更新時(shí)間:2020年07月31日17時(shí)18分 來源:傳智播客 瀏覽次數(shù):
移動(dòng)互聯(lián)網(wǎng)時(shí)代,我們的生活和工作深受 App 影響。伴隨移動(dòng) App 的廣泛應(yīng)用,App 安全日益重要。本文介紹了 App 開發(fā)可能用到的安全測試工具。
當(dāng)今,全球移動(dòng)用戶大約超過37億。Google Play 上大約有 220 萬個(gè) App,蘋果App Store 上大約有 20 億或更多的 App。同時(shí),根據(jù) Flurry 統(tǒng)計(jì)數(shù)據(jù)表明,現(xiàn)在,每個(gè)人每天會(huì)在移動(dòng)設(shè)備上花費(fèi)近 5 個(gè)小時(shí)的時(shí)間。
移動(dòng) App 的廣泛應(yīng)用,必然伴隨著新的應(yīng)用安全威脅。這些攻擊與以前經(jīng)典的 web app 無關(guān)。據(jù) NowSecure 的最新研究表明,有 25% 的 App 包含高風(fēng)險(xiǎn)漏洞,常見的安全漏洞如下:
· 跨站腳本攻擊(XSS)
· 用戶敏感數(shù)據(jù)(IMEI、GPS、MAC 地址、電子郵件等)泄露
· SQL 注入
· 網(wǎng)絡(luò)釣魚攻擊
· 數(shù)據(jù)加密缺失
· OS 命令注入
· 惡意軟件
· 任意代碼執(zhí)行
隨著移動(dòng) App 的增長,交付高安全性的 App 對(duì)用戶來說非常重要。
有很多原因可以解釋為什么 App 安全測試意義非凡。比如病毒或惡意軟件感染、欺詐攻擊、安全漏洞等。移動(dòng) App 安全測試包括數(shù)據(jù)安全性、授權(quán)、身份驗(yàn)證、重大漏洞等。
因此,從業(yè)務(wù)角度看,執(zhí)行安全測試至關(guān)重要。對(duì) App 開發(fā)者或開發(fā)團(tuán)隊(duì)而言,需要最好的移動(dòng) App 安全測試工具來確保 app 安全。
1. Quick Android Review Kit (QARK)
QARK 由領(lǐng)英開發(fā),它是一款靜態(tài)代碼分析工具,可提供有關(guān) Android App 安全威脅的信息,并給出簡潔明了的問題描述。
它對(duì)在 Android 平臺(tái)上發(fā)現(xiàn) App 源代碼和 APK 文件中的安全漏洞很有幫助。
特點(diǎn):
它是一款開源工具,可以提供有關(guān)安全漏洞的完整信息;
它能生成有關(guān)潛在漏洞的報(bào)告,并提供一些如何解決這些漏洞的信息。同時(shí),它還可以突出顯示與 Android 版本有關(guān)的安全問題;
它能掃描移動(dòng) App 中的所有元素,查找安全威脅。同時(shí),它以 APK 形式創(chuàng)建一個(gè)自定義應(yīng)用程序來進(jìn)行測試,并確定潛在問題。
2. Zed Attack Proxy
Zed Attack Proxy(ZAP) 是全球最受歡迎的免費(fèi)安全測試工具之一。它是一款開源安全測試工具,在全球范圍內(nèi)由數(shù)百名活躍的志愿者管理。
特點(diǎn):
·提供 20 種不同語言的版本;
··支持多種腳本語言類型;
·易于安裝;
在軟件開發(fā)和測試階段,它就能自動(dòng)識(shí)別 App 中的安全漏洞
3.Drozer (MWR InfoSecurity)
Drozer 是由 MWR InfoSecurity 開發(fā)的 App 安全測試框架。它可以幫助開發(fā)者確定 Android 設(shè)備中的安全漏洞。
特點(diǎn):
·它是一款開源工具,可同時(shí)支持真實(shí)的 Android 設(shè)備和模擬器;
·通過自動(dòng)化和開展復(fù)雜活動(dòng),它只需很少時(shí)間即可評(píng)估與 Android 安全相關(guān)的復(fù)雜性;
·它支持 Android 平臺(tái),并在 Android 設(shè)備自身上執(zhí)行啟用 Java 的代碼
4. MobSF(Mobile Security Framework)
MobSF 是一款自動(dòng)化移動(dòng) App 安全測試工具,適用于 iOS 和 Android,可熟練執(zhí)行動(dòng)態(tài)、靜態(tài)分析和 Web API 測試。
移動(dòng)安全框架可用于對(duì) Android 和 iOS 應(yīng)用進(jìn)行快速安全分析。MobSF 支持 binaries(IPA 和 APK)以及 zipped 的源代碼。
特點(diǎn):
·它是一款開源的移動(dòng) App 安全測試工具;
·它可以托管在本地環(huán)境,因此重要數(shù)據(jù)不會(huì)與云交互;
·它能對(duì)三個(gè)平臺(tái)(Android、iOS、Windows)的移動(dòng) App 進(jìn)行更快的安全性分析。同時(shí),開發(fā)人員可以在開發(fā)階段識(shí)別出安全漏洞。
5.ADB (Android Debug Bridge)
Android Debug Bridge 簡稱ADB,它是用于專門與運(yùn)行 Android 設(shè)備進(jìn)行通信的命令行移動(dòng)應(yīng)用程序測試工具。
它提供了一個(gè)終端接口,用于控制使用 USB 連接到計(jì)算機(jī)的 Android 設(shè)備。ADB 可用于安裝 / 卸載應(yīng)用程序、運(yùn)行 Shell 命令、重啟、傳輸文件等。并且,可以使用此類命令輕松還原 Android 設(shè)備。
特點(diǎn):
·ADB 可輕松與谷歌的 Android Studio 集成開發(fā)環(huán)境進(jìn)行集成;
·實(shí)時(shí)監(jiān)控系統(tǒng)事件。它允許使用 Shell 命令在系統(tǒng)級(jí)別進(jìn)行操作;
·它使用藍(lán)牙、WiFi、USB 等與設(shè)備通信
6. Micro Focus (Fortify)
Micro Focus 主要為用戶提供安全和風(fēng)險(xiǎn)管理、混合 IT、DevOps 等領(lǐng)域的企業(yè)服務(wù)和解決方案。它提供各種跨平臺(tái)、設(shè)備、服務(wù)器、網(wǎng)絡(luò)等綜合應(yīng)用程序的安全測試服務(wù)。
Fortify 是 Micro Focus 最智能的安全測試工具之一,可在安裝到移動(dòng)設(shè)備前保護(hù)移動(dòng) App 的安全。
特點(diǎn):
·它使用靈活的交付模型執(zhí)行端到端測試;
·安全測試包括靜態(tài)代碼分析和針對(duì)移動(dòng) App 的掃描,并給出準(zhǔn)確結(jié)果;
·它有助于識(shí)別跨網(wǎng)絡(luò)、服務(wù)器和客戶端的安全漏洞;
·它支持各種平臺(tái),例如Windows、iOS、Android 和 Blackberry。
7. CodifiedSecurity
它是一款著名的自動(dòng)化移動(dòng) App 安全測試工具。
CodifiedSecurity 可以發(fā)現(xiàn)并修復(fù)安全漏洞,并確保足夠安全地使用移動(dòng)應(yīng)用程序。它提供實(shí)時(shí)反饋。
特點(diǎn):
·它同時(shí)支持 Android 和 iOS 平臺(tái);
·它遵循用于安全測試的程序化方法,該方法可確保測試結(jié)果可靠;
·靜態(tài)代碼分析和機(jī)器學(xué)習(xí)為它提供支持。它還支持靜態(tài)測試和動(dòng)態(tài)測試;
·它可以在不獲取源代碼的情況下測試移動(dòng) App
8. WhiteHat Security
WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評(píng)估和測試平臺(tái)。
它被 Gartner 認(rèn)可為安全測試的領(lǐng)導(dǎo)者,并贏得多個(gè)獎(jiǎng)項(xiàng)。它能提供諸如移動(dòng) app 安全測試、web app 安全測試和基于計(jì)算機(jī)的培訓(xùn)解決方案等服務(wù)。
特點(diǎn):
·它是基于云的安全平臺(tái),并使用其靜態(tài)和動(dòng)態(tài)技術(shù)提供快速的解決方案;
·WhiteHat Sentinel 支持 iOS 和 android 平臺(tái),可提供有關(guān)項(xiàng)目狀況的完整信息;
·與任何其他工具或平臺(tái)相比,它能輕松地檢測漏洞;
·通過在真實(shí)設(shè)備上安裝移動(dòng) App 進(jìn)行測試,無需模擬器
9. Kiuwan
它提供領(lǐng)先的技術(shù)覆蓋范圍,可對(duì)移動(dòng) App 進(jìn)行360°的安全性測試。它包括靜態(tài)代碼分析和軟件組成分析,以及軟件開發(fā)生命周期的自動(dòng)化
10. Veracode
Veracode 向全球客戶提供移動(dòng)應(yīng)用程序安全性服務(wù)。
它使用基于云的自動(dòng)化服務(wù),為移動(dòng)應(yīng)用程序和 Web 安全提供了解決方案。Veracode 的 MAST(移動(dòng)應(yīng)用程序安全測試)服務(wù)可以確定移動(dòng) App 中的安全問題,并立即采取行動(dòng)解決問題。
猜你喜歡:
6款自動(dòng)化應(yīng)用安全測試工具推薦
北京校區(qū)