APP的安全漏洞怎么检测,有什么工具可以进行检测?

2024-11-16 04:21:23
推荐回答(2个)
回答1:

目前我经常用的漏洞检测工具主要就是爱内测,因为爱内测会根据应用特性,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,并给出针对性建议;数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞,确保APP里那些可能导致帐号泄露的漏洞被全部检测出。

回答2:

七个有代表性的免费APP应用安全测试工具:
1、OWASP Zed Attack Proxy (ZAP)
OWASP ZAP 是目前最流行的免费APP移动安全测试工具,由全球数百个志愿者维护。该工具可以在APP的开发和测试阶段自动查找安全漏洞。OWASP ZAP同时还是高水平渗透测试专家非常喜爱的手动安全测试工具。
2、QARK (Quick Android Review Kit)
QARK 是一种Android程序源代码安全漏洞分析工具。该工具有自己的开发社区,任何人都可以免费使用。QARK还会尝试提供提供动态生成的Android Debug Bridge(ADB)命令来帮助核实潜在漏洞。
3、Devknox
对于使用Android Studio开发Android应用程序的开发者来说,Devknox是此类移动安全检测工具中的佼佼者,Devknox不但能检测基本的移动安全问题,还能向开发者提供问题修复的实时建议。
4、Drozer
Drozer 是一个相当全面的Android安全与攻击框架,这个移动app安全测试工具能够通过进程间通讯机制(IPC)与其他Android应用和操作系统互动,这种互动机制使其有别于其他自动化扫描工具。
5、MobSF (Mobile Security Framework)
Mobile Security Framework 是一个自动化的移动app安全测试工具,支持Android和iOS双平台,能够进行静态、动态分析以及web API测试。MobSF经常被用来对Android或iOS app进行快速安全分析,支持二进制(APK&IPA)形式以及源代码的zip压缩包。
6、Mitmproxy
Mitmproxy 是一个免费的开源工具,可以用于拦截、检测、修改或延迟app与后端服务之间的通讯数据,该工具的名字也可以看出这是一种类似中间人攻击的测试模式。当然,这也意味着该工具确实可以被黑客利用。
7、iMAS
iMAS 也是一个开源移动app安全测试工具,可以帮开发者在开发阶段遵守安全开发规则,例如应用数据加密、密码提示、预防应用程序篡改、在iOS设备中部署企业安全策略等。无论是检查设备越狱,保护驻内存敏感信息还是防范二进制补丁,iMAS能为你的iOS程序在充满敌意的环境中提供安全保障。