朱冠達(dá)　吳江麗　劉侃

摘 要：隨著科技的不斷發(fā)展與更新，手機(jī)等產(chǎn)品已經(jīng)成為了人們的生活必需品。雖然網(wǎng)絡(luò)的普及為我們的生活帶來了很多的便利，但是正因為所有的事情都有兩面性一樣，網(wǎng)絡(luò)安全是我們使用網(wǎng)絡(luò)時的一大威脅。而網(wǎng)絡(luò)安全問題因為嚴(yán)重的威脅著手機(jī)等產(chǎn)品客戶端的信息安全性，對人們的生活、工作帶了了很多的弊端。因此，研究移動應(yīng)用的安全軟件是十分必要的，可以為提高手機(jī)客戶端的安全性能提供不同的研究思路?；诖耍疚闹饕芯縄BM Security AppScan實現(xiàn)移動應(yīng)用安全測試自動化的方式。

關(guān)鍵詞：IBM Security AppScan 移動應(yīng)用 安全測試

中圖分類號：TP311.52 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2018）09（c）-0012-02

最近幾年隨著互聯(lián)網(wǎng)的都逐漸發(fā)展，智能終端的興起帶動了大部分的客戶逐漸由PC端轉(zhuǎn)站移動上網(wǎng)，移動互聯(lián)網(wǎng)逐漸成為了一種生活模式，覆蓋生活中的各方面，當(dāng)然辦公室應(yīng)用領(lǐng)域也不例外，這在一定程度上面提高了辦公室的工作效率也實現(xiàn)了隨時隨地辦公的目的。由于移動應(yīng)用逐漸地滲透到人們的生活工作中，其安全性也逐漸的收到人們的關(guān)注，一個很小的移動應(yīng)用安全漏洞就有可能會造成很大的經(jīng)濟(jì)人力損失，所以保證移動應(yīng)用安全性是一個急需解決的問題。

1 移動應(yīng)用的安全性特點(diǎn)

移動應(yīng)用主要分為客戶端和服務(wù)端，客戶端和服務(wù)端的數(shù)據(jù)交互大部分都是用Web service來進(jìn)行的。Web service是用應(yīng)用程序一個與平臺與編程語言不相關(guān)的方法進(jìn)行相互通信的技術(shù)，Web service大部分都是用SOAP協(xié)議來完成數(shù)據(jù)交互，這些Web service大部分有準(zhǔn)確的WSDL文件來精準(zhǔn)地描述其接口規(guī)范?？梢酝ㄟ^掃描WSDL文件，能很簡單地從根目錄持續(xù)得到所有接口的輸出輸入?yún)?shù)，與此同時還可以做到分析和模擬黑客攻擊找到漏洞。使用Appscan，工作人員幾下URL或WSDL文件地址，就可以完成支柱式的搜尋，找出安全問題的隱患，尋找出待測應(yīng)用的漏洞。

移動端應(yīng)用程序是通過移動平臺客戶端和服務(wù)器一起組成，移動平臺客戶端和服務(wù)器的中間存在著有多種通信協(xié)議，為了確保準(zhǔn)確地測試出移動應(yīng)用程序的安全隱患問題，在現(xiàn)實中通常采用探索、測試、再探索、再測試的方法，或許在AppScan中配置參數(shù)和模式讓最終的結(jié)果更精準(zhǔn)。

2 配置AppScan測試移動應(yīng)用程序

一般在程序編碼完成之后需要首先進(jìn)行測試，檢測其性能。而在檢測之前首先需要將軟件與對應(yīng)的客戶端、服務(wù)器相連接，然后設(shè)置 AppScan程序。之后，AppScan控制的主程序就可以對連接的客戶端、服務(wù)器進(jìn)行實時監(jiān)控，并且對客戶端與服務(wù)器之間的信息交流進(jìn)行反饋，在必要的時候攔截他們之間鏈接的信號，對移動端安裝的軟件進(jìn)行安全檢測。目前，AppScan程序主要是采用兩種配置方式。

2.1 通過端口映射工具配置移動端和AppScan之間的數(shù)據(jù)連接

首先，在移動設(shè)備的一個端口的映射配置程序中設(shè)置AppScan程序，然后與服務(wù)器進(jìn)行連接。目前采用的大多數(shù)是rinetd進(jìn)行配置，它具有定向傳輸?shù)墓δ埽⑶沂蔷哂邪踩刂茀f(xié)議的一個源軟件。因此，客戶端只要設(shè)置在發(fā)送文件的時候自動啟動rinetd軟件，就可以保障文件的安全性。

端口映射工具安裝、設(shè)置完成之后，需要根據(jù)客戶端需要連接的網(wǎng)絡(luò)特點(diǎn)，將移動客戶端中已經(jīng)安裝的各種軟件、程序聯(lián)網(wǎng)，上傳到AppScan中進(jìn)行檢測。此時，手機(jī)客戶端需要選擇連接無線網(wǎng)絡(luò)，在設(shè)置網(wǎng)絡(luò)連接的事時候的代理器為HTTP，然后根據(jù)設(shè)備上的端口和服務(wù)器的型號進(jìn)行設(shè)置。一般服務(wù)器的IP地址就是客戶端連接的AppScan所在端口的地址，例如端口為 rinetd.conf的AppScan，在移動客戶端與其連接之后進(jìn)行常規(guī)掃描的時候會自動啟動AppScan，然后進(jìn)行程序設(shè)置，這個時候 rinetd.conf就是該客戶端的IP地址。

探索站點(diǎn)的常用方法：外部設(shè)備或者手機(jī)客戶端，在點(diǎn)擊“下一步”之后，會自動彈出“選擇代理端口”“記錄位置”設(shè)置選項，一般選擇rinetd.conf 端口即可，選擇“該機(jī)器上的外部客戶機(jī)”為位置選擇，然后就可以進(jìn)行下一步設(shè)置。一般點(diǎn)擊“下一步”之后會自動跳轉(zhuǎn)到“登陸管理”頁面，在這個界面中就可以點(diǎn)擊已經(jīng)安裝的應(yīng)用程序軟件，進(jìn)行軟件登錄和使用，這個時候AppScan會將用戶輸入的“用戶名”和對應(yīng)的“密碼”進(jìn)行記憶和儲存。因為AppScan具有安全性設(shè)置特點(diǎn)，有時候無法直接登錄已經(jīng)輸入過的用戶信息，這個時候需要進(jìn)入到掃描頁面，通過“完全掃描配置→登陸管理→自動登陸”來重新設(shè)置，這樣就可以解決這一問題。測試方法：一般先導(dǎo)入需要測試的文件，然后進(jìn)行特定的文件掃描。在上述操作都已經(jīng)全部完成之后，AppScan會開啟外部非客戶端流量模式，相關(guān)人員只要手動輸入移動端IP地址就可以立即查詢相關(guān)的記錄

2.2 通過AppScan代理模式直接建立和移動端的數(shù)據(jù)鏈接

這一模式需要客戶端配置AppScan9及以上的軟件版本。打開文件初始界面，選擇“新建文件夾”，界面會彈出不同規(guī)格的文件類型，選擇“常規(guī)模板”。然后進(jìn)入軟件安裝的“向?qū)ы撁妗?，選擇“外部設(shè)備/客戶機(jī)”為探索站點(diǎn)。然后在下一步種勾選任意一個空閑端口為代理端口，選擇本機(jī)IP為IP地址。接下來的設(shè)置同文章中的上一個步驟一致。在外部流量記錄器設(shè)置中點(diǎn)擊“記錄代理配置”，可以修改客戶端的IP名稱和網(wǎng)絡(luò)掩碼。所有的步驟操作完成之后，需要在客戶端上安裝AppScan SSL，同時導(dǎo)出安全證書。

3 使用AppScan測試移動應(yīng)用程序

在完成配置后，與此同時AppScan作為代理會把客戶端與服務(wù)器端的交互，并基于用戶行為去完成探測和分析記錄。但是安全性分析的操作是基于用戶對移動應(yīng)用程序的，所以迭代的方式更有利于確保測試質(zhì)量。在操作中，測試人員一般先采用“探索”，其次在移動端完整的點(diǎn)擊全部的頁面以及輸入控件，AppScan代理能把這些流量信息自動記錄下來。接著點(diǎn)擊“測試”，能看到這一輪的測試結(jié)果。測試人員會確認(rèn)接下來測試的主要目的，通常會在高發(fā)區(qū)域進(jìn)行探索，從而發(fā)現(xiàn)問題所在。經(jīng)過連續(xù)的迭代，能使安全測試到達(dá)很高的覆蓋率。

4 結(jié)語

總的來說，在今天能被軟件安全性脅迫，截然不同的是我們信息安全工程師數(shù)量上的缺失。與此同時，在自動化安全測試的愈發(fā)重要下，業(yè)界主流的黑盒安全自動化測試工具主要針對傳統(tǒng)的Web程序，對主要依賴安全測試工程師的移動安全性，自動化相比較低。本文謹(jǐn)提供了需要大量人力來測驗bug的自動化思路，僅供從業(yè)人員參考。

參考文獻(xiàn)

[1] 張恩海，王鐸，于晉瑄.移動終端應(yīng)用層軟件自動化測試系統(tǒng)設(shè)計與實現(xiàn)[J].科技資訊，2015，13（3）：12-13.

[2] 余勇，郭騫.基于Smali Code的移動應(yīng)用行為模型的自動構(gòu)建方法[J].計算機(jī)科學(xué)，2017，44（11）：207-220.

[3] 劉艷.移動應(yīng)用軟件安全性測試研究[J].數(shù)碼世界，2017（12）：544.