本发明专利技术公开一种针对地下管线移动地理信息安全的渗透测试方法,包括如下步骤:将APK文件后缀名改为zip,解压该压缩文件,得到其中的class.dex文件;将class.dex文件复制到dex2jar.bat文件所在目录,在命令行下执行dex2jar class.dex命令,在当前目录下生成class_dex2jar.jar文件;打开jd-gui代码查看工具,导入class_dex2jar.jar文件,查看逆向后的应用源码;设置测试机的地址,利用测试机收集服务器端接口列表;采用burp suit工具通过服务器端接口列表实现对服务器的漏洞扫描,并且向测试机输出漏洞分析报表,同时利用sqlmap工具对服务器端进行sql注入测试,以探测sql注入漏洞。所述透测试方法能够针对搭载地下管线路由数据的移动GIS应用,发现地下管线地图服务器上应用服务程序的漏洞,防止地下管线的数据泄露。
【技术实现步骤摘要】
本专利技术涉及地下管线移动地理信息安全性测试
更具体地,涉及一种针对地下管线移动地理信息安全的渗透测试方法。
技术介绍
随着城市化进程的加速,各种城市管网重叠交错、杂乱无章地争抢着城市有限的地下空间。近年来,地下管线事故频发,由此造成的爆炸、火灾、有毒气体排放等问题,已经严重危害人民群众的生命安全。采用传统地理信息系统(GIS)技术已经不能满足日常管线运行和维护管理。现有技术中,移动GIS以移动互联网为支撑,以智能手机或平板电脑为终端,结合北斗、GPS或基站为定位手段,是继桌面GIS、WEBGIS之后又一新的技术热点,移动定位、移动办公等越来越成为企业或个人的迫切需求,然而在地下管线移动应用得到广泛普及的同时,地下管线数据的安全性问题也日益突出。针对移动GIS应用系统的安全性测试方法的研究也迫在眉睫。现有技术中,主流的地下管线移动GIS系统是以空间数据库为数据支持,以地理应用服务器为核心应用,以无线网络为通讯桥梁,以移动终端为采集工具和应用工具的综合系统。地下管线移动GIS终端设备包括掌上电脑(PDA)、便携式计算机、WAP(无线通用协议)手机、GPS定位仪器等。软件主要是嵌入式的GIS应用软件。用户通过该终端向远程的地理信息服务器发送服务请求,然后接受服务器传送的计算结果并显示出来。地下管线移动GIS的应用是基于移动终端设备的。便携、低耗、计算能力强的移动终端正日益成为移动GIS用户的首选。地下管线移动GIS中的地理应用服务器是整个系统的关键部分,也是系统的GIS引擎,用于为地下管线移动GIS用户提供大范围的地理服务以及潜在的空间分析和查询操作服务。通常情况下,地下管线移动GIS终端应用是以webapi(网络应用程序接口)的方式,调用地理服务器服务资源,进行相关的检索和查询操作。这种模式把地下管线数据安全跟web安全绑在一起。地下管线移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在服务器端同样存在,例如SQL(结构化查询语言)注入、文件上传、中间件/server漏洞等,但是由于地下管线移动app不是直接嵌入网页在app中,而是使用api接口返回json(JavaScriptObjectNotation)数据,导致扫描器爬虫无法爬取链接,无法对于地下管线GIS移动端应用进行渗透测试。因此,非常需要一种基于渗透测试理论的通用性强、覆盖率广、灵活度高的地下管线移动地理信息安全性的测试方法。
技术实现思路
本专利技术的目的在于提供一种针对地下管线移动地理信息安全的渗透测试方法。为达到上述目的,本专利技术采用下述技术方案:一种针对地下管线移动地理信息安全的渗透测试方法,该渗透测试方法包括如下步骤:将APK文件后缀名改为zip,解压该压缩文件,得到其中的class.dex文件;将class.dex文件复制到dex2jar.bat文件所在目录,在命令行下执行dex2jarclass.dex命令,在当前目录下生成class_dex2jar.jar文件;打开jd-gui代码查看工具,导入所述class_dex2jar.jar文件,查看逆向后的应用源码;设置测试机的地址,利用测试机收集服务器端接口列表;采用burpsuit工具通过服务器端接口列表实现对服务器的漏洞扫描,并且向测试机输出漏洞分析报表,同时利用sqlmap工具对服务器端进行sql注入测试,以探测sql注入漏洞。优选地,所述步骤“打开jd-gui代码查看工具,导入上述步骤S2生成的class_dex2jar.jar文件,查看逆向后的应用源码”中,对于未混淆的移动程序,查看应用程序源码;对于混淆的移动程序,使用apkTool工具解析布局文件,以解决布局文件的乱码情况。优选地,所述步骤“打开jd-gui代码查看工具,导入上述步骤S2生成的class_dex2jar.jar文件,查看逆向后的应用源码”中,在逆向后的程序源文件中检索出服务器WebAPI接口列表。优选地,所述burpsuit工具是用于攻击web应用程序的集成平台。优选地,所述sqlmap工具是一款用来检测与利用sql注入漏洞的免费开源工具。本专利技术的有益效果如下:(1)与现有技术相比,所述透测试方法能够针对搭载地下管线路由数据的移动GIS应用,发现地下管线地图服务器上应用服务程序的漏洞,从而防止地下管线的数据泄露,保证系统安全;(2)与现有技术相比,所述渗透测试方法为针对某城市地下管线巡检应用APP进行渗透测试,在移动应用上可实现地下管线路由信息的查看、综合信息的检索以及部分图层要素的编辑功能。附图说明下面结合附图对本专利技术的具体实施方式作进一步详细的说明。图1为本专利技术实施例提供的针对地下管线移动地理信息安全的渗透测试方法采用的测试系统的示意图;图2为本专利技术实施例提供的针对地下管线移动地理信息安全的渗透测试方法的流程图;图3为APK文件的解压文件目录图;图4为jd-gui代码查看工具的示意图;图5为测试机的设置图;图6为burpsuit渗透测试图。具体实施方式为了更清楚地说明本专利技术,下面结合优选实施例和附图对本专利技术做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解,下面所具体描述的内容是说明性的而非限制性的,不应以此限制本专利技术的保护范围。如图1所示,本实施例提供的针对地下管线移动地理信息安全的渗透测试方法采用的测试系统包括服务器1、移动终端2和测试机3。移动终端2通常为专业从事地下管线移动地理信息安全工作的业务人员手持的手机或平板电脑。测试机3用于供测试人员对地下管线移动地理信息安全进行渗透测试。如图2所示,本实施例提供的针对地下管线移动地理信息安全的渗透测试方法包括如下步骤:S1:将APK文件后缀名改为zip,解压该压缩文件,得到其中的class.dex文件,如图3所示;S2:将class.dex文件复制到dex2jar.bat文件所在目录,在命令行下执行dex2jarclass.dex命令,在当前目录下生成class_dex2jar.jar文件,如图3所示;S3:打开jd-gui代码查看工具,导入上述步骤S2生成的class_dex2jar.jar文件,查看逆向后的应用源码,如图4所示;该步骤中,对于未混淆的移动程序,查看应用程序源码;对于混淆的移动程序,使本文档来自技高网...
【技术保护点】
一种针对地下管线移动地理信息安全的渗透测试方法,其特征在于,该渗透测试方法包括如下步骤:将APK文件后缀名改为zip,解压该压缩文件,得到其中的class.dex文件;将class.dex文件复制到dex2jar.bat文件所在目录,在命令行下执行dex2jar class.dex命令,在当前目录下生成class_dex2jar.jar文件;打开jd‑gui代码查看工具,导入所述class_dex2jar.jar文件,查看逆向后的应用源码;设置测试机的地址,利用测试机收集服务器端接口列表;采用burp suit工具通过服务器端接口列表实现对服务器的漏洞扫描,并且向测试机输出漏洞分析报表,同时利用sqlmap工具对服务器端进行sql注入测试,以探测sql注入漏洞。
【技术特征摘要】
1.一种针对地下管线移动地理信息安全的渗透测试方法,其特征在于,
该渗透测试方法包括如下步骤:
将APK文件后缀名改为zip,解压该压缩文件,得到其中的class.dex文
件;
将class.dex文件复制到dex2jar.bat文件所在目录,在命令行下执行dex2jar
class.dex命令,在当前目录下生成class_dex2jar.jar文件;
打开jd-gui代码查看工具,导入所述class_dex2jar.jar文件,查看逆向后
的应用源码;
设置测试机的地址,利用测试机收集服务器端接口列表;
采用burpsuit工具通过服务器端接口列表实现对服务器的漏洞扫描,并
且向测试机输出漏洞分析报表,同时利用sqlmap工具对服务器端进行sql注
入测试,以探测sql注入漏洞。
2.根据权利要求1所述的针对地下管线移动地理信息安全的渗透测试方
法,其特征在于,所述步骤“打开jd-gui...
【专利技术属性】
技术研发人员:张帆,杨帆,
申请(专利权)人:北京无线电计量测试研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。