安全测试 移动应用安全自动化检测方案,帮助下一个有这方面的需求的人。

· 2020年10月27日 · 最后由 南山老人i 回复于 2021年09月28日 · 4580 次阅读

原创,没有大牛,全靠公司内部自我挖掘。(均是可落地验证、并以自动化为目的的测试思路)

下个季度、乃至明年的思路,还在探索中。

共收到 17 条回复 时间 点赞

大佬求持续分享

可以考虑做一个安全自动化云测平台,一键上传 apk,流水线式检测各安全风险 (做成可配置,可对接各种安全测试工具),最后出检测的报告。

感觉有点强

#14 · 2020年10月27日 Author
几许风雨 回复

现有的测试项,离第三方检测机构的,还差点距离的

回复

开源的安全检测工具,还是有一些可以拿来用。

#6 · 2020年10月27日 Author
几许风雨 回复

举个例子?真正去做了,就发现,真没几个。

这图我忘了是哪儿来的了,可以参考参考

#8 · 2020年10月27日 Author
lopezocern 回复

要能落地,可自动化。而且仅限于应用安全。

这图,随便 baidu 就出来了。

有用 MobSF 吗


是这种么

#11 · 2020年10月28日 Author
SineIO 回复

当然,这工具没有想象中强大,支持项太少了。我们都进行二次开发了。

回复

这个研发者还是很厉害的。二次开发的后,使用效果咋样?我只静态扫描过,没动态整过。

问题已解决,iproxy 近期有升级(2.0.2),wdaproxy 原来的启动命令的顺序不支持了。已将 iproxy 降至之前版本(PS:最新版本也能用支持,修改 wdaproxy 源码适配最新版 iproxy;降级是因为自动化客户端不支持最新版).
大神 ,iproxy 将至哪个版本呀,遇到同样问题

#4 · 2020年10月30日 Author
临桂 回复

iproxy 是 Libusbmuxd 的一个模块,升级造成 Libusbmuxd 更新到新版本 2.0.2。把 Libusbmuxd 降到 2.0.1 就可以了。
目录:/usr/local/Cellar/libusbmuxd/2.0.1

回复

请问 如何把 Libusbmuxd 降到 2.0.1 呢 , 我尝试过用 brew 没有版本可以回滚 , git 是需要 2.0.1 后 make install 么

不错,不错

安全自动化落地思路:开发一个自动化管理平台,平台上可做一些专项性能,自动化功能,智能遍历,monkey,安全等。有对应的服务器管理已上传的 app 包,在需要测试的时候,点击提测即可,将移动应用安全这一块做成自动化,接口请求过来后,去对应的 hos 拉去提测的应用包,然后走一遍已有的移动应用安全自动化,最后数据整合,输出报告

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册