淺析基于IBM Security AppScan實現移動應用安全測試自動化的方式

朱冠達　吳江麗　劉侃

摘 要：隨著科技的不斷發展與更新，手機等產品已經成為了人們的生活必需品。雖然網絡的普及為我們的生活帶來了很多的便利，但是正因為所有的事情都有兩面性一樣，網絡安全是我們使用網絡時的一大威脅。而網絡安全問題因為嚴重的威脅著手機等產品客戶端的信息安全性，對人們的生活、工作帶了了很多的弊端。因此，研究移動應用的安全軟件是十分必要的，可以為提高手機客戶端的安全性能提供不同的研究思路?；诖?，本文主要研究IBM Security AppScan實現移動應用安全測試自動化的方式。

關鍵詞：IBM Security AppScan 移動應用 安全測試

中圖分類號：TP311.52 文獻標識碼：A 文章編號：1672-3791（2018）09（c）-0012-02

最近幾年隨著互聯網的都逐漸發展，智能終端的興起帶動了大部分的客戶逐漸由PC端轉站移動上網，移動互聯網逐漸成為了一種生活模式，覆蓋生活中的各方面，當然辦公室應用領域也不例外，這在一定程度上面提高了辦公室的工作效率也實現了隨時隨地辦公的目的。由于移動應用逐漸地滲透到人們的生活工作中，其安全性也逐漸的收到人們的關注，一個很小的移動應用安全漏洞就有可能會造成很大的經濟人力損失，所以保證移動應用安全性是一個急需解決的問題。

1 移動應用的安全性特點

移動應用主要分為客戶端和服務端，客戶端和服務端的數據交互大部分都是用Web service來進行的。Web service是用應用程序一個與平臺與編程語言不相關的方法進行相互通信的技術，Web service大部分都是用SOAP協議來完成數據交互，這些Web service大部分有準確的WSDL文件來精準地描述其接口規范?？梢酝ㄟ^掃描WSDL文件，能很簡單地從根目錄持續得到所有接口的輸出輸入參數，與此同時還可以做到分析和模擬黑客攻擊找到漏洞。使用Appscan，工作人員幾下URL或WSDL文件地址，就可以完成支柱式的搜尋，找出安全問題的隱患，尋找出待測應用的漏洞。

移動端應用程序是通過移動平臺客戶端和服務器一起組成，移動平臺客戶端和服務器的中間存在著有多種通信協議，為了確保準確地測試出移動應用程序的安全隱患問題，在現實中通常采用探索、測試、再探索、再測試的方法，或許在AppScan中配置參數和模式讓最終的結果更精準。

2 配置AppScan測試移動應用程序

一般在程序編碼完成之后需要首先進行測試，檢測其性能。而在檢測之前首先需要將軟件與對應的客戶端、服務器相連接，然后設置 AppScan程序。之后，AppScan控制的主程序就可以對連接的客戶端、服務器進行實時監控，并且對客戶端與服務器之間的信息交流進行反饋，在必要的時候攔截他們之間鏈接的信號，對移動端安裝的軟件進行安全檢測。目前，AppScan程序主要是采用兩種配置方式。

2.1 通過端口映射工具配置移動端和AppScan之間的數據連接

首先，在移動設備的一個端口的映射配置程序中設置AppScan程序，然后與服務器進行連接。目前采用的大多數是rinetd進行配置，它具有定向傳輸的功能，并且是具有安全控制協議的一個源軟件。因此，客戶端只要設置在發送文件的時候自動啟動rinetd軟件，就可以保障文件的安全性。

端口映射工具安裝、設置完成之后，需要根據客戶端需要連接的網絡特點，將移動客戶端中已經安裝的各種軟件、程序聯網，上傳到AppScan中進行檢測。此時，手機客戶端需要選擇連接無線網絡，在設置網絡連接的事時候的代理器為HTTP，然后根據設備上的端口和服務器的型號進行設置。一般服務器的IP地址就是客戶端連接的AppScan所在端口的地址，例如端口為 rinetd.conf的AppScan，在移動客戶端與其連接之后進行常規掃描的時候會自動啟動AppScan，然后進行程序設置，這個時候 rinetd.conf就是該客戶端的IP地址。

探索站點的常用方法：外部設備或者手機客戶端，在點擊“下一步”之后，會自動彈出“選擇代理端口”“記錄位置”設置選項，一般選擇rinetd.conf 端口即可，選擇“該機器上的外部客戶機”為位置選擇，然后就可以進行下一步設置。一般點擊“下一步”之后會自動跳轉到“登陸管理”頁面，在這個界面中就可以點擊已經安裝的應用程序軟件，進行軟件登錄和使用，這個時候AppScan會將用戶輸入的“用戶名”和對應的“密碼”進行記憶和儲存。因為AppScan具有安全性設置特點，有時候無法直接登錄已經輸入過的用戶信息，這個時候需要進入到掃描頁面，通過“完全掃描配置→登陸管理→自動登陸”來重新設置，這樣就可以解決這一問題。測試方法：一般先導入需要測試的文件，然后進行特定的文件掃描。在上述操作都已經全部完成之后，AppScan會開啟外部非客戶端流量模式，相關人員只要手動輸入移動端IP地址就可以立即查詢相關的記錄

2.2 通過AppScan代理模式直接建立和移動端的數據鏈接

這一模式需要客戶端配置AppScan9及以上的軟件版本。打開文件初始界面，選擇“新建文件夾”，界面會彈出不同規格的文件類型，選擇“常規模板”。然后進入軟件安裝的“向導頁面”，選擇“外部設備/客戶機”為探索站點。然后在下一步種勾選任意一個空閑端口為代理端口，選擇本機IP為IP地址。接下來的設置同文章中的上一個步驟一致。在外部流量記錄器設置中點擊“記錄代理配置”，可以修改客戶端的IP名稱和網絡掩碼。所有的步驟操作完成之后，需要在客戶端上安裝AppScan SSL，同時導出安全證書。

3 使用AppScan測試移動應用程序

在完成配置后，與此同時AppScan作為代理會把客戶端與服務器端的交互，并基于用戶行為去完成探測和分析記錄。但是安全性分析的操作是基于用戶對移動應用程序的，所以迭代的方式更有利于確保測試質量。在操作中，測試人員一般先采用“探索”，其次在移動端完整的點擊全部的頁面以及輸入控件，AppScan代理能把這些流量信息自動記錄下來。接著點擊“測試”，能看到這一輪的測試結果。測試人員會確認接下來測試的主要目的，通常會在高發區域進行探索，從而發現問題所在。經過連續的迭代，能使安全測試到達很高的覆蓋率。

4 結語

總的來說，在今天能被軟件安全性脅迫，截然不同的是我們信息安全工程師數量上的缺失。與此同時，在自動化安全測試的愈發重要下，業界主流的黑盒安全自動化測試工具主要針對傳統的Web程序，對主要依賴安全測試工程師的移動安全性，自動化相比較低。本文謹提供了需要大量人力來測驗bug的自動化思路，僅供從業人員參考。

參考文獻

[1] 張恩海，王鐸，于晉瑄.移動終端應用層軟件自動化測試系統設計與實現[J].科技資訊，2015，13（3）：12-13.

[2] 余勇，郭騫.基于Smali Code的移動應用行為模型的自動構建方法[J].計算機科學，2017，44（11）：207-220.

[3] 劉艷.移動應用軟件安全性測試研究[J].數碼世界，2017（12）：544.