-
公开(公告)号:CN104484175B
公开(公告)日:2017-11-28
申请号:CN201410781215.1
申请日:2014-12-16
Applicant: 上海交通大学 , 上海交通大学中原研究院
Abstract: 一种Android应用程序密码学误用检测方法,对待检测应用程序进行反编译并生成代码库;然后在代码库中查找与密码学算法相关的代码段;再将和密码算法相关的代码段从原程序中剥离出来,得到完整的密码算法实现过程代码;最后对第三步得到的每一个密码学算法实现代码段进行数据抽象和过程建模处理,并通过模式匹配和事先指定的密码算法实现准则进行逐条比较,将不符合实现准则的条目输出并汇总形成安全分析结果。本发明能够通过对Android应用程序的静态分析,自动化的判断应用程序中所使用的密码算法种类,自动提取密码算法相关代码片段,对代码段进行安全分析,发现密码算法实现过程中存在问题的环节,最终得到应用程序密码学误用安全分析结果。
-
公开(公告)号:CN104837159A
公开(公告)日:2015-08-12
申请号:CN201510235772.8
申请日:2015-05-11
Applicant: 上海交通大学 , 上海交通大学中原研究院
IPC: H04W24/06
CPC classification number: H04W24/06
Abstract: 一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。
-
公开(公告)号:CN104837159B
公开(公告)日:2018-01-30
申请号:CN201510235772.8
申请日:2015-05-11
Applicant: 上海交通大学 , 上海交通大学中原研究院
IPC: H04W24/06
Abstract: 一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及服务器端的实现正确性。本发明能够全面分析Android应用中OAuth协议的误用和潜在风险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。
-
公开(公告)号:CN104484175A
公开(公告)日:2015-04-01
申请号:CN201410781215.1
申请日:2014-12-16
Applicant: 上海交通大学 , 上海交通大学中原研究院
Abstract: 一种Android应用程序密码学误用检测方法,对待检测应用程序进行反编译并生成代码库;然后在代码库中查找与密码学算法相关的代码段;再将和密码算法相关的代码段从原程序中剥离出来,得到完整的密码算法实现过程代码;最后对第三步得到的每一个密码学算法实现代码段进行数据抽象和过程建模处理,并通过模式匹配和事先指定的密码算法实现准则进行逐条比较,将不符合实现准则的条目输出并汇总形成安全分析结果。本发明能够通过对Android应用程序的静态分析,自动化的判断应用程序中所使用的密码算法种类,自动提取密码算法相关代码片段,对代码段进行安全分析,发现密码算法实现过程中存在问题的环节,最终得到应用程序密码学误用安全分析结果。
-
公开(公告)号:CN104484607A
公开(公告)日:2015-04-01
申请号:CN201410781145.X
申请日:2014-12-16
Applicant: 上海交通大学 , 上海交通大学中原研究院
IPC: G06F21/57
CPC classification number: G06F21/577
Abstract: 一种Android应用程序安全性测试的通用方法及系统,通过对待测试程序解包并进行反编译,得到XML源代码;然后通过静态分析待测试程序的配置文件和代码,进行包括:组件暴露漏洞、密码学误用、webview代码执行漏洞、代码保护方面的漏洞检测和安全测试;再将待测试程序进行实际运行并配置网络检测环境;最后进行动态分析,对信息泄漏、数据传输安全和数据存储安全三个方面的动态漏洞检测和安全测试并得出漏洞检测和安全测试报告。本发明能够对任一Android应用程序通过静态和动态分析相结合的方式,可以通过一系列步骤的检测和评估,能够最终给出应用程序本身设计和实现上存在的安全缺陷和隐患。
-
Patent Agency Ranking
公开(公告)号:CN107273750B
公开(公告)日:2021-03-16
申请号:CN201710405313.9
申请日:2017-05-31
Applicant: 上海交通大学
Abstract: 一种Android设备内核漏洞的修补系统及方法,包括:修复信息采集模块、启发式匹配模块、内核页表处理模块和修复模块,其中:修复信息采集模块与启发式匹配模块相连并传输CVE信息,启发式匹配模块与修复模块相连并传输漏洞点位置,即修补代码的插入点位置,内核页表处理模块与修复模块相连并传输分配的可执行内存信息,修复模块根据分配的可执行内存信息和漏洞点位置实现漏洞的修复。本发明通过启发式匹配策略来进行匹配定位漏洞点,在深入分析、理解内核页表的基础上,修改页表权限达到插入修补代码的目的。
-
-
公开(公告)号:CN107273750A
公开(公告)日:2017-10-20
申请号:CN201710405313.9
申请日:2017-05-31
Applicant: 上海交通大学
Abstract: 一种Android设备内核漏洞的修补系统及方法,包括:修复信息采集模块、启发式匹配模块、内核页表处理模块和修复模块,其中:修复信息采集模块与启发式匹配模块相连并传输CVE信息,启发式匹配模块与修复模块相连并传输漏洞点位置,即修补代码的插入点位置,内核页表处理模块与修复模块相连并传输分配的可执行内存信息,修复模块根据分配的可执行内存信息和漏洞点位置实现漏洞的修复。本发明通过启发式匹配策略来进行匹配定位漏洞点,在深入分析、理解内核页表的基础上,修改页表权限达到插入修补代码的目的。
-
-
公开(公告)号:CN104035839A
公开(公告)日:2014-09-10
申请号:CN201410260715.0
申请日:2014-06-12
Applicant: 上海交通大学
Abstract: 一种移动通信技术领域的Android系统隐私数据恢复实现方法,通过对无法获得文件系统信息的磁盘镜像进行数据块划分,然后依次从数据块中提取出结构特征和语义特征,并进一步筛选出SQLite3文件头数据块和SQLite3页数据块,经分割重组恢复出原始文件。本发明在ext4文件系统journal等文件系统相关信息受损的情况下,通过对隐私数据特征的分析,从非结构化的Android磁盘原始数据中进行数据恢复。
-
-
-
-
-
-
-
-
-
Search Results
15
records
(took 0.015 seconds)
