基于渗透测试的安卓应用信息安全评估-计算机科学与技术专业论文.docxVIP

万方数据 万方数据 东华大学学位论文版权使用授权书 学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并 向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅或借阅。本人 授权东华大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以 采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密 □，在 年解密后适用本版权书。 本学位论文属于 不保密 □。 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 基于渗透 基于渗透测试的安卓应用信息安全评估 基于渗透测试的安卓应用信息安全评估 摘 要 随着安卓系统的迭代更新和发展，运行安卓操作系统的智能手机 在智能手机市场中有很高占有率，同时，安卓操作系统也是最受人们 喜欢的智能手机操作系统。得益于手机硬件的快速发展和安卓操作系 统的不断完善，安卓应用程序的数量跟种类也在快速增长,种类丰富 的安卓应用程序涉及到我们生活和工作的方方面面，给我们的日常生 活和工作带来了前所未有的便利。 安卓应用家族的不断壮大，使其面临的信息安全威胁越来越多， 主要包括以下三方面：第一，病毒和恶意代码窃取应用或用户隐私数 据给用户带来财产损失；第二，安卓系统自身的系统设计缺陷造成的 漏洞引起的信息安全问题；第三，应用开发人员开发的应用自身维护 信息安全威胁能力薄弱而被恶意软件利用造成的信息泄露。 对于维护安卓应用的信息安全，常规方法以检测外界恶意应用和 代码为主，比如手机杀毒软件和手机卫士等。这些传统技术虽能够起 到保护手机信息不受木马、病毒等外界恶意代码的侵害，一定程度上 维护了安卓系统和用户的信息安全，但不能增强安卓应用自身信息安 全防护能力。这种只兼外不顾内的传统维护信息安全的方式在信息安 全威胁频发的今天，不能及时全面的应对不断出现的信息安全威胁。 I 万方数据 万方数据 本文针对如何提高安卓应用自身维护信息安全的能力做了深入 的研究。通过分析安卓系统信息安全机制以及近些年对安卓应用信息 安全造成广泛影响的漏洞和设计缺陷，总结归纳出其中的 15 项作为 安卓应用程序信息安全评估准则以及对应的渗透测试内容。本文设计 实现针对安卓应用的 C/S 架构的渗透测试系统，基于消息会话机制以 及反射机制远程调用 Agent 端应用数据对象实现渗透测试功能，渗透 测试系统采用插件模式，针对新的信息安全漏洞可以动态的不断丰富 拓展新的渗透测试功能。 安卓应用程序运行在基于 Linux2.6 内核的安卓操作系统中，针 对安卓应用信息安全的渗透测试技术，除常规的使用在 Linux 系统的 文件遍历、SQL 注入等渗透测试技术外，本文研究设计了针对安卓应 用特性的一系列渗透测试技术，主要包括：针对频发信息安全问题的 安卓组件的渗透测试技术；针对近年来造成广泛影响的 Webview 渗透 测试技术以及针对动态库文件渗透测试技术等，这些渗透测试技术的 增加能够覆盖目前安卓应用程序中由于自身脆弱性而造成信息安全 问题的主要项目。 在对安卓应用维护信息安全能力进行评估方面，本文设计以层次 分析法为理论基础的评估模型。层次分析法将定性问题量化分析的核 心在于构造的判断矩阵满足客观真实性与一致性的要求，为使本文的 评估模型满足客观真实性，本文先建立 AHP 信息安全评估模型，与 CVE-CVSS 数据库中数据的对比可判断建立的判断矩阵是否符合客观 II PAGE VI PAGE VI 万方数据 真实性，将符合客观真实性和一致性的判断矩阵应用到 ANP 信息安全 评估模型中，建立更加合理的信息安全评估模型。本文对安卓应用市 场 355 个不同类别的应用程序进行渗透测试和信息安全评估，结果表 明本文设计的渗透测试系统能够对安卓应用程序信息安全进行有效 的渗透测试，揭露其存在信息安全问题的薄弱环节；本文的信息安全 评估模型能够对发现的问题进行合理有效的分析和评估。 关键词 信息安全；评估模型；安卓应用；层次分析法；渗透测试 EVALUATION FOR INFORMATION SECURITY OF ANDROID APPLICATION BASED ON PENETRATION TEST ABSTRACT With the improvement and development of Android system, smartphones equipped with Android system gets highest share in the smartphone market,