[发明专利]应用漏洞检测方法、装置、电子设备及存储介质

权利要求书

1.一种应用漏洞检测方法，其特征在于，包括：

识别待测应用中包含的允许访问网页的关键特征；

从与所述允许访问网页的关键特征关联的webview组件中，识别出属于预设高危特权接口类别的高危特权接口；

调用所述高危特权接口所属的预设高危特权接口类别对应的检测流程，通过以下至少一种检测流程，检测所述高危特权接口存在的安全漏洞：

检测流程一、若所述高危特权接口为文件操作类接口，则检测所述webview组件是否可以调用所述高危特权接口；若所述webview组件可以调用所述高危特权接口，则判断与所述高危特权接口关联的代码区域中是否存在过滤畸形文件名的代码；若不存在过滤畸形文件名的代码，则确定所述高危特权接口存在文件操作类安全漏洞；

检测流程二、若所述高危特权接口为隐私信息获取类接口，则检测所述webview组件是否可获取所述高危特权接口获取的数据；若所述webview组件可获取所述高危特权接口获取的数据，则确定所述高危特权接口存在泄露隐私信息的安全漏洞；

检测流程三、若所述高危特权接口为安装类接口，则检测所述webview组件是否可以调用所述高危特权接口；若所述webview组件可以调用所述高危特权接口，则对所述待测应用进行动态测试，获取动态测试过程中所述高危特权接口拉取插件和应用的HTTP流量；若拉取的HTTP流量中不包含请求参数，则确定所述高危特权接口存在应用安装类安全漏洞；若拉取的HTTP流量中包含签名参数，则分析所述签名参数对应的签名校验代码是否存在安全漏洞，若存在，则确定所述高危特权接口存在签名校验类安全漏洞。

2.根据权利要求1所述的方法，其特征在于，所述识别待测应用中包含的允许访问网页的关键特征，具体包括：

若根据所述待测应用中的URL Scheme接口的配置信息确定所述URL Scheme接口可被外部应用远程调用，则确定所述URL Scheme接口为所述关键特征；和/或

若所述待测应用中包含预设功能且确定所述预设功能中存在允许访问网页的业务逻辑，则确定所述预设功能为所述关键特征，所述预设功能包括以下至少一种：浏览网页功能、聊天对话功能、扫描识别功能、消息推送功能。

3.根据权利要求1至2中任一所述的方法，其特征在于，还包括：

根据所述高危特权接口生成网页文件；

调用与所述高危特权接口关联的webview组件访问所述网页文件，若访问所述网页文件时能成功调用所述高危特权接口，则确定所述高危特权接口存在缺少白名单防护机制的安全漏洞。

4.根据权利要求3所述的方法，其特征在于，还包括：

若访问所述网页文件时不能成功调用所述高危特权接口，则识别所述待测应用中针对所述高危特权接口的白名单防护机制对应的代码，并检测所述白名单防护机制的识别模式是否正确；

若不正确，则确定所述白名单防护机制的识别模式存在安全漏洞；

若正确，则检测白名单中的网站是否存在安全漏洞。

5.根据权利要求1至2中任一所述的方法，其特征在于，还包括：

生成安全检测报告，所述安全检测报告中包括检测到的每一项安全漏洞以及预先为每一项安全漏洞配置的修复建议和漏洞案例。