面向安卓原生函數(shù)層的API安全問題研究
發(fā)布時間:2020-12-27 20:24
目前,隨著最新的通信技術的普及,手機已經(jīng)逐漸替代以前電腦的地位。在2009年的統(tǒng)計中,手機上網(wǎng)用戶比例僅僅有60.8%,而到了 2018年,這一統(tǒng)計的數(shù)據(jù)已經(jīng)到達了 98.6%。在這一情形下,越來越多的企業(yè)選擇將本身的服務不是以網(wǎng)頁的方式,而是以手機應用的方式展現(xiàn)給用戶,并且現(xiàn)在包括大型企業(yè)在內(nèi)的許多服務或者內(nèi)容提供者都提供了能夠連接他們自己的服務器,和客戶使用的設備交流通訊的應用程序。同時對于這些應用,他們的手機應用端中用來提供服務的接口和網(wǎng)頁端中相應的接口有著很大的區(qū)別,這也就意味著,Web網(wǎng)頁的中某個API接口的工作邏輯和與之對應的相同功能的移動端API接口不是完全一樣的。同時,對于這些手機端的用戶而言,手機使用方面的安全問題也急需更高的重視,一旦存在的安全相關的問題,在如此大的用戶基數(shù)面前,就會使很多人的經(jīng)濟受損,或者隱私遭到泄露。在上述情況的前提下,我們會面向在原生函數(shù)層的這些私有Web接口進行自動化的提取和分析,借此來發(fā)現(xiàn)原生函數(shù)中Web接口與Java函數(shù)層的差異性,并且進一步分析存在的安全漏洞。在這一個想法的前提下,我們首先查閱了相關的工作,包括自動化的提取,關于網(wǎng)絡隱私...
【文章來源】:山東大學山東省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:67 頁
【學位級別】:碩士
【部分圖文】:
圖1-1手機網(wǎng)民人數(shù)規(guī)模增長趨勢??
山東大學碩士學位論文??手機上網(wǎng)人數(shù)比例??120?:??80?............——??丨?—?—4.._.—.」??m?j?i?…j?i?I??40??20??2CK56?200B?2010?2012?2014?2016?2018?2020??圖1-2手機網(wǎng)民比例規(guī)模增長趨勢??在這個時候,互聯(lián)網(wǎng)公司所提供的服務不再或者說很少使用網(wǎng)頁瀏覽器端,??相比之下,手機客戶端成為了他們的第一選擇。在這些互聯(lián)網(wǎng)公司所開發(fā)的應用??中,程序通常都會使用系統(tǒng)網(wǎng)絡框架去調(diào)用服務器提供的應用程序接口?[2kAPI,??本文中所有提到的API均為Web服務相關的API),同時對于Web?API,存在著??大量的應用場景,包括了神經(jīng)圖像實時解決W,以及各種模塊的設計這也導??致API有著自己的應用和相關規(guī)范[6,7’8]。在安卓平臺中,調(diào)用網(wǎng)絡框架時,使用??較多的相關組件是DefaultHttpClient,同時有時候,也會涉及到WebView的相關??調(diào)用。服務商將應用發(fā)布后,就會開啟相關服務的訪問接口,但是有時候,這些??訪問可能是來自惡意攻擊的第三方,這時候的服務端,就有可能錯誤的認為來自??惡意第三方的Web?APIs的請求都是可信的[9]。通常,Web?APIs被設計為只能被??他們自己的客戶端調(diào)用,但是這里面存在著請求來源難以驗證的問題。通常的做??法是加入token或者相關的參數(shù)驗證,但是一旦被發(fā)現(xiàn)其中的規(guī)律,這些方法很??有可能會失效并且受到更大的損害。之前相關的工作也論證了這一個安全問題:??惡意的第三方不僅可以偽裝成為客戶端發(fā)送請求,同時還可以利用修改后的請求??來獲取其他的資源,這也
ity的學者Christophe?Leung??就基于移動應用和Web瀏覽器的隱私泄露問題展開研宄[141。他們認為鑒于基于??Web和基于移動應用程序的生態(tài)系統(tǒng)是獨立發(fā)展的,一個重要的開放性問題是這??些平臺在用戶隱私方面的比較。在他的文章中,他對50種流行的免費在線服務??進行了面對面的研究,以了解哪種隱私更適合網(wǎng)絡或應用程序,并且針對服務進??行手動測試,提取通過明文和加密連接共享的個人身份信息(PII),并分析數(shù)據(jù)??以了解同一服務跨平臺的用戶數(shù)據(jù)收集的差異。其實驗結(jié)果可以從圖1-3中看出。??|?#?of?Avg.?FI?I?Leaks:?|?Leaked?Identifier*:??Services?Hank?Service*?Domains?i?B?D?E?G?L?N?P#?U?PW?UID?? ̄?App?:?s<>?S2.o?4.4??&?4.7 ̄I-7?7?7?7?7?7?7?:?7?7?????I?50??76.0%?a-5?±?3-2?|???/?/?????/?/?????....?App?i?50?34.0?82.CW;?2.S?去?3.4?!???/??93?Web?:?50?-?48.0%?*2.6?i?2.8?i?J?????????/????0?App?;?50?30.J?86.0%?4.1?±?4.4?I?????■/????????????????Web?;?50?-?76-OSt?3.1?±?2.S?|??????????????????A?pp?: ̄ ̄ ̄2?iui?l?OO?OSf?3?0?i?a<??7????;?2?.
【參考文獻】:
期刊論文
[1]動靜結(jié)合的網(wǎng)絡惡意代碼檢測技術研究[J]. 鄧兆琨,陸余良,黃釗. 計算機應用研究. 2019(07)
[2]一個正在被API驅(qū)動的互聯(lián)網(wǎng)時代[J]. 石宏. 計算機與網(wǎng)絡. 2018(04)
[3]基于WebGIS的警務輔助模塊的設計與實現(xiàn)[J]. 高亞飛,卜凡亮. 現(xiàn)代計算機(專業(yè)版). 2018(06)
[4]基于靜態(tài)分析的安全漏洞檢測技術研究[J]. 夏一民,羅軍,張民選. 計算機科學. 2006(10)
碩士論文
[1]面向WEB應用程序的輸入功能測試與XSS漏洞檢測[D]. 呂成成.中國科學技術大學 2019
[2]RESTful Web服務在云平臺下的設計與實現(xiàn)[D]. 熊耀.電子科技大學 2018
本文編號:2942427
【文章來源】:山東大學山東省 211工程院校 985工程院校 教育部直屬院校
【文章頁數(shù)】:67 頁
【學位級別】:碩士
【部分圖文】:
圖1-1手機網(wǎng)民人數(shù)規(guī)模增長趨勢??
山東大學碩士學位論文??手機上網(wǎng)人數(shù)比例??120?:??80?............——??丨?—?—4.._.—.」??m?j?i?…j?i?I??40??20??2CK56?200B?2010?2012?2014?2016?2018?2020??圖1-2手機網(wǎng)民比例規(guī)模增長趨勢??在這個時候,互聯(lián)網(wǎng)公司所提供的服務不再或者說很少使用網(wǎng)頁瀏覽器端,??相比之下,手機客戶端成為了他們的第一選擇。在這些互聯(lián)網(wǎng)公司所開發(fā)的應用??中,程序通常都會使用系統(tǒng)網(wǎng)絡框架去調(diào)用服務器提供的應用程序接口?[2kAPI,??本文中所有提到的API均為Web服務相關的API),同時對于Web?API,存在著??大量的應用場景,包括了神經(jīng)圖像實時解決W,以及各種模塊的設計這也導??致API有著自己的應用和相關規(guī)范[6,7’8]。在安卓平臺中,調(diào)用網(wǎng)絡框架時,使用??較多的相關組件是DefaultHttpClient,同時有時候,也會涉及到WebView的相關??調(diào)用。服務商將應用發(fā)布后,就會開啟相關服務的訪問接口,但是有時候,這些??訪問可能是來自惡意攻擊的第三方,這時候的服務端,就有可能錯誤的認為來自??惡意第三方的Web?APIs的請求都是可信的[9]。通常,Web?APIs被設計為只能被??他們自己的客戶端調(diào)用,但是這里面存在著請求來源難以驗證的問題。通常的做??法是加入token或者相關的參數(shù)驗證,但是一旦被發(fā)現(xiàn)其中的規(guī)律,這些方法很??有可能會失效并且受到更大的損害。之前相關的工作也論證了這一個安全問題:??惡意的第三方不僅可以偽裝成為客戶端發(fā)送請求,同時還可以利用修改后的請求??來獲取其他的資源,這也
ity的學者Christophe?Leung??就基于移動應用和Web瀏覽器的隱私泄露問題展開研宄[141。他們認為鑒于基于??Web和基于移動應用程序的生態(tài)系統(tǒng)是獨立發(fā)展的,一個重要的開放性問題是這??些平臺在用戶隱私方面的比較。在他的文章中,他對50種流行的免費在線服務??進行了面對面的研究,以了解哪種隱私更適合網(wǎng)絡或應用程序,并且針對服務進??行手動測試,提取通過明文和加密連接共享的個人身份信息(PII),并分析數(shù)據(jù)??以了解同一服務跨平臺的用戶數(shù)據(jù)收集的差異。其實驗結(jié)果可以從圖1-3中看出。??|?#?of?Avg.?FI?I?Leaks:?|?Leaked?Identifier*:??Services?Hank?Service*?Domains?i?B?D?E?G?L?N?P#?U?PW?UID?? ̄?App?:?s<>?S2.o?4.4??&?4.7 ̄I-7?7?7?7?7?7?7?:?7?7?????I?50??76.0%?a-5?±?3-2?|???/?/?????/?/?????....?App?i?50?34.0?82.CW;?2.S?去?3.4?!???/??93?Web?:?50?-?48.0%?*2.6?i?2.8?i?J?????????/????0?App?;?50?30.J?86.0%?4.1?±?4.4?I?????■/????????????????Web?;?50?-?76-OSt?3.1?±?2.S?|??????????????????A?pp?: ̄ ̄ ̄2?iui?l?OO?OSf?3?0?i?a<??7????;?2?.
【參考文獻】:
期刊論文
[1]動靜結(jié)合的網(wǎng)絡惡意代碼檢測技術研究[J]. 鄧兆琨,陸余良,黃釗. 計算機應用研究. 2019(07)
[2]一個正在被API驅(qū)動的互聯(lián)網(wǎng)時代[J]. 石宏. 計算機與網(wǎng)絡. 2018(04)
[3]基于WebGIS的警務輔助模塊的設計與實現(xiàn)[J]. 高亞飛,卜凡亮. 現(xiàn)代計算機(專業(yè)版). 2018(06)
[4]基于靜態(tài)分析的安全漏洞檢測技術研究[J]. 夏一民,羅軍,張民選. 計算機科學. 2006(10)
碩士論文
[1]面向WEB應用程序的輸入功能測試與XSS漏洞檢測[D]. 呂成成.中國科學技術大學 2019
[2]RESTful Web服務在云平臺下的設計與實現(xiàn)[D]. 熊耀.電子科技大學 2018
本文編號:2942427
本文鏈接:http://www.sikaile.net/shoufeilunwen/xixikjs/2942427.html
最近更新
教材專著