(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114238982A(43)申请公布日2022.03.25(21)申请号202111496574.9(22)申请日2021.12.08(71)申请人中国工商银行股份有限公司地址100140北京市西城区复兴门内大街55号(72)发明人刘宇驰金驰程佩哲(74)专利代理机构北京康信知识产权代理有限责任公司11240代理人黄海英(51)Int.Cl.G06F21/57(2013.01)G06F11/36(2006.01)G06F21/32(2013.01)权利要求书2页说明书15页附图4页(54)发明名称应用程序的安全测试方法及装置、存储介质和电子设备(57)摘要本申请公开了一种应用程序的安全测试方法及装置、存储介质和电子设备，涉及信息安全技术领域。该方法包括：接收目标对象的目标指令，并响应目标指令，其中，目标指令用于指示对应用程序的生物识别功能进行安全测试；获取所述目标对象选择的插桩方式，其中，插桩方式为以下之一：对生物识别的加密和解密函数进行插桩、对生物识别的认证函数进行插桩；依据选择的插桩方式，对应用程序的生物识别功能进行安全测试，确定应用程序的生物识别功能的安全性能。通过本申请，解决了相关技术中难以对APP中报文加密的生物识别功能进行安全测试，导致测试人员难以发现APP中存在安全漏洞的问题。CN114238982ACN114238982A权利要求书1/2页1.一种应用程序的安全测试方法，其特征在于，包括：接收目标对象的目标指令，并响应所述目标指令，其中，所述目标指令用于指示对应用程序的生物识别功能进行安全测试；获取所述目标对象选择的插桩方式，其中，所述插桩方式为以下之一：对生物识别的加密和解密函数进行插桩、对生物识别的认证函数进行插桩；依据选择的插桩方式，对所述应用程序的生物识别功能进行安全测试，确定所述应用程序的生物识别功能的安全性能。2.根据权利要求1所述的方法，其特征在于，依据选择的插桩方式，对所述应用程序的生物识别功能进行安全测试，确定所述应用程序的生物识别功能的安全性能包括：在选择的所述插桩方式为对生物识别的加密和解密函数进行插桩的情况下，基于对第一报文进行处理，得到第一目标报文；接收目标服务器响应所述第一目标报文而返回的第一响应信息，分析所述第一响应信息，得到分析结果；基于所述分析结果确定所述应用程序的生物识别功能的安全性能。3.根据权利要求2所述的方法，其特征在于，在选择的所述插桩方式为对生物识别的加密和解密函数进行插桩的情况下，基于对第一报文进行处理，得到第一目标报文包括：获取所述第一报文；对所述第一报文进行解密处理，得到解密后的第一报文；将测试载荷与所述解密后的第一报文结合，生成第二报文；对所述第二报文进行加密处理，得到所述第一目标报文。4.根据权利要求3所述的方法，其特征在于，对所述第一报文进行解密处理，得到解密后的第一报文包括：通过所述第一报文对所述应用程序进行逆向分析，得到所述第一报文对应的目标函数的第一目标信息，其中，所述第一目标信息为以下至少之一：所述目标函数的类别信息、所述目标函数的调用格式信息和所述目标函数的参数格式信息；根据所述第一目标信息向所述应用程序中插入目标程序，得到所述解密后的第一报文。5.根据权利要求2所述的方法，其特征在于，接收目标服务器响应所述第一目标报文而返回的第一响应信息，分析所述第一响应信息，得到分析结果包括：通过所述目标服务器对所述第一目标报文进行解析，得到第一目标图像；根据所述第一目标图像和所述目标服务器中预先存储的图像进行比较，得到比较结果；将所述比较结果作为所述第一响应信息，分析所述第一响应信息，得到所述分析结果。6.根据权利要求1所述的方法，其特征在于，依据选择的插桩方式，对所述应用程序的生物识别功能进行安全测试，确定所述应用程序的生物识别功能的安全性能包括：在选择的所述插桩方式为对生物识别的认证函数进行插桩的情况下，基于对所述认证函数的参数进行处理，得到第二目标报文；接收目标服务器响应所述第二目标报文而返回的第二响应信息，分析所述第二响应信息，得到分析结果；2CN114238982A权利要求书2/2页基于所述分析结果确定所述应用程序的生物识别功能的安全性能。7.根据权利要求6所述的方法，其特征在于，在选择的所述插桩方式为对生物识别的认证函数进行插桩的情况下，基于对所述认证函数的参数进行处理，得到第二目标报文包括：对所述认证函数进行分析，得到所述认证函数的第二目标信息，其中，所述第二目标信息为以下至少之一：所述认证函数的传参信息和所述认证函数的返回结果信息；依据所述第二目标信息，对所述认证函数的参数进行替换，得到进行替换后的参数；对所述替换后的参数进行处理，得到所述第二目标报文。8.根据