公开(公告)号：CN106294149A

公开(公告)日：2017-01-04

申请号：CN201610647400.0

申请日：2016-08-09

Applicant: 北京邮电大学

Inventor： 张华 ,  涂腾飞 ,  宋洪基 ,  李文敏 ,  温巧燕

IPC: G06F11/36

CPC classification number: G06F11/3612

Abstract: 本发明是一种检测Android应用程序组件通信漏洞的方法，属于计算机测试领域；包括：首先定制ROM并刷入测试机；然后检测某个待测应用程序中的暴露组件信息；根据每个暴露组件的Action和Category信息，同时结合Android推荐的Extras的key与value构造测试数据；写入Intent中进行第一次Fuzz测试，检测每个暴露组件的通信漏洞，同时记录系统日志；测试完后分析所有日志信息，提取出真实的Extras详细信息，根据真实Extras的key和value信息，再次为该待测应用程序重新构造测试数据，进行第二次Fuzz测试；通过分析第二次测试返回的数据和日志信息，生成检测报告；优点在于：属于动态方法无需对Android应用程序进行反编译，能够直接给出漏洞攻击的结果；通过两次的Fuzz测试，构造针对性数据，提高测试效果。