[发明专利]小程序安全风险评估方法和电子设备

权利要求书

1.一种小程序安全风险评估方法，所述方法包括：

获取需要测试的小程序的名称和APPID，根据所述名称和所述APPID检索到所述小程序，并获取所述小程序的源码文件；

根据所述源码文件，获取关键字符串代码段；

获取本地加密数据库中所述小程序的基本信息,根据所述基本信息和所述关键字符串代码段进行安全风险评估，得到代码评估信息；

对所述小程序进行模拟点击操作，并启动漏洞扫描器进行漏洞扫描，得到漏洞扫描信息；

根据所述代码评估信息和所述漏洞扫描信息生成风险评估报告，并根据所述风险评估报告进行相应处理；

其中，所述获取需要测试的小程序的名称和APPID，根据所述名称和所述APPID检索到所述小程序，并获取所述小程序的源码文件，包括：

通过自动化测试服务接收用户输入的所述小程序的所述名称和所述APPID；

根据所述小程序的所述名称和所述APPID进入小程序界面；

获取所述小程序文件夹下小程序机器码文件；

对所述机器码文件进行反编译获取所述源码文件；

其中，所述获取本地加密数据库中所述小程序的基本信息,根据所述基本信息和所述关键字符串代码段进行安全风险评估，得到代码评估信息，具体包括：

解密所述本地加密数据库，以获取所述小程序的所述基本信息；

根据所述基本信息和所述关键字符串代码段，判断所述小程序代码安全性，得到小程序代码安全信息；

运行所述小程序，通过所述小程序的基本信息、所述关键字符串代码段和所述小程序运行界面判断小程序服务交换安全和本地数据存储安全，得到小程序服务交换安全信息和本地数据存储安全信息；

对所述小程序进行网络抓包，进行网络传输安全测试，得到网络传输安全测试信息；

将所述小程序代码安全信息、所述小程序服务交换安全、所述本地数据存储安全信息和所述网络传输安全测试信息作为所述代码评估信息；

其中，所述根据所述基本信息和所述关键字符串代码段，判断所述小程序代码安全，得到小程序代码安全信息，具体包括：

根据所述关键字符串代码段，判断所述小程序是否经过混淆处理，判断所述关键字符串中是否存在明文存储明文URL和加密秘钥，得到代码编译检测信息；

根据所述明文URL和所述小程序服务域名地址，判断是否存在安全风险，得到安全风险分析信息；

根据所述小程序的服务域名地址和所述小程序对应使用地址，判断是否存在复用情况，得到服务端复用情况检测信息；

将所述代码编译检测信息、所述安全风险分析信息和所述服务端复用情况检测信息作为所述小程序代码安全信息；

其中，所述运行所述小程序，通过所述小程序的基本信息、所述关键字符串代码段和所述小程序运行界面判断小程序服务交换安全和本地数据存储安全，得到小程序服务交换安全信息和本地数据存储安全信息，具体包括：

根据所述小程序的所述关键字符串代码段结合所述小程序运行界面判断是否存在用户密码嗅探问题，得到用户密码嗅探安全信息；

根据所述小程序的所述关键字符串代码段结合所述小程序运行界面判断是否存在密码强度安全问题，得到密码强度安全检测信息；

根据所述小程序的所述关键字符串代码段结合所述小程序运行界面判断是否存在验证码安全问题，得到验证码安全检测信息；

根据对所述小程序输入敏感信息的界面进行截屏判断是否存在防截屏检测，得到防截屏检测信息；

根据运行所述小程序查看是否存在明确的用户协议，得到用户协议检测信息；

根据运行所述小程序判断小程序是否在需要权限时提醒用户进行授权，得到数据采集检测信息；

根据所述小程序的基本信息判断是否将个人敏感信息进行明文传输，得到数据加密检测检测信息；

根据所述小程序的基本信息判断是否存在私自上传用户隐私信息的情况，得到敏感数据检测信息；

根据运行所述小程序查看是否存在第三方SDK协议声明，得到第三方SDK检测信息；

根据所述小程序的基本信息判断所述小程序删除后本地的缓存信息是否及时删除，得到敏感数据清除检测信息；

将所述用户密码嗅探安全信息、所述密码强度安全检测信息、所述验证码安全检测信息、所述防截屏检测信息、所述用户协议检测信息、所述数据采集检测信息、所述数据加密检测检测信息、所述敏感数据检测信息、所述第三方SDK检测信息和所述敏感数据清除检测信息作为所述小程序服务交换安全信息和所述本地数据存储安全信息；

其中，对所述小程序进行网络抓包，进行网络传输安全测试，得到网络传输安全测试信息，具体包括：

对所述小程序运行过程中的传输数据进行抓包，得到传输判断业务数据；

根据所述传输判断业务数据判断所述小程序的传输数据是否以明文的形式在网络中传输，得到通信安全检测信息；

根据所述传输判断业务数据判断所述小程序是否使用了openID作为登录凭证，得到openID登录凭证泄露风险检测信息；

根据所述传输判断业务数据是否为明文传输，判断是否可以进行数据篡改，得到会话劫持检测信息；

所述通信安全检测信息、所述openID登录凭证泄露风险检测信息和所述会话劫持检测信息作为所述网络传输安全测试信息；

其中，所述对所述小程序进行模拟点击操作，同时启动漏洞扫描器进行漏洞扫描，获取漏洞扫描信息，具体包括：

判断所述小程序是否存在SQL注入漏洞，得到SQL注入漏洞检测信息；

判断所述小程序是否存在越权访问漏洞，得到越权访问漏洞检测信息；

判断所述小程序是否存在任意文件上传漏洞，得到任意文件上传漏洞检测信息；

判断所述小程序是否存在路径穿越漏洞，得到路径穿越漏洞检测信息；

判断所述小程序是否存在目录枚举漏洞，得到目录枚举漏洞检测信息；

判断所述小程序是否存在XSS漏洞，得到XSS漏洞检测信息；

判断所述小程序是否存在代码注入漏洞，得到代码注入漏洞检测信息；

将所述SQL注入漏洞检测信息、所述越权访问漏洞检测信息、所述任意文件上传漏洞检测信息、所述路径穿越漏洞检测信息、所述目录枚举漏洞检测信息、所述XSS漏洞检测信息和所述代码注入漏洞检测信息作为所述漏洞扫描信息；

其中，所述根据所述代码评估信息和所述漏洞扫描信息生成风险评估报告，具体包括：

计算所述小程序风险评估分数；

根据所述风险评估分数得出风险评估意见；

其中，所述计算所述小程序风险评估分数，包括：

根据如下公式计算所述小程序风险评估分数：

其中，M表示小程序风险评估分数，0≤M≤100；L表示评估项总数，x_i表示第i个评估项的分数，c_i表示第i个评估项的权值。

2.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1所述的方法。