网络与信息安全学报 ›› 2016, Vol. 2 ›› Issue (12): 27-38.doi: 10.11959/j.issn.2096-109x.2016.00134

• 学术论文 • 上一篇    下一篇

面向服务端私有Web API的自动发现技术研究

陈佳1,郭山清1,2   

  1. 1 山东大学计算机科学与技术学院,山东 济南 250101
    2 山东大学教育部直属密码学和信息安全重点实验室,山东 济南 250101
  • 修回日期:2015-12-05 出版日期:2016-12-01 发布日期:2016-12-28
  • 作者简介:陈佳(1993-),男,福建福州人,山东大学硕士生,主要研究方向为移动安全。|郭山清(1976-),男,山东滨州人,山东大学副教授、博士生导师,主要研究方向为应用安全、网络安全。
  • 基金资助:
    国家自然科学基金资助项目(91546203);山东省重点研发计划基金资助项目(2015GGE27033);山东省自主创新及成果转化专项基金资助项目(2014CGZH1106);山东省自然基金面上资助项目(ZR2014FM020)

Toward discovering and exploiting private server-side Web API

Jia CHEN1,Shan-qing1 GUO1,2   

  1. 1 School of Computer Science and Technology,Shandong University,Jinan 250101,China
    2 Key Laboratory of Cryptologic Technology and Information Security,Ministry of Education,Shandong University,Jinan 250101,China
  • Revised:2015-12-05 Online:2016-12-01 Published:2016-12-28
  • Supported by:
    TheNationalNaturalScienceFoundationofChina(91546203);The Key Science Technology Project of Shandong Province(2015GGE27033);The Independent Innovation Foundation of Shandong Province(2014CGZH1106);The Independent Innovation Foundation of Shandong Province(ZR2014FM020)

摘要:

移动应用和服务器交互的接口大多都采用Web API进行通信,但这些移动应用所引入的Web API会带来一些新的安全问题。为方便研究这些Web API的安全问题,在常规的Android程序测试框架的基础上,设计并实现了一个自动发现APK中面向服务器端Web API接口的系统,该系统有助于开展对服务器端私有Web API接口方面的安全研究。

关键词: WebAPI, 安卓应用, 静态分析, 动态分析

Abstract:

Most of the interfaces for mobile application and server interaction use the Web API for communication,but the Web API introduced by these mobile applications may introduce new security issues.To facilitate the study of the security of Web API,a system for automatically discovering the server-side Web API interface in APK files based on the conventional Android program testing framework was designed and implemented.This system can help to develop the research on private server-side Web API interface security.

Key words: Web API, Android App, static analysis, dynamic analysis

中图分类号: 

[1] 赵 方,马 严,罗海勇,林 权. 基于顽健估计的室内节点定位算法[J]. 通信学报, 2008, 29(11): 15 -120 .
[2] 刘林峰,刘业. 基于满Steiner树问题的水下无线传感器网络拓扑愈合算法研究[J]. 通信学报, 2010, 0(9): 9 -37 .
[3] 牛建伟,郭锦铠,刘燕,童超. 基于移动预测的高效机会网络路由算法[J]. 通信学报, 2010, 31(9A): 11 -80 .
[4] 刘青格,邵定蓉,李署坚. 从素数码到级联素数码[J]. 通信学报, 2007, 28(4): 19 -127 .
[5] 周 航,阮秋琦. 基于ROI分割和相干映射的裸手字母手势识别[J]. 通信学报, 2007, 28(5): 15 .
[6] 刘 武,段海新,张 洪,吴建平. 基于信任的P2P网络安全管理体系结构研究[J]. 通信学报, 2008, 29(11A): 3 -16 .
[7] 何晓明,冀晖,毛东峰,唐宏. 电信IP网向SDN演进的探讨[J]. 电信科学, 2014, 30(6): 131 -137 .
[8] 程东年,汪斌强,王保进,张建辉. 网络结构自调整的柔性内涵初探[J]. 通信学报, 2012, 33(8): 26 -222 .
[9] 张 霞,马连川,曹 源,张玉琢. CTCS-3级GSM-R车地通信数据丢失概率及其影响的研究[J]. 通信学报, 2014, 35(12): 24 -209 .
[10] 付中南,尚 群,公绪晓. 校园网络接入层一体化的规划与实践[J]. 通信学报, 2014, 35(Z1): 18 -97 .