安卓應(yīng)用外部數(shù)據(jù)輸入Fuzzing技術(shù)研究.pdf

1、在移動(dòng)互聯(lián)網(wǎng)飛速發(fā)展的過程中，安卓操作系統(tǒng)以簡(jiǎn)單易用、系統(tǒng)開源、方便深度定制等優(yōu)勢(shì)，迅速地在移動(dòng)智能終端操作系統(tǒng)的競(jìng)爭(zhēng)中占據(jù)了絕大部分市場(chǎng)份額，安卓應(yīng)用的數(shù)目也快速突破了70萬款之多。然而，由于安卓系統(tǒng)是一個(gè)新興的操作系統(tǒng)，開發(fā)人員對(duì)其系統(tǒng)機(jī)制的熟悉程度還有待加深，并且應(yīng)用市場(chǎng)的繁榮吸引來的開發(fā)人員能力也是層次不齊，這些原因都導(dǎo)致了安卓應(yīng)用的健壯性普遍不高，用戶頻繁地遭遇應(yīng)用無響應(yīng)甚至是崩潰的情形。因?yàn)榘沧繎?yīng)用常常會(huì)對(duì)用戶的重要數(shù)據(jù)進(jìn)行

2、操作，其健壯性較低的問題對(duì)用戶數(shù)據(jù)甚至是經(jīng)濟(jì)上的安全性造成了嚴(yán)重的威脅。因此，研究安卓應(yīng)用的自動(dòng)化測(cè)試方法以提高安卓應(yīng)用的健壯性成為一個(gè)重要的課題。
　　目前，對(duì)安卓應(yīng)用進(jìn)行自動(dòng)化測(cè)試的研究大部分都集中在針對(duì)應(yīng)用界面操作功能的測(cè)試上，即對(duì)用戶的動(dòng)作輸入進(jìn)行測(cè)試，而忽略了對(duì)用戶另一塊輸入——外部數(shù)據(jù)輸入的測(cè)試。外部數(shù)據(jù)輸入，指的是安卓應(yīng)用聲明的、能夠在應(yīng)用中處理的外部數(shù)據(jù)。安卓系統(tǒng)提供了一套機(jī)制以方便應(yīng)用接收外部數(shù)據(jù)輸入。眾所周知，

3、外部數(shù)據(jù)輸入作為不可控的外界輸入，經(jīng)常會(huì)觸發(fā)應(yīng)用軟件中的缺陷。因此本文提出了一種針對(duì)安卓應(yīng)用外部數(shù)據(jù)進(jìn)行模糊變異的方法，對(duì)安卓應(yīng)用進(jìn)行自動(dòng)化測(cè)試。
　　該方法首先分析應(yīng)用的配置文件，獲取應(yīng)用能夠處理的外部數(shù)據(jù)輸入的相關(guān)信息;然后對(duì)數(shù)據(jù)進(jìn)行解構(gòu)并采用有針對(duì)性的變異方法對(duì)數(shù)據(jù)進(jìn)行模糊變異，以生成測(cè)試用例;最后將該測(cè)試用例發(fā)送到應(yīng)用，并動(dòng)態(tài)監(jiān)測(cè)應(yīng)用的運(yùn)行過程，記錄應(yīng)用程序發(fā)生錯(cuò)誤的狀態(tài)，得到測(cè)試結(jié)果。最終的測(cè)試結(jié)果可以供手工分析以確定應(yīng)

4、用程序缺陷的原因，或者以此為基礎(chǔ)進(jìn)一步挖掘應(yīng)用程序漏洞。
　　基于該方法，本文實(shí)現(xiàn)了一個(gè)安卓應(yīng)用外部數(shù)據(jù)輸入的模糊測(cè)試系統(tǒng)。該測(cè)試系統(tǒng)無需獲得待測(cè)應(yīng)用的源代碼，并且測(cè)試過程無需人工干預(yù)，因此能夠?yàn)榈谌饺藛T提供有效的測(cè)試支持。同時(shí)因?yàn)樵摐y(cè)試系統(tǒng)重點(diǎn)針對(duì)通常常被忽略的應(yīng)用程序的數(shù)據(jù)輸入進(jìn)行測(cè)試，因此其發(fā)掘出的軟件缺陷是其他自動(dòng)化測(cè)試工具通常無法發(fā)現(xiàn)的。通過對(duì)市場(chǎng)上常見應(yīng)用進(jìn)行實(shí)驗(yàn)的結(jié)果表明，該測(cè)試系統(tǒng)能夠有效的檢測(cè)出應(yīng)用程序中的軟件