声明
摘要
1.1 课题研究背景及意义
1.2 国内外研究观状
1.2.1 Android应用程序的静态和动态分析
1.2.2 对SSL安全性的研究
1.2.3 混合应用中Web-to-Native安全性研究
1.3 本文主要工作
1.4 本文组织结构
1.5 本章小结
2 相关背景知识介绍
2.1 Activity
2.2 WebView
2.3 Intent
2.4 Web-to-Native调用机制
2.4.1 addJavascriptInterface方法
2.4.2 URL拦截方式
2.3.3 JavaScript的alert、confirm、prompt、console.log等函数
2.5 本章小结
3.1 研究问题
3.2 主要挑战
3.2.1 如何定位WebView
3.2.2 如何在Android原生UI和WebView UI中模拟人的操作
3.2.3 如何降低在动态分析中由于app崩溃引起的漏报和误报
3.2.4 如何确定JavaScript可以调用Java方法是否可以进行敏感操作
3.3 本章小结
4 Android混合应用Web-to-Native安全检测模型
4.1 模型整体检测流程
4.2 静态分析部分
4.2.1 预处理
4.2.2 High-Risk方法识别
4.2.3 JS的调用点定位
4.2.4 Activity调用图构建
4.2.5 Activity调用路径的选择和Intent的构造
4.3 动态分析过程
4.3.1 多模拟器环境
4.3.2 测试APK打包
4.3.3 UI驱动过程
4.3.4 链接分析过程
4.3.5 日志模块
4.4 本章小结
5 实验结果分析
5.1 实验环境
5.2 实验数据集
5.3 实验结果分析
5.3.1 SSL错误处理问题
5.3.2 High-Risk方法的不安全调用
5.4 本章小结
6 总结与展望
参考文献
致谢
攻读学位期间发表的学术论文和参加科研情况