网络与信息安全学报 ›› 2016, Vol. 2 ›› Issue (12): 27-38.doi: 10.11959/j.issn.2096-109x.2016.00134

• 学术论文 • 上一篇    下一篇

面向服务端私有Web API的自动发现技术研究

陈佳1,郭山清1,2   

  1. 1 山东大学计算机科学与技术学院,山东 济南 250101
    2 山东大学教育部直属密码学和信息安全重点实验室,山东 济南 250101
  • 修回日期:2015-12-05 出版日期:2016-12-01 发布日期:2016-12-28
  • 作者简介:陈佳(1993-),男,福建福州人,山东大学硕士生,主要研究方向为移动安全。|郭山清(1976-),男,山东滨州人,山东大学副教授、博士生导师,主要研究方向为应用安全、网络安全。
  • 基金资助:
    国家自然科学基金资助项目(91546203);山东省重点研发计划基金资助项目(2015GGE27033);山东省自主创新及成果转化专项基金资助项目(2014CGZH1106);山东省自然基金面上资助项目(ZR2014FM020)

Toward discovering and exploiting private server-side Web API

Jia CHEN1,Shan-qing1 GUO1,2   

  1. 1 School of Computer Science and Technology,Shandong University,Jinan 250101,China
    2 Key Laboratory of Cryptologic Technology and Information Security,Ministry of Education,Shandong University,Jinan 250101,China
  • Revised:2015-12-05 Online:2016-12-01 Published:2016-12-28
  • Supported by:
    TheNationalNaturalScienceFoundationofChina(91546203);The Key Science Technology Project of Shandong Province(2015GGE27033);The Independent Innovation Foundation of Shandong Province(2014CGZH1106);The Independent Innovation Foundation of Shandong Province(ZR2014FM020)

摘要:

移动应用和服务器交互的接口大多都采用Web API进行通信,但这些移动应用所引入的Web API会带来一些新的安全问题。为方便研究这些Web API的安全问题,在常规的Android程序测试框架的基础上,设计并实现了一个自动发现APK中面向服务器端Web API接口的系统,该系统有助于开展对服务器端私有Web API接口方面的安全研究。

关键词: WebAPI, 安卓应用, 静态分析, 动态分析

Abstract:

Most of the interfaces for mobile application and server interaction use the Web API for communication,but the Web API introduced by these mobile applications may introduce new security issues.To facilitate the study of the security of Web API,a system for automatically discovering the server-side Web API interface in APK files based on the conventional Android program testing framework was designed and implemented.This system can help to develop the research on private server-side Web API interface security.

Key words: Web API, Android App, static analysis, dynamic analysis

中图分类号: 

  • TP393