教育行業(yè)A股IPO第一股(股票代碼 003032)

全國(guó)咨詢(xún)/投訴熱線(xiàn):400-618-4000

10款移動(dòng)app安全測(cè)試工具推薦

更新時(shí)間:2020年07月31日17時(shí)18分 來(lái)源:傳智播客 瀏覽次數(shù):

  移動(dòng)互聯(lián)網(wǎng)時(shí)代,我們的生活和工作深受 App 影響。伴隨移動(dòng) App 的廣泛應(yīng)用,App 安全日益重要。本文介紹了 App 開(kāi)發(fā)可能用到的安全測(cè)試工具。

  當(dāng)今,全球移動(dòng)用戶(hù)大約超過(guò)37億。Google Play 上大約有 220 萬(wàn)個(gè) App,蘋(píng)果App Store 上大約有 20 億或更多的 App。同時(shí),根據(jù) Flurry 統(tǒng)計(jì)數(shù)據(jù)表明,現(xiàn)在,每個(gè)人每天會(huì)在移動(dòng)設(shè)備上花費(fèi)近 5 個(gè)小時(shí)的時(shí)間。

  移動(dòng) App 的廣泛應(yīng)用,必然伴隨著新的應(yīng)用安全威脅。這些攻擊與以前經(jīng)典的 web app 無(wú)關(guān)。據(jù) NowSecure 的最新研究表明,有 25% 的 App 包含高風(fēng)險(xiǎn)漏洞,常見(jiàn)的安全漏洞如下:

  · 跨站腳本攻擊(XSS)

  · 用戶(hù)敏感數(shù)據(jù)(IMEI、GPS、MAC 地址、電子郵件等)泄露

  · SQL 注入

  · 網(wǎng)絡(luò)釣魚(yú)攻擊

  · 數(shù)據(jù)加密缺失

  · OS 命令注入

  · 惡意軟件

  · 任意代碼執(zhí)行

  隨著移動(dòng) App 的增長(zhǎng),交付高安全性的 App 對(duì)用戶(hù)來(lái)說(shuō)非常重要。

  有很多原因可以解釋為什么 App 安全測(cè)試意義非凡。比如病毒或惡意軟件感染、欺詐攻擊、安全漏洞等。移動(dòng) App 安全測(cè)試包括數(shù)據(jù)安全性、授權(quán)、身份驗(yàn)證、重大漏洞等。

  因此,從業(yè)務(wù)角度看,執(zhí)行安全測(cè)試至關(guān)重要。對(duì) App 開(kāi)發(fā)者或開(kāi)發(fā)團(tuán)隊(duì)而言,需要最好的移動(dòng) App 安全測(cè)試工具來(lái)確保 app 安全。

  1. Quick Android Review Kit (QARK)

  QARK 由領(lǐng)英開(kāi)發(fā),它是一款靜態(tài)代碼分析工具,可提供有關(guān) Android App 安全威脅的信息,并給出簡(jiǎn)潔明了的問(wèn)題描述。

  它對(duì)在 Android 平臺(tái)上發(fā)現(xiàn) App 源代碼和 APK 文件中的安全漏洞很有幫助。

  特點(diǎn):

  它是一款開(kāi)源工具,可以提供有關(guān)安全漏洞的完整信息;

  它能生成有關(guān)潛在漏洞的報(bào)告,并提供一些如何解決這些漏洞的信息。同時(shí),它還可以突出顯示與 Android 版本有關(guān)的安全問(wèn)題;

  它能掃描移動(dòng) App 中的所有元素,查找安全威脅。同時(shí),它以 APK 形式創(chuàng)建一個(gè)自定義應(yīng)用程序來(lái)進(jìn)行測(cè)試,并確定潛在問(wèn)題。

  2. Zed Attack Proxy

  Zed Attack Proxy(ZAP) 是全球最受歡迎的免費(fèi)安全測(cè)試工具之一。它是一款開(kāi)源安全測(cè)試工具,在全球范圍內(nèi)由數(shù)百名活躍的志愿者管理。

  特點(diǎn):

  ·提供 20 種不同語(yǔ)言的版本;

  ··支持多種腳本語(yǔ)言類(lèi)型;

  ·易于安裝;

  在軟件開(kāi)發(fā)和測(cè)試階段,它就能自動(dòng)識(shí)別 App 中的安全漏洞

  3.Drozer (MWR InfoSecurity)

  Drozer 是由 MWR InfoSecurity 開(kāi)發(fā)的 App 安全測(cè)試框架。它可以幫助開(kāi)發(fā)者確定 Android 設(shè)備中的安全漏洞。

  特點(diǎn):

  ·它是一款開(kāi)源工具,可同時(shí)支持真實(shí)的 Android 設(shè)備和模擬器;

  ·通過(guò)自動(dòng)化和開(kāi)展復(fù)雜活動(dòng),它只需很少時(shí)間即可評(píng)估與 Android 安全相關(guān)的復(fù)雜性;

  ·它支持 Android 平臺(tái),并在 Android 設(shè)備自身上執(zhí)行啟用 Java 的代碼

  4. MobSF(Mobile Security Framework)

  MobSF 是一款自動(dòng)化移動(dòng) App 安全測(cè)試工具,適用于 iOS 和 Android,可熟練執(zhí)行動(dòng)態(tài)、靜態(tài)分析和 Web API 測(cè)試。

  移動(dòng)安全框架可用于對(duì) Android 和 iOS 應(yīng)用進(jìn)行快速安全分析。MobSF 支持 binaries(IPA 和 APK)以及 zipped 的源代碼。

  特點(diǎn):

  ·它是一款開(kāi)源的移動(dòng) App 安全測(cè)試工具;

  ·它可以托管在本地環(huán)境,因此重要數(shù)據(jù)不會(huì)與云交互;

  ·它能對(duì)三個(gè)平臺(tái)(Android、iOS、Windows)的移動(dòng) App 進(jìn)行更快的安全性分析。同時(shí),開(kāi)發(fā)人員可以在開(kāi)發(fā)階段識(shí)別出安全漏洞。

  5.ADB (Android Debug Bridge)

  Android Debug Bridge 簡(jiǎn)稱(chēng)ADB,它是用于專(zhuān)門(mén)與運(yùn)行 Android 設(shè)備進(jìn)行通信的命令行移動(dòng)應(yīng)用程序測(cè)試工具。

  它提供了一個(gè)終端接口,用于控制使用 USB 連接到計(jì)算機(jī)的 Android 設(shè)備。ADB 可用于安裝 / 卸載應(yīng)用程序、運(yùn)行 Shell 命令、重啟、傳輸文件等。并且,可以使用此類(lèi)命令輕松還原 Android 設(shè)備。

  特點(diǎn):

  ·ADB 可輕松與谷歌的 Android Studio 集成開(kāi)發(fā)環(huán)境進(jìn)行集成;

  ·實(shí)時(shí)監(jiān)控系統(tǒng)事件。它允許使用 Shell 命令在系統(tǒng)級(jí)別進(jìn)行操作;

  ·它使用藍(lán)牙、WiFi、USB 等與設(shè)備通信

  6. Micro Focus (Fortify)

  Micro Focus 主要為用戶(hù)提供安全和風(fēng)險(xiǎn)管理、混合 IT、DevOps 等領(lǐng)域的企業(yè)服務(wù)和解決方案。它提供各種跨平臺(tái)、設(shè)備、服務(wù)器、網(wǎng)絡(luò)等綜合應(yīng)用程序的安全測(cè)試服務(wù)。

  Fortify 是 Micro Focus 最智能的安全測(cè)試工具之一,可在安裝到移動(dòng)設(shè)備前保護(hù)移動(dòng) App 的安全。

  特點(diǎn):

  ·它使用靈活的交付模型執(zhí)行端到端測(cè)試;

  ·安全測(cè)試包括靜態(tài)代碼分析和針對(duì)移動(dòng) App 的掃描,并給出準(zhǔn)確結(jié)果;

  ·它有助于識(shí)別跨網(wǎng)絡(luò)、服務(wù)器和客戶(hù)端的安全漏洞;

  ·它支持各種平臺(tái),例如Windows、iOS、Android 和 Blackberry。

  7. CodifiedSecurity

  它是一款著名的自動(dòng)化移動(dòng) App 安全測(cè)試工具。

  CodifiedSecurity 可以發(fā)現(xiàn)并修復(fù)安全漏洞,并確保足夠安全地使用移動(dòng)應(yīng)用程序。它提供實(shí)時(shí)反饋。

  特點(diǎn):

  ·它同時(shí)支持 Android 和 iOS 平臺(tái);

  ·它遵循用于安全測(cè)試的程序化方法,該方法可確保測(cè)試結(jié)果可靠;

  ·靜態(tài)代碼分析和機(jī)器學(xué)習(xí)為它提供支持。它還支持靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試;

  ·它可以在不獲取源代碼的情況下測(cè)試移動(dòng) App

  8. WhiteHat Security

  WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評(píng)估和測(cè)試平臺(tái)。

  它被 Gartner 認(rèn)可為安全測(cè)試的領(lǐng)導(dǎo)者,并贏得多個(gè)獎(jiǎng)項(xiàng)。它能提供諸如移動(dòng) app 安全測(cè)試、web app 安全測(cè)試和基于計(jì)算機(jī)的培訓(xùn)解決方案等服務(wù)。

  特點(diǎn):

  ·它是基于云的安全平臺(tái),并使用其靜態(tài)和動(dòng)態(tài)技術(shù)提供快速的解決方案;

  ·WhiteHat Sentinel 支持 iOS 和 android 平臺(tái),可提供有關(guān)項(xiàng)目狀況的完整信息;

  ·與任何其他工具或平臺(tái)相比,它能輕松地檢測(cè)漏洞;

  ·通過(guò)在真實(shí)設(shè)備上安裝移動(dòng) App 進(jìn)行測(cè)試,無(wú)需模擬器

  9. Kiuwan

  它提供領(lǐng)先的技術(shù)覆蓋范圍,可對(duì)移動(dòng) App 進(jìn)行360°的安全性測(cè)試。它包括靜態(tài)代碼分析和軟件組成分析,以及軟件開(kāi)發(fā)生命周期的自動(dòng)化

  10. Veracode

  Veracode 向全球客戶(hù)提供移動(dòng)應(yīng)用程序安全性服務(wù)。

  它使用基于云的自動(dòng)化服務(wù),為移動(dòng)應(yīng)用程序和 Web 安全提供了解決方案。Veracode 的 MAST(移動(dòng)應(yīng)用程序安全測(cè)試)服務(wù)可以確定移動(dòng) App 中的安全問(wèn)題,并立即采取行動(dòng)解決問(wèn)題。


猜你喜歡:

       6款自動(dòng)化應(yīng)用安全測(cè)試工具推薦 

       自動(dòng)化測(cè)試工具有哪些?10款好用的用具推薦給你

0 分享到:
和我們?cè)诰€(xiàn)交談!