浅析基于IBM Security AppScan实现移动应用安全测试自动化的方式

朱冠达　吴江丽　刘侃

摘 要：随着科技的不断发展与更新，手机等产品已经成为了人们的生活必需品。虽然网络的普及为我们的生活带来了很多的便利，但是正因为所有的事情都有两面性一样，网络安全是我们使用网络时的一大威胁。而网络安全问题因为严重的威胁着手机等产品客户端的信息安全性，对人们的生活、工作带了了很多的弊端。因此，研究移动应用的安全软件是十分必要的，可以为提高手机客户端的安全性能提供不同的研究思路。基于此，本文主要研究IBM Security AppScan实现移动应用安全测试自动化的方式。

关键词：IBM Security AppScan 移动应用 安全测试

中图分类号：TP311.52 文献标识码：A 文章编号：1672-3791（2018）09（c）-0012-02

最近几年随着互联网的都逐渐发展，智能终端的兴起带动了大部分的客户逐渐由PC端转站移动上网，移动互联网逐渐成为了一种生活模式，覆盖生活中的各方面，当然办公室应用领域也不例外，这在一定程度上面提高了办公室的工作效率也实现了随时随地办公的目的。由于移动应用逐渐地渗透到人们的生活工作中，其安全性也逐渐的收到人们的关注，一个很小的移动应用安全漏洞就有可能会造成很大的经济人力损失，所以保证移动应用安全性是一个急需解决的问题。

1 移动应用的安全性特点

移动应用主要分为客户端和服务端，客户端和服务端的数据交互大部分都是用Web service来进行的。Web service是用应用程序一个与平台与编程语言不相关的方法进行相互通信的技术，Web service大部分都是用SOAP协议来完成数据交互，这些Web service大部分有准确的WSDL文件来精准地描述其接口规范。可以通过扫描WSDL文件，能很简单地从根目录持续得到所有接口的输出输入参数，与此同时还可以做到分析和模拟黑客攻击找到漏洞。使用Appscan，工作人员几下URL或WSDL文件地址，就可以完成支柱式的搜寻，找出安全问题的隐患，寻找出待测应用的漏洞。

移动端应用程序是通过移动平台客户端和服务器一起组成，移动平台客户端和服务器的中间存在着有多种通信协议，为了确保准确地测试出移动应用程序的安全隐患问题，在现实中通常采用探索、测试、再探索、再测试的方法，或许在AppScan中配置参数和模式让最终的结果更精准。

2 配置AppScan测试移动应用程序

一般在程序编码完成之后需要首先进行测试，检测其性能。而在检测之前首先需要将软件与对应的客户端、服务器相连接，然后设置 AppScan程序。之后，AppScan控制的主程序就可以对连接的客户端、服务器进行实时监控，并且对客户端与服务器之间的信息交流进行反馈，在必要的时候拦截他们之间链接的信号，对移动端安装的软件进行安全检测。目前，AppScan程序主要是采用两种配置方式。

2.1 通过端口映射工具配置移动端和AppScan之间的数据连接

首先，在移动设备的一个端口的映射配置程序中设置AppScan程序，然后与服务器进行连接。目前采用的大多数是rinetd进行配置，它具有定向传输的功能，并且是具有安全控制协议的一个源软件。因此，客户端只要设置在发送文件的时候自动启动rinetd软件，就可以保障文件的安全性。

端口映射工具安装、设置完成之后，需要根据客户端需要连接的网络特点，将移动客户端中已经安装的各种软件、程序联网，上传到AppScan中进行检测。此时，手机客户端需要选择连接无线网络，在设置网络连接的事时候的代理器为HTTP，然后根据设备上的端口和服务器的型号进行设置。一般服务器的IP地址就是客户端连接的AppScan所在端口的地址，例如端口为 rinetd.conf的AppScan，在移动客户端与其连接之后进行常规扫描的时候会自动启动AppScan，然后进行程序设置，这个时候 rinetd.conf就是该客户端的IP地址。

探索站点的常用方法：外部设备或者手机客户端，在点击“下一步”之后，会自动弹出“选择代理端口”“记录位置”设置选项，一般选择rinetd.conf 端口即可，选择“该机器上的外部客户机”为位置选择，然后就可以进行下一步设置。一般点击“下一步”之后会自动跳转到“登陆管理”页面，在这个界面中就可以点击已经安装的应用程序软件，进行软件登录和使用，这个时候AppScan会将用户输入的“用户名”和对应的“密码”进行记忆和储存。因为AppScan具有安全性设置特点，有时候无法直接登录已经输入过的用户信息，这个时候需要进入到扫描页面，通过“完全扫描配置→登陆管理→自动登陆”来重新设置，这样就可以解决这一问题。测试方法：一般先导入需要测试的文件，然后进行特定的文件扫描。在上述操作都已经全部完成之后，AppScan会开启外部非客户端流量模式，相关人员只要手动输入移动端IP地址就可以立即查询相关的记录

2.2 通過AppScan代理模式直接建立和移动端的数据链接

这一模式需要客户端配置AppScan9及以上的软件版本。打开文件初始界面，选择“新建文件夹”，界面会弹出不同规格的文件类型，选择“常规模板”。然后进入软件安装的“向导页面”，选择“外部设备/客户机”为探索站点。然后在下一步种勾选任意一个空闲端口为代理端口，选择本机IP为IP地址。接下来的设置同文章中的上一个步骤一致。在外部流量记录器设置中点击“记录代理配置”，可以修改客户端的IP名称和网络掩码。所有的步骤操作完成之后，需要在客户端上安装AppScan SSL，同时导出安全证书。

3 使用AppScan测试移动应用程序

在完成配置后，与此同时AppScan作为代理会把客户端与服务器端的交互，并基于用户行为去完成探测和分析记录。但是安全性分析的操作是基于用户对移动应用程序的，所以迭代的方式更有利于确保测试质量。在操作中，测试人员一般先采用“探索”，其次在移动端完整的点击全部的页面以及输入控件，AppScan代理能把这些流量信息自动记录下来。接着点击“测试”，能看到这一轮的测试结果。测试人员会确认接下来测试的主要目的，通常会在高发区域进行探索，从而发现问题所在。经过连续的迭代，能使安全测试到达很高的覆盖率。

4 结语

总的来说，在今天能被软件安全性胁迫，截然不同的是我们信息安全工程师数量上的缺失。与此同时，在自动化安全测试的愈发重要下，业界主流的黑盒安全自动化测试工具主要针对传统的Web程序，对主要依赖安全测试工程师的移动安全性，自动化相比较低。本文谨提供了需要大量人力来测验bug的自动化思路，仅供从业人员参考。

参考文献

[1] 张恩海，王铎，于晋瑄.移动终端应用层软件自动化测试系统设计与实现[J].科技资讯，2015，13（3）：12-13.

[2] 余勇，郭骞.基于Smali Code的移动应用行为模型的自动构建方法[J].计算机科学，2017，44（11）：207-220.

[3] 刘艳.移动应用软件安全性测试研究[J].数码世界，2017（12）：544.