序代码注入攻击安全技术研究.docVIP

PAGE  PAGE 5 移动应用程序代码注入攻击安全技术研究 　　摘 要：本文在基于HTML5移动应用程序上对代码注入攻击进行了系统性的研究，针对漏洞检测的结果，分别对开发者和普通用户就漏洞防御方面提出建议。 　　关键词：代码注入攻击 HTML5 漏洞防御； 　　1、HTML5移动应用程序代码注入攻击 　　编写移动应用程序的时候，使用基于HTML5的Web技术可以使应用程序在不同的移动平台间移植。然而，Web技术有它的危险特性，它容许数据和代码混合在一起。即当一个同时有数据和代码的字符串被Web技术处理时，代码会辨识并送到JavaScript引擎执行。在这种情况下，若是开发人员不小心，代码内部数据就可能会被错误触发。基于HTML5的移动应用程序建立在与Web应用程序相同的技术上，也会受到代码注入攻击。基于HTML5的移动应用程序比Web应用程序有一个更广泛的攻击范围。基于HTML5的WEB前端除了与web站点交互外，还会与多种形式的实体进行交互，如其他应用程序、条形码、Wi-Fi接入点、其他移动设备等。这也导致了潜在的攻击，攻击的基本思想如图1所示。 　　2、代码注入攻击检测以及案例分析 　　应用检测工具，对市场中基于HTML5的移动应用进行检测，动态测试的代码覆盖率有限，本文通过静态分析找到可行的程序执行路径从而发现代码注入攻击。检测代码注入攻击的问