10款移動(dòng)app安全測(cè)試工具推薦

　　移動(dòng)互聯(lián)網(wǎng)時(shí)代，我們的生活和工作深受 App 影響。伴隨移動(dòng) App 的廣泛應(yīng)用，App 安全日益重要。本文介紹了 App 開(kāi)發(fā)可能用到的安全測(cè)試工具。

　　當(dāng)今，全球移動(dòng)用戶(hù)大約超過(guò)37億。Google Play 上大約有 220 萬(wàn)個(gè) App，蘋(píng)果App Store 上大約有 20 億或更多的 App。同時(shí)，根據(jù) Flurry 統(tǒng)計(jì)數(shù)據(jù)表明，現(xiàn)在，每個(gè)人每天會(huì)在移動(dòng)設(shè)備上花費(fèi)近 5 個(gè)小時(shí)的時(shí)間。

　　移動(dòng) App 的廣泛應(yīng)用，必然伴隨著新的應(yīng)用安全威脅。這些攻擊與以前經(jīng)典的 web app 無(wú)關(guān)。據(jù) NowSecure 的最新研究表明，有 25% 的 App 包含高風(fēng)險(xiǎn)漏洞，常見(jiàn)的安全漏洞如下：

　　· 跨站腳本攻擊(XSS)

　　· 用戶(hù)敏感數(shù)據(jù)(IMEI、GPS、MAC 地址、電子郵件等)泄露

　　· SQL 注入

　　· 網(wǎng)絡(luò)釣魚(yú)攻擊

　　· 數(shù)據(jù)加密缺失

　　· OS 命令注入

　　· 惡意軟件

　　· 任意代碼執(zhí)行

　　隨著移動(dòng) App 的增長(zhǎng)，交付高安全性的 App 對(duì)用戶(hù)來(lái)說(shuō)非常重要。

　　有很多原因可以解釋為什么 App 安全測(cè)試意義非凡。比如病毒或惡意軟件感染、欺詐攻擊、安全漏洞等。移動(dòng) App 安全測(cè)試包括數(shù)據(jù)安全性、授權(quán)、身份驗(yàn)證、重大漏洞等。

　　因此，從業(yè)務(wù)角度看，執(zhí)行安全測(cè)試至關(guān)重要。對(duì) App 開(kāi)發(fā)者或開(kāi)發(fā)團(tuán)隊(duì)而言，需要最好的移動(dòng) App 安全測(cè)試工具來(lái)確保 app 安全。

　　1. Quick Android Review Kit (QARK)

　　QARK 由領(lǐng)英開(kāi)發(fā)，它是一款靜態(tài)代碼分析工具，可提供有關(guān) Android App 安全威脅的信息，并給出簡(jiǎn)潔明了的問(wèn)題描述。

　　它對(duì)在 Android 平臺(tái)上發(fā)現(xiàn) App 源代碼和 APK 文件中的安全漏洞很有幫助。

　　特點(diǎn)：

　　它是一款開(kāi)源工具，可以提供有關(guān)安全漏洞的完整信息;

　　它能生成有關(guān)潛在漏洞的報(bào)告，并提供一些如何解決這些漏洞的信息。同時(shí)，它還可以突出顯示與 Android 版本有關(guān)的安全問(wèn)題;

　　它能掃描移動(dòng) App 中的所有元素，查找安全威脅。同時(shí)，它以 APK 形式創(chuàng)建一個(gè)自定義應(yīng)用程序來(lái)進(jìn)行測(cè)試，并確定潛在問(wèn)題。

　　2. Zed Attack Proxy

　　Zed Attack Proxy(ZAP) 是全球最受歡迎的免費(fèi)安全測(cè)試工具之一。它是一款開(kāi)源安全測(cè)試工具，在全球范圍內(nèi)由數(shù)百名活躍的志愿者管理。

　　特點(diǎn)：

　　·提供 20 種不同語(yǔ)言的版本;

　　··支持多種腳本語(yǔ)言類(lèi)型;

　　·易于安裝;

　　在軟件開(kāi)發(fā)和測(cè)試階段，它就能自動(dòng)識(shí)別 App 中的安全漏洞

　　3.Drozer (MWR InfoSecurity)

　　Drozer 是由 MWR InfoSecurity 開(kāi)發(fā)的 App 安全測(cè)試框架。它可以幫助開(kāi)發(fā)者確定 Android 設(shè)備中的安全漏洞。

　　特點(diǎn)：

　　·它是一款開(kāi)源工具，可同時(shí)支持真實(shí)的 Android 設(shè)備和模擬器;

　　·通過(guò)自動(dòng)化和開(kāi)展復(fù)雜活動(dòng)，它只需很少時(shí)間即可評(píng)估與 Android 安全相關(guān)的復(fù)雜性;

　　·它支持 Android 平臺(tái)，并在 Android 設(shè)備自身上執(zhí)行啟用 Java 的代碼

　　4. MobSF(Mobile Security Framework)

　　MobSF 是一款自動(dòng)化移動(dòng) App 安全測(cè)試工具，適用于 iOS 和 Android，可熟練執(zhí)行動(dòng)態(tài)、靜態(tài)分析和 Web API 測(cè)試。

　　移動(dòng)安全框架可用于對(duì) Android 和 iOS 應(yīng)用進(jìn)行快速安全分析。MobSF 支持 binaries(IPA 和 APK)以及 zipped 的源代碼。

　　特點(diǎn)：

　　·它是一款開(kāi)源的移動(dòng) App 安全測(cè)試工具;

　　·它可以托管在本地環(huán)境，因此重要數(shù)據(jù)不會(huì)與云交互;

　　·它能對(duì)三個(gè)平臺(tái)(Android、iOS、Windows)的移動(dòng) App 進(jìn)行更快的安全性分析。同時(shí)，開(kāi)發(fā)人員可以在開(kāi)發(fā)階段識(shí)別出安全漏洞。

　　5.ADB (Android Debug Bridge)

　　Android Debug Bridge 簡(jiǎn)稱(chēng)ADB，它是用于專(zhuān)門(mén)與運(yùn)行 Android 設(shè)備進(jìn)行通信的命令行移動(dòng)應(yīng)用程序測(cè)試工具。

　　它提供了一個(gè)終端接口，用于控制使用 USB 連接到計(jì)算機(jī)的 Android 設(shè)備。ADB 可用于安裝 / 卸載應(yīng)用程序、運(yùn)行 Shell 命令、重啟、傳輸文件等。并且，可以使用此類(lèi)命令輕松還原 Android 設(shè)備。

　　特點(diǎn)：

　　·ADB 可輕松與谷歌的 Android Studio 集成開(kāi)發(fā)環(huán)境進(jìn)行集成;

　　·實(shí)時(shí)監(jiān)控系統(tǒng)事件。它允許使用 Shell 命令在系統(tǒng)級(jí)別進(jìn)行操作;

　　·它使用藍(lán)牙、WiFi、USB 等與設(shè)備通信

　　6. Micro Focus (Fortify)

　　Micro Focus 主要為用戶(hù)提供安全和風(fēng)險(xiǎn)管理、混合 IT、DevOps 等領(lǐng)域的企業(yè)服務(wù)和解決方案。它提供各種跨平臺(tái)、設(shè)備、服務(wù)器、網(wǎng)絡(luò)等綜合應(yīng)用程序的安全測(cè)試服務(wù)。

　　Fortify 是 Micro Focus 最智能的安全測(cè)試工具之一，可在安裝到移動(dòng)設(shè)備前保護(hù)移動(dòng) App 的安全。

　　特點(diǎn)：

　　·它使用靈活的交付模型執(zhí)行端到端測(cè)試;

　　·安全測(cè)試包括靜態(tài)代碼分析和針對(duì)移動(dòng) App 的掃描，并給出準(zhǔn)確結(jié)果;

　　·它有助于識(shí)別跨網(wǎng)絡(luò)、服務(wù)器和客戶(hù)端的安全漏洞;

　　·它支持各種平臺(tái)，例如Windows、iOS、Android 和 Blackberry。

　　7. CodifiedSecurity

　　它是一款著名的自動(dòng)化移動(dòng) App 安全測(cè)試工具。

　　CodifiedSecurity 可以發(fā)現(xiàn)并修復(fù)安全漏洞，并確保足夠安全地使用移動(dòng)應(yīng)用程序。它提供實(shí)時(shí)反饋。

　　特點(diǎn)：

　　·它同時(shí)支持 Android 和 iOS 平臺(tái);

　　·它遵循用于安全測(cè)試的程序化方法，該方法可確保測(cè)試結(jié)果可靠;

　　·靜態(tài)代碼分析和機(jī)器學(xué)習(xí)為它提供支持。它還支持靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試;

　　·它可以在不獲取源代碼的情況下測(cè)試移動(dòng) App

　　8. WhiteHat Security

　　WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評(píng)估和測(cè)試平臺(tái)。

　　它被 Gartner 認(rèn)可為安全測(cè)試的領(lǐng)導(dǎo)者，并贏得多個(gè)獎(jiǎng)項(xiàng)。它能提供諸如移動(dòng) app 安全測(cè)試、web app 安全測(cè)試和基于計(jì)算機(jī)的培訓(xùn)解決方案等服務(wù)。

　　特點(diǎn)：

　　·它是基于云的安全平臺(tái)，并使用其靜態(tài)和動(dòng)態(tài)技術(shù)提供快速的解決方案;

　　·WhiteHat Sentinel 支持 iOS 和 android 平臺(tái)，可提供有關(guān)項(xiàng)目狀況的完整信息;

　　·與任何其他工具或平臺(tái)相比，它能輕松地檢測(cè)漏洞;

　　·通過(guò)在真實(shí)設(shè)備上安裝移動(dòng) App 進(jìn)行測(cè)試，無(wú)需模擬器

　　9. Kiuwan

　　它提供領(lǐng)先的技術(shù)覆蓋范圍，可對(duì)移動(dòng) App 進(jìn)行360°的安全性測(cè)試。它包括靜態(tài)代碼分析和軟件組成分析，以及軟件開(kāi)發(fā)生命周期的自動(dòng)化

　　10. Veracode

　　Veracode 向全球客戶(hù)提供移動(dòng)應(yīng)用程序安全性服務(wù)。

　　它使用基于云的自動(dòng)化服務(wù)，為移動(dòng)應(yīng)用程序和 Web 安全提供了解決方案。Veracode 的 MAST(移動(dòng)應(yīng)用程序安全測(cè)試)服務(wù)可以確定移動(dòng) App 中的安全問(wèn)題，并立即采取行動(dòng)解決問(wèn)題。


猜你喜歡：

       6款自動(dòng)化應(yīng)用安全測(cè)試工具推薦 

       自動(dòng)化測(cè)試工具有哪些?10款好用的用具推薦給你