[发明专利]Android应用会话标识符管理不当缺陷分析和检测方法

权利要求书

1.一种Android应用会话标识符管理缺陷的分析和检测方法，其特征在于，以Android应用的APK文件作为输入，以检测出的会话标识符管理缺陷类别以及详细信息作为输出结果，具体步骤如下：

步骤1，基于Soot工具将APK文件反编译得到其中间代码jimple形式，而后基于jimple文件分析该Android应用是否采用了网络通信；若使用了网络通信，则进入步骤2；否则结束分析；

步骤2，对待测Android应用进行网络通信请求头的匹配，得到该Android应用的添加HTTP/HTTPS请求头Authorization字段的使用语句集合以及对应的会话标识符；

步骤3，利用反模式分析检测器对步骤2得到的会话标识符使用语句集合检测在生成、保存、使用和失效这些会话标识符管理流程中是否存在反模式对应的缺陷实例；若存在，得到对应缺陷信息。

2.根据权利要求1所述的Android应用会话标识符管理缺陷的分析和检测方法，其特征在于，步骤1中所述的基于Soot工具将APK文件反编译得到其中间代码jimple形式，而后基于jimple文件分析该Android应用是否使用了网络通信，具体步骤如下：

步骤1-1，使用Soot工具来解析APK文件，将其中的.dex文件反编译得到应用的jimple中间形式代码；

步骤1-2，遍历所有jimple文件，搜索是否存在网络通信相关API，则该Android应用采用了网络通信，继续进行步骤2；否则结束分析。

3.根据权利要求1所述的Android应用会话标识符管理缺陷的分析和检测方法，其特征在于，步骤2所述的基于jimple文件分析该Android应用是否使用了会话管理来实现HTTP/HTTPS通信的身份验证功能，并定位会话标识符变量的相关信息，具体步骤如下：

步骤2-1，收集原生和第三方网络库中添加HTTP头字段域值的方法签名，保存至头字段设置API对应方法签名集合中；

步骤2-2，遍历所有的jimple文件，搜索步骤1得到的头字段设置API方法签名集合所对应的全部调用语句；对于每一处调用筛选是否对应的是添加认证字段，如果是，则其中对应位置的参数即会话标识符变量，将其对应的所在方法、所在语句以及变量作为信息三元组，保存至会话标识符信息集合中；如果不存在，则结束分析。

4.根据权利要求3所述的Android应用会话标识符管理缺陷的分析和检测方法，其特征在于，步骤2-1，第三方网络库包括Apache Auth、Async HttpClient、OkHttp、Retrofit和Volley。