自动化检测Android应用反射型跨站脚本漏洞方法①.PDFVIP

2015 年 第 24 卷 第 7 期 计 算 机 系 统 应 用 自动化检测Android 应用反射型跨站脚本漏洞的方法① 王 岩, 程绍银, 蒋 凡 ( 中国科学技术大学 计算机科学与技术学院, 合肥 230027) 摘 要: 提出一种自动化检测 Android 应用反射型跨站脚本漏洞的方法, 通过对 Android 应用组件的识别和分类, 自动化输入测试例和点击与输入框关联的按钮, 监测运行结果判断应用是否具有潜在的反射型跨站脚本漏洞, 并通过图像处理方法实现了对WebView 的支持. 基于该方法实现了一个原型工具. 实验表明, 该方法可以有效的 检测 Android 应用的反射型跨站脚本漏洞, 具有较高的实用性. 关键词: Android 应用; 反射型跨站脚本; 自动化测试; 漏洞 Automated Method for Detecting Reflected XSS Vulnerabilities of Android Apps WANG Yan, CHENG Shao-Yin, JIANG Fan (School of Computer Science and Technology, University of Science and Technology of China, Hefei 230027, China) Abstract: This paper presents an automated method for detecting reflected XSS vulnerabilities of Android Apps. Through identifying and classifying Android Apps components, automatically inputting test cases, clicking on the input box-related buttons and monitoring the results, to determine whether the applications have potential reflected XSS vulnerabilities. Moreover this method implements support for WebView by image processing. Based on this method, a prototyping tool is also implemented. The experiment results demonstrate that this proposed method can detect reflected XSS vulnerabilities of Android Apps with high practicability and effectiveness. Key words: Android App; reflected XSS; automated testing; vulnerability 随着 Android 应用数目的增长, 应用漏洞引发的 解释执行. 这个过程就像一次反射, 故称为反射型 安全性问题也愈来愈严重. 目前 AVD[1] 中可查的 XSS. 由于反射型 XSS 漏洞普遍存在且方便利用, 因 Android 平台的漏洞超过 660 个, 其中第三方漏洞比例 此, 对于 Android 应用的反射性 XSS 漏洞的研究具有 超过 80%. 这些漏洞可能导致用户数据泄露、会话劫 重要的现实意义和广泛的应用需求. 持、恶意代码执行等问题, 造成用户不同程度的损失. 在 Android 应用程序安全性分析方面, 目前的研 在第三方漏洞中, 第三方应用漏洞接近 60%, 其中跨 究多集中在应用的恶意行为检