一种针对地下管线移动地理信息安全的渗透测试方法
【技术领域】
[0001]本发明涉及地下管线移动地理信息安全性测试技术领域。更具体地,涉及一种针对地下管线移动地理信息安全的渗透测试方法。
【背景技术】
[0002]随着城市化进程的加速,各种城市管网重叠交错、杂乱无章地争抢着城市有限的地下空间。近年来,地下管线事故频发,由此造成的爆炸、火灾、有毒气体排放等问题,已经严重危害人民群众的生命安全。采用传统地理信息系统(GIS)技术已经不能满足日常管线运行和维护管理。
[0003]现有技术中,移动GIS以移动互联网为支撑,以智能手机或平板电脑为终端,结合北斗、GPS或基站为定位手段,是继桌面GIS、WEBGIS之后又一新的技术热点,移动定位、移动办公等越来越成为企业或个人的迫切需求,然而在地下管线移动应用得到广泛普及的同时,地下管线数据的安全性问题也日益突出。针对移动GIS应用系统的安全性测试方法的研究也迫在眉睫。
[0004]现有技术中,主流的地下管线移动GIS系统是以空间数据库为数据支持,以地理应用服务器为核心应用,以无线网络为通讯桥梁,以移动终端为采集工具和应用工具的综合系统。地下管线移动GIS终端设备包括掌上电脑(PDA)、便携式计算机、WAP(无线通用协议)手机、GPS定位仪器等。软件主要是嵌入式的GIS应用软件。用户通过该终端向远程的地理信息服务器发送服务请求,然后接受服务器传送的计算结果并显示出来。地下管线移动GIS的应用是基于移动终端设备的。便携、低耗、计算能力强的移动终端正日益成为移动GIS用户的首选。地下管线移动GIS中的地理应用服务器是整个系统的关键部分,也是系统的GIS引擎,用于为地下管线移动GIS用户提供大范围的地理服务以及潜在的空间分析和查询操作服务。
[0005]通常情况下,地下管线移动GIS终端应用是以webapi(网络应用程序接口)的方式,调用地理服务器服务资源,进行相关的检索和查询操作。这种模式把地下管线数据安全跟web安全绑在一起。地下管线移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在服务器端同样存在,例如SQL(结构化查询语言)注入、文件上传、中间件/server漏洞等,但是由于地下管线移动app不是直接嵌入网页在app中,而是使用api接口返回json(JavaScript Object Notat1n)数据,导致扫描器爬虫无法爬取链接,无法对于地下管线GIS移动端应用进行渗透测试。
[0006]因此,非常需要一种基于渗透测试理论的通用性强、覆盖率广、灵活度高的地下管线移动地理信息安全性的测试方法。
【发明内容】
[0007]本发明的目的在于提供一种针对地下管线移动地理信息安全的渗透测试方法。
[0008]为达到上述目的,本发明采用下述技术方案:
[0009]—种针对地下管线移动地理信息安全的渗透测试方法,该渗透测试方法包括如下步骤:
[0010]将APK文件后缀名改为zip,解压该压缩文件,得到其中的class,dex文件;
[0011 ] 将class.dex文件复制到dex2 jar.bat文件所在目录,在命令行下执行dex2 jarclass.dex命令,在当前目录下生成class_dex2jar.jar文件;
[00?2] 打开jd-gui代码查看工具,导入所述class_dex2 jar.jar文件,查看逆向后的应用源码;
[0013]设置测试机的地址,利用测试机收集服务器端接口列表;
[0014]采用burp suit工具通过服务器端接口列表实现对服务器的漏洞扫描,并且向测试机输出漏洞分析报表,同时利用sqlmap工具对服务器端进行sql注入测试,以探测sql注入漏洞。
[0015]优选地,所述步骤“打开jd-gui代码查看工具,导入上述步骤S2生成的class_dex2 jar.jar文件,查看逆向后的应用源码”中,对于未混淆的移动程序,查看应用程序源码;对于混淆的移动程序,使用apkTool工具解析布局文件,以解决布局文件的乱码情况。
[0016]优选地,所述步骤“打开jd-gui代码查看工具,导入上述步骤S2生成的class_deX2jar.jar文件,查看逆向后的应用源码”中,在逆向后的程序源文件中检索出服务器WebAPI接口列表。
[0017]优选地,所述burp suit工具是用于攻击web应用程序的集成平台。
[0018]优选地,所述sqlmap工具是一款用来检测与利用sql注入漏洞的免费开源工具。
[0019]本发明的有益效果如下:
[0020](I)与现有技术相比,所述透测试方法能够针对搭载地下管线路由数据的移动GIS应用,发现地下管线地图服务器上应用服务程序的漏洞,从而防止地下管线的数据泄露,保证系统安全;
[0021](2)与现有技术相比,所述渗透测试方法为针对某城市地下管线巡检应用APP进行渗透测试,在移动应用上可实现地下管线路由信息的查看、综合信息的检索以及部分图层要素的编辑功能。
【附图说明】
[0022]下面结合附图对本发明的【具体实施方式】作进一步详细的说明。
[0023]图1为本发明实施例提供的针对地下管线移动地理信息安全的渗透测试方法采用的测试系统的示意图;
[0024]图2为本发明实施例提供的针对地下管线移动地理信息安全的渗透测试方法的流程图;
[0025]图3为APK文件的解压文件目录图;
[0026I图4为jd-gui代码查看工具的示意图;
[0027]图5为测试机的设置图;
[0028]图6为burp suit渗透测试图。
【具体实施方式】
[0029]为了更清楚地说明本发明,下面结合优选实施例和附图对本发明做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解,下面所具体描述的内容是说明性的而非限制性的,不应以此限制本发明的保护范围。
[0030]如图1所示,本实施例提供的针对地下管线移动地理信息安全的渗透测试方法采用的测试系统包括服务器1、移动终端2和测试机3。