虽然移动安全威胁与日俱增,但也有利好消息,例如市场上涌现了大量 app 安全测试工具,涵盖主动威胁监测、恶意软件分析、实时安全测试等多个领域,以下为您推荐七个有代表性的免费 APP 应用安全测试工具。
根据 Statista 的统计,2017 年全球 APP 下载数累计高达 1970 亿次,而根据 checkpoint 的企业移动安全调查报告,79% 的 IT 专业人士认为保护移动设备安全的难度越来越大,与此同时越来越多的 APP 曝光安全问题,例如 Ioactive 最新报告显示全球 21 款主流移动证券 APP 的安全现状非常糟糕。
七个免费的 APP 应用安全测试工具
虽然移动安全威胁与日俱增,但也有利好消息,例如市场上涌现了大量 app 安全测试工具,涵盖主动威胁监测、恶意软件分析、实时安全测试等多个领域,以下为您推荐七个有代表性的免费 APP 应用安全测试工具:
OWASP ZAP 是目前最流行的免费 APP 移动安全测试工具,由全球数百个志愿者维护。该工具可以在 APP 的开发和测试阶段自动查找安全漏洞。OWASP ZAP 同时还是高水平渗透测试专家非常喜爱的手动安全测试工具。
QARK 是一种 Android 程序源代码安全漏洞分析工具。该工具有自己的开发社区,任何人都可以免费使用。QARK 还会尝试提供提供动态生成的 Android Debug Bridge(ADB) 命令来帮助核实潜在漏洞。
对于使用 Android Studio 开发 Android 应用程序的开发者来说,Devknox 是此类移动安全检测工具种的佼佼者,Devknox 不但能检测基本的移动安全问题,还能向开发者提供问题修复的实时建议。
Drozer 是一个相当全面的 Android 安全与攻击框架,这个移动 app 安全测试工具能够通过进程间通讯机制 (IPC) 与其他 Android 应用和操作系统互动,这种互动机制使其有别于其他自动化扫描工具。
Mobile Security Framework 是一个自动化的移动 app 安全测试工具,支持 Android 和 iOS 双平台,能够进行静态、动态分析以及 web API 测试。MobSF 经常被用来对 Android 或 iOS app 进行快速安全分析,支持二进制 (APK&IPA) 形式以及源代码的 zip 压缩包。
Mitmproxy 是一个免费的开源工具,可以用于拦截、检测、修改或延迟 app 与后端服务之间的通讯数据,该工具的名字也可以看出这是一种类似中间人攻击的测试模式。当然,这也意味着该工具确实可以被黑客利用。
iMAS 也是一个开源移动 app 安全测试工具,可以帮开发者在开发阶段遵守安全开发规则,例如应用数据加密、密码提示、预防应用程序篡改、在 iOS 设备中部署企业安全策略等。无论是检查设备越狱,保护驻内存敏感信息还是防范二进制补丁,iMAS 能为你的 iOS 程序在充满敌意的环境中提供安全保障。