根據(jù)Statista的統(tǒng)計(jì)，2017年全球APP下載數(shù)累計(jì)高達(dá)1970億次，而根據(jù)checkpoint的企業(yè)移動(dòng)安全調(diào)查報(bào)告，79%的IT專業(yè)人士認(rèn)為保護(hù)移動(dòng)設(shè)備安全的難度越來(lái)越大，與此同時(shí)越來(lái)越多的APP曝光安全問(wèn)題，例如Ioactive最新報(bào)告顯示全球21款主流移動(dòng)證券APP的安全現(xiàn)狀非常糟糕。

[[214175]]

雖然移動(dòng)安全威脅與日俱增，但也有利好消息，例如市場(chǎng)上涌現(xiàn)了大量app安全測(cè)試工具，涵蓋主動(dòng)威脅監(jiān)測(cè)、惡意軟件分析、實(shí)時(shí)安全測(cè)試等多個(gè)領(lǐng)域，以下為您推薦七個(gè)有代表性的免費(fèi)APP應(yīng)用安全測(cè)試工具：

1. OWASP Zed Attack Proxy (ZAP)

OWASP ZAP 是目前最流行的免費(fèi)APP移動(dòng)安全測(cè)試工具，由全球數(shù)百個(gè)志愿者維護(hù)。該工具可以在APP的開(kāi)發(fā)和測(cè)試階段自動(dòng)查找安全漏洞。OWASP ZAP同時(shí)還是高水平滲透測(cè)試專家非常喜愛(ài)的手動(dòng)安全測(cè)試工具。

2. QARK (Quick Android Review Kit)

QARK 是一種Android程序源代碼安全漏洞分析工具。該工具有自己的開(kāi)發(fā)社區(qū)，任何人都可以免費(fèi)使用。QARK還會(huì)嘗試提供提供動(dòng)態(tài)生成的Android Debug Bridge(ADB)命令來(lái)幫助核實(shí)潛在漏洞。

3. Devknox

對(duì)于使用Android Studio開(kāi)發(fā)Android應(yīng)用程序的開(kāi)發(fā)者來(lái)說(shuō)，Devknox是此類移動(dòng)安全檢測(cè)工具種的佼佼者，Devknox不但能檢測(cè)基本的移動(dòng)安全問(wèn)題，還能向開(kāi)發(fā)者提供問(wèn)題修復(fù)的實(shí)時(shí)建議。

4. Drozer

Drozer 是一個(gè)相當(dāng)全面的Android安全與攻擊框架，這個(gè)移動(dòng)app安全測(cè)試工具能夠通過(guò)進(jìn)程間通訊機(jī)制(IPC)與其他Android應(yīng)用和操作系統(tǒng)互動(dòng)，這種互動(dòng)機(jī)制使其有別于其他自動(dòng)化掃描工具。

5. MobSF (Mobile Security Framework)

Mobile Security Framework 是一個(gè)自動(dòng)化的移動(dòng)app安全測(cè)試工具，支持Android和iOS雙平臺(tái)，能夠進(jìn)行靜態(tài)、動(dòng)態(tài)分析以及web API測(cè)試。MobSF經(jīng)常被用來(lái)對(duì)Android或iOS app進(jìn)行快速安全分析，支持二進(jìn)制(APK&IPA)形式以及源代碼的zip壓縮包。

6. Mitmproxy

Mitmproxy 是一個(gè)免費(fèi)的開(kāi)源工具，可以用于攔截、檢測(cè)、修改或延遲app與后端服務(wù)之間的通訊數(shù)據(jù)，該工具的名字也可以看出這是一種類似中間人攻擊的測(cè)試模式。當(dāng)然，這也意味著該工具確實(shí)可以被黑客利用。

7. iMAS

iMAS 也是一個(gè)開(kāi)源移動(dòng)app安全測(cè)試工具，可以幫開(kāi)發(fā)者在開(kāi)發(fā)階段遵守安全開(kāi)發(fā)規(guī)則，例如應(yīng)用數(shù)據(jù)加密、密碼提示、預(yù)防應(yīng)用程序篡改、在iOS設(shè)備中部署企業(yè)安全策略等。無(wú)論是檢查設(shè)備越獄，保護(hù)駐內(nèi)存敏感信息還是防范二進(jìn)制補(bǔ)丁，iMAS能為你的iOS程序在充滿敵意的環(huán)境中提供安全保障。