一種針對地下管線移動地理信息安全的滲透測試方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及地下管線移動地理信息安全性測試技術(shù)領(lǐng)域�����。更具體地��,涉及一種針對地下管線移動地理信息安全的滲透測試方法����。
【背景技術(shù)】
[0002]隨著城市化進(jìn)程的加速,各種城市管網(wǎng)重疊交錯�、雜亂無章地爭搶著城市有限的地下空間。近年來����,地下管線事故頻發(fā),由此造成的爆炸����、火災(zāi)、有毒氣體排放等問題��,已經(jīng)嚴(yán)重危害人民群眾的生命安全�����。采用傳統(tǒng)地理信息系統(tǒng)(GIS)技術(shù)已經(jīng)不能滿足日常管線運行和維護(hù)管理。
[0003]現(xiàn)有技術(shù)中�,移動GIS以移動互聯(lián)網(wǎng)為支撐,以智能手機(jī)或平板電腦為終端���,結(jié)合北斗�、GPS或基站為定位手段����,是繼桌面GIS、WEBGIS之后又一新的技術(shù)熱點�����,移動定位����、移動辦公等越來越成為企業(yè)或個人的迫切需求���,然而在地下管線移動應(yīng)用得到廣泛普及的同時��,地下管線數(shù)據(jù)的安全性問題也日益突出��。針對移動GIS應(yīng)用系統(tǒng)的安全性測試方法的研究也迫在眉睫��。
[0004]現(xiàn)有技術(shù)中��,主流的地下管線移動GIS系統(tǒng)是以空間數(shù)據(jù)庫為數(shù)據(jù)支持����,以地理應(yīng)用服務(wù)器為核心應(yīng)用,以無線網(wǎng)絡(luò)為通訊橋梁��,以移動終端為采集工具和應(yīng)用工具的綜合系統(tǒng)���。地下管線移動GIS終端設(shè)備包括掌上電腦(PDA)��、便攜式計算機(jī)���、WAP(無線通用協(xié)議)手機(jī)、GPS定位儀器等����。軟件主要是嵌入式的GIS應(yīng)用軟件。用戶通過該終端向遠(yuǎn)程的地理信息服務(wù)器發(fā)送服務(wù)請求��,然后接受服務(wù)器傳送的計算結(jié)果并顯示出來�。地下管線移動GIS的應(yīng)用是基于移動終端設(shè)備的。便攜��、低耗、計算能力強(qiáng)的移動終端正日益成為移動GIS用戶的首選��。地下管線移動GIS中的地理應(yīng)用服務(wù)器是整個系統(tǒng)的關(guān)鍵部分�,也是系統(tǒng)的GIS引擎,用于為地下管線移動GIS用戶提供大范圍的地理服務(wù)以及潛在的空間分析和查詢操作服務(wù)���。
[0005]通常情況下���,地下管線移動GIS終端應(yīng)用是以webapi(網(wǎng)絡(luò)應(yīng)用程序接口)的方式,調(diào)用地理服務(wù)器服務(wù)資源��,進(jìn)行相關(guān)的檢索和查詢操作��。這種模式把地下管線數(shù)據(jù)安全跟web安全綁在一起���。地下管線移動app以web服務(wù)的方式跟服務(wù)端交互���,服務(wù)器端也是一個展示信息的網(wǎng)站��,常見的web漏洞在服務(wù)器端同樣存在��,例如SQL(結(jié)構(gòu)化查詢語言)注入��、文件上傳、中間件/server漏洞等����,但是由于地下管線移動app不是直接嵌入網(wǎng)頁在app中,而是使用api接口返回json(JavaScript Object Notat1n)數(shù)據(jù)�,導(dǎo)致掃描器爬蟲無法爬取鏈接,無法對于地下管線GIS移動端應(yīng)用進(jìn)行滲透測試����。
[0006]因此,非常需要一種基于滲透測試?yán)碚摰耐ㄓ眯詮?qiáng)���、覆蓋率廣���、靈活度高的地下管線移動地理信息安全性的測試方法。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于提供一種針對地下管線移動地理信息安全的滲透測試方法�����。
[0008]為達(dá)到上述目的�,本發(fā)明采用下述技術(shù)方案:
[0009]—種針對地下管線移動地理信息安全的滲透測試方法,該滲透測試方法包括如下步驟:
[0010]將APK文件后綴名改為zip����,解壓該壓縮文件�,得到其中的class,dex文件�;
[0011 ] 將class.dex文件復(fù)制到dex2 jar.bat文件所在目錄,在命令行下執(zhí)行dex2 jarclass.dex命令���,在當(dāng)前目錄下生成class_dex2jar.jar文件�����;
[00?2] 打開jd-gui代碼查看工具��,導(dǎo)入所述class_dex2 jar.jar文件�����,查看逆向后的應(yīng)用源碼���;
[0013]設(shè)置測試機(jī)的地址,利用測試機(jī)收集服務(wù)器端接口列表���;
[0014]采用burp suit工具通過服務(wù)器端接口列表實現(xiàn)對服務(wù)器的漏洞掃描�����,并且向測試機(jī)輸出漏洞分析報表����,同時利用sqlmap工具對服務(wù)器端進(jìn)行sql注入測試�����,以探測sql注入漏洞����。
[0015]優(yōu)選地,所述步驟“打開jd-gui代碼查看工具�,導(dǎo)入上述步驟S2生成的class_dex2 jar.jar文件,查看逆向后的應(yīng)用源碼”中���,對于未混淆的移動程序��,查看應(yīng)用程序源碼;對于混淆的移動程序��,使用apkTool工具解析布局文件����,以解決布局文件的亂碼情況�����。
[0016]優(yōu)選地,所述步驟“打開jd-gui代碼查看工具����,導(dǎo)入上述步驟S2生成的class_deX2jar.jar文件,查看逆向后的應(yīng)用源碼”中�,在逆向后的程序源文件中檢索出服務(wù)器WebAPI接口列表。
[0017]優(yōu)選地���,所述burp suit工具是用于攻擊web應(yīng)用程序的集成平臺�����。
[0018]優(yōu)選地��,所述sqlmap工具是一款用來檢測與利用sql注入漏洞的免費開源工具�����。
[0019]本發(fā)明的有益效果如下:
[0020](I)與現(xiàn)有技術(shù)相比����,所述透測試方法能夠針對搭載地下管線路由數(shù)據(jù)的移動GIS應(yīng)用�����,發(fā)現(xiàn)地下管線地圖服務(wù)器上應(yīng)用服務(wù)程序的漏洞�����,從而防止地下管線的數(shù)據(jù)泄露���,保證系統(tǒng)安全��;
[0021](2)與現(xiàn)有技術(shù)相比�,所述滲透測試方法為針對某城市地下管線巡檢應(yīng)用APP進(jìn)行滲透測試����,在移動應(yīng)用上可實現(xiàn)地下管線路由信息的查看、綜合信息的檢索以及部分圖層要素的編輯功能�����。
【附圖說明】
[0022]下面結(jié)合附圖對本發(fā)明的【具體實施方式】作進(jìn)一步詳細(xì)的說明�。
[0023]圖1為本發(fā)明實施例提供的針對地下管線移動地理信息安全的滲透測試方法采用的測試系統(tǒng)的示意圖;
[0024]圖2為本發(fā)明實施例提供的針對地下管線移動地理信息安全的滲透測試方法的流程圖��;
[0025]圖3為APK文件的解壓文件目錄圖�;
[0026I圖4為jd-gui代碼查看工具的示意圖�����;
[0027]圖5為測試機(jī)的設(shè)置圖��;
[0028]圖6為burp suit滲透測試圖�����。
【具體實施方式】
[0029]為了更清楚地說明本發(fā)明����,下面結(jié)合優(yōu)選實施例和附圖對本發(fā)明做進(jìn)一步的說明�。附圖中相似的部件以相同的附圖標(biāo)記進(jìn)行表示。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解��,下面所具體描述的內(nèi)容是說明性的而非限制性的�,不應(yīng)以此限制本發(fā)明的保護(hù)范圍。
[0030]如圖1所示�����,本實施例提供的針對地下管線移動地理信息安全的滲透測試方法采用的測試系統(tǒng)包括服務(wù)器1��、移動終端2和測試機(jī)3���。