發(fā)布時間：2020-12-27 20:24

　　目前,隨著最新的通信技術(shù)的普及,手機(jī)已經(jīng)逐漸替代以前電腦的地位。在2009年的統(tǒng)計中,手機(jī)上網(wǎng)用戶比例僅僅有60.8%,而到了 2018年,這一統(tǒng)計的數(shù)據(jù)已經(jīng)到達(dá)了 98.6%。在這一情形下,越來越多的企業(yè)選擇將本身的服務(wù)不是以網(wǎng)頁的方式,而是以手機(jī)應(yīng)用的方式展現(xiàn)給用戶,并且現(xiàn)在包括大型企業(yè)在內(nèi)的許多服務(wù)或者內(nèi)容提供者都提供了能夠連接他們自己的服務(wù)器,和客戶使用的設(shè)備交流通訊的應(yīng)用程序。同時對于這些應(yīng)用,他們的手機(jī)應(yīng)用端中用來提供服務(wù)的接口和網(wǎng)頁端中相應(yīng)的接口有著很大的區(qū)別,這也就意味著,Web網(wǎng)頁的中某個API接口的工作邏輯和與之對應(yīng)的相同功能的移動端API接口不是完全一樣的。同時,對于這些手機(jī)端的用戶而言,手機(jī)使用方面的安全問題也急需更高的重視,一旦存在的安全相關(guān)的問題,在如此大的用戶基數(shù)面前,就會使很多人的經(jīng)濟(jì)受損,或者隱私遭到泄露。在上述情況的前提下,我們會面向在原生函數(shù)層的這些私有Web接口進(jìn)行自動化的提取和分析,借此來發(fā)現(xiàn)原生函數(shù)中Web接口與Java函數(shù)層的差異性,并且進(jìn)一步分析存在的安全漏洞。在這一個想法的前提下,我們首先查閱了相關(guān)的工作,包括自動化的提取,關(guān)于網(wǎng)絡(luò)隱私... 

【文章來源】：山東大學(xué)山東省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：67 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖１－１手機(jī)網(wǎng)民人數(shù)規(guī)模增長趨勢??

山東大學(xué)碩士學(xué)位論文??手機(jī)上網(wǎng)人數(shù)比例??１２０?：??８０?．．．．．．．．．．．．——？？丨？—？—４．．＿．—．」??ｍ?ｊ?ｉ?…ｊ?ｉ?Ｉ??４０??２０??２ＣＫ５６?２００Ｂ?２０１０?２０１２?２０１４?２０１６?２０１８?２０２０??圖１－２手機(jī)網(wǎng)民比例規(guī)模增長趨勢??在這個時候，互聯(lián)網(wǎng)公司所提供的服務(wù)不再或者說很少使用網(wǎng)頁瀏覽器端，??相比之下，手機(jī)客戶端成為了他們的第一選擇。在這些互聯(lián)網(wǎng)公司所開發(fā)的應(yīng)用??中，程序通常都會使用系統(tǒng)網(wǎng)絡(luò)框架去調(diào)用服務(wù)器提供的應(yīng)用程序接口?［２ｋＡＰＩ，??本文中所有提到的ＡＰＩ均為Ｗｅｂ服務(wù)相關(guān)的ＡＰＩ），同時對于Ｗｅｂ?ＡＰＩ，存在著??大量的應(yīng)用場景，包括了神經(jīng)圖像實時解決Ｗ，以及各種模塊的設(shè)計這也導(dǎo)??致ＡＰＩ有著自己的應(yīng)用和相關(guān)規(guī)范［６，７’８］。在安卓平臺中，調(diào)用網(wǎng)絡(luò)框架時，使用??較多的相關(guān)組件是ＤｅｆａｕｌｔＨｔｔｐＣｌｉｅｎｔ，同時有時候，也會涉及到ＷｅｂＶｉｅｗ的相關(guān)??調(diào)用。服務(wù)商將應(yīng)用發(fā)布后，就會開啟相關(guān)服務(wù)的訪問接口，但是有時候，這些??訪問可能是來自惡意攻擊的第三方，這時候的服務(wù)端，就有可能錯誤的認(rèn)為來自??惡意第三方的Ｗｅｂ?ＡＰＩｓ的請求都是可信的［９］。通常，Ｗｅｂ?ＡＰＩｓ被設(shè)計為只能被??他們自己的客戶端調(diào)用，但是這里面存在著請求來源難以驗證的問題。通常的做??法是加入ｔｏｋｅｎ或者相關(guān)的參數(shù)驗證，但是一旦被發(fā)現(xiàn)其中的規(guī)律，這些方法很??有可能會失效并且受到更大的損害。之前相關(guān)的工作也論證了這一個安全問題：??惡意的第三方不僅可以偽裝成為客戶端發(fā)送請求，同時還可以利用修改后的請求??來獲取其他的資源，這也

ｉｔｙ的學(xué)者Ｃｈｒｉｓｔｏｐｈｅ?Ｌｅｕｎｇ??就基于移動應(yīng)用和Ｗｅｂ瀏覽器的隱私泄露問題展開研宄［１４１。他們認(rèn)為鑒于基于??Ｗｅｂ和基于移動應(yīng)用程序的生態(tài)系統(tǒng)是獨立發(fā)展的，一個重要的開放性問題是這??些平臺在用戶隱私方面的比較。在他的文章中，他對５０種流行的免費在線服務(wù)??進(jìn)行了面對面的研究，以了解哪種隱私更適合網(wǎng)絡(luò)或應(yīng)用程序，并且針對服務(wù)進(jìn)??行手動測試，提取通過明文和加密連接共享的個人身份信息（ＰＩＩ），并分析數(shù)據(jù)??以了解同一服務(wù)跨平臺的用戶數(shù)據(jù)收集的差異。其實驗結(jié)果可以從圖１－３中看出。??｜?＃?ｏｆ?Ａｖｇ．?ＦＩ?Ｉ?Ｌｅａｋｓ：?｜?Ｌｅａｋｅｄ?Ｉｄｅｎｔｉｆｉｅｒ＊：??Ｓｅｒｖｉｃｅｓ?Ｈａｎｋ?Ｓｅｒｖｉｃｅ＊?Ｄｏｍａｉｎｓ?ｉ?Ｂ?Ｄ?Ｅ?Ｇ?Ｌ?Ｎ?Ｐ＃?Ｕ?ＰＷ?ＵＩＤ??￣?Ａｐｐ?：?ｓ＜＞?Ｓ２．ｏ?４．４？?＆?４．７￣Ｉ－７?７?７?７?７?７?７?：?７?７?????Ｉ?５０??７６．０％?ａ－５?±?３－２?｜?？?／?／?？?？?／?／?？???．．．．?Ａｐｐ?ｉ?５０?３４．０?８２．ＣＷ；?２．Ｓ?去?３．４?！?？?／??９３?Ｗｅｂ?：?５０?－?４８．０％?＊２．６?ｉ?２．８?ｉ?Ｊ?？?？?？?？?／?？??０?Ａｐｐ?；?５０?３０．Ｊ?８６．０％?４．１?±?４．４?Ｉ?？?？?■／?？?？?？?？?？?？?？??Ｗｅｂ?；?５０?－?７６－ＯＳｔ?３．１?±?２．Ｓ?｜?？?？?？?？?？?？?？?？??Ａ?ｐｐ?：￣￣￣２?ｉｕｉ?ｌ?ＯＯ?ＯＳｆ?３?０?ｉ?ａ＜？?７?？??；?２?．

【參考文獻(xiàn)】：
期刊論文
[1]動靜結(jié)合的網(wǎng)絡(luò)惡意代碼檢測技術(shù)研究[J]. 鄧兆琨,陸余良,黃釗.  計算機(jī)應(yīng)用研究. 2019(07)
[2]一個正在被API驅(qū)動的互聯(lián)網(wǎng)時代[J]. 石宏.  計算機(jī)與網(wǎng)絡(luò). 2018(04)
[3]基于WebGIS的警務(wù)輔助模塊的設(shè)計與實現(xiàn)[J]. 高亞飛,卜凡亮.  現(xiàn)代計算機(jī)(專業(yè)版). 2018(06)
[4]基于靜態(tài)分析的安全漏洞檢測技術(shù)研究[J]. 夏一民,羅軍,張民選.  計算機(jī)科學(xué). 2006(10)

碩士論文
[1]面向WEB應(yīng)用程序的輸入功能測試與XSS漏洞檢測[D]. 呂成成.中國科學(xué)技術(shù)大學(xué) 2019
[2]RESTful Web服務(wù)在云平臺下的設(shè)計與實現(xiàn)[D]. 熊耀.電子科技大學(xué) 2018



本文編號：2942427