[[313372]]

 移動(dòng)互聯(lián)網(wǎng)時(shí)代，我們的生活和工作深受 App 影響。伴隨移動(dòng) App 的廣泛應(yīng)用，App 安全日益重要。本文介紹了 App 開(kāi)發(fā)可能用到的安全測(cè)試工具。

當(dāng)今，全球移動(dòng)用戶大約超過(guò)37億。Google Play 上大約有 220 萬(wàn)個(gè) App，蘋(píng)果App Store 上大約有 20 億或更多的 App。同時(shí)，根據(jù) Flurry 統(tǒng)計(jì)數(shù)據(jù)表明，現(xiàn)在，每個(gè)人每天會(huì)在移動(dòng)設(shè)備上花費(fèi)近 5 個(gè)小時(shí)的時(shí)間。

移動(dòng) App 的廣泛應(yīng)用，必然伴隨著新的應(yīng)用安全威脅。這些攻擊與以前經(jīng)典的 web app 無(wú)關(guān)。據(jù) NowSecure 的最新研究表明，有 25% 的 App 包含高風(fēng)險(xiǎn)漏洞，常見(jiàn)的安全漏洞如下：

• 跨站腳本攻擊（XSS）
• 用戶敏感數(shù)據(jù)（IMEI、GPS、MAC 地址、電子郵件等）泄露
• SQL 注入
• 網(wǎng)絡(luò)釣魚(yú)攻擊
• 數(shù)據(jù)加密缺失
• OS 命令注入
• 惡意軟件
• 任意代碼執(zhí)行

隨著移動(dòng) App 的增長(zhǎng)，交付高安全性的 App 對(duì)用戶來(lái)說(shuō)非常重要。

有很多原因可以解釋為什么 App 安全測(cè)試意義非凡。比如病毒或惡意軟件感染、欺詐攻擊、安全漏洞等。移動(dòng) App 安全測(cè)試包括數(shù)據(jù)安全性、授權(quán)、身份驗(yàn)證、重大漏洞等。

因此，從業(yè)務(wù)角度看，執(zhí)行安全測(cè)試至關(guān)重要。對(duì) App 開(kāi)發(fā)者或開(kāi)發(fā)團(tuán)隊(duì)而言，需要最好的移動(dòng) App 安全測(cè)試工具來(lái)確保 app 安全。

1. Quick Android Review Kit (QARK)

QARK 由領(lǐng)英開(kāi)發(fā)，它是一款靜態(tài)代碼分析工具，可提供有關(guān) Android App 安全威脅的信息，并給出簡(jiǎn)潔明了的問(wèn)題描述。

[[313373]]

它對(duì)在 Android 平臺(tái)上發(fā)現(xiàn) App 源代碼和 APK 文件中的安全漏洞很有幫助。

特點(diǎn)：

它是一款開(kāi)源工具，可以提供有關(guān)安全漏洞的完整信息；

它能生成有關(guān)潛在漏洞的報(bào)告，并提供一些如何解決這些漏洞的信息。同時(shí)，它還可以突出顯示與 Android 版本有關(guān)的安全問(wèn)題；

它能掃描移動(dòng) App 中的所有元素，查找安全威脅。同時(shí)，它以 APK 形式創(chuàng)建一個(gè)自定義應(yīng)用程序來(lái)進(jìn)行測(cè)試，并確定潛在問(wèn)題。

2. Zed Attack Proxy

Zed Attack Proxy（ZAP） 是全球最受歡迎的免費(fèi)安全測(cè)試工具之一。它是一款開(kāi)源安全測(cè)試工具，在全球范圍內(nèi)由數(shù)百名活躍的志愿者管理。

特點(diǎn)：

提供 20 種不同語(yǔ)言的版本；

支持多種腳本語(yǔ)言類型；

易于安裝；

在軟件開(kāi)發(fā)和測(cè)試階段，它就能自動(dòng)識(shí)別 App 中的安全漏洞

3.Drozer (MWR InfoSecurity)

Drozer 是由 MWR InfoSecurity 開(kāi)發(fā)的 App 安全測(cè)試框架。它可以幫助開(kāi)發(fā)者確定 Android 設(shè)備中的安全漏洞。

特點(diǎn)：

它是一款開(kāi)源工具，可同時(shí)支持真實(shí)的 Android 設(shè)備和模擬器；

通過(guò)自動(dòng)化和開(kāi)展復(fù)雜活動(dòng)，它只需很少時(shí)間即可評(píng)估與 Android 安全相關(guān)的復(fù)雜性；

它支持 Android 平臺(tái)，并在 Android 設(shè)備自身上執(zhí)行啟用 Java 的代碼

4. MobSF(Mobile Security Framework)

MobSF 是一款自動(dòng)化移動(dòng) App 安全測(cè)試工具，適用于 iOS 和 Android，可熟練執(zhí)行動(dòng)態(tài)、靜態(tài)分析和 Web API 測(cè)試。

移動(dòng)安全框架可用于對(duì) Android 和 iOS 應(yīng)用進(jìn)行快速安全分析。MobSF 支持 binaries（IPA 和 APK）以及 zipped 的源代碼。

特點(diǎn)：

它是一款開(kāi)源的移動(dòng) App 安全測(cè)試工具；

它可以托管在本地環(huán)境，因此重要數(shù)據(jù)不會(huì)與云交互；

它能對(duì)三個(gè)平臺(tái)（Android、iOS、Windows）的移動(dòng) App 進(jìn)行更快的安全性分析。同時(shí)，開(kāi)發(fā)人員可以在開(kāi)發(fā)階段識(shí)別出安全漏洞。

5.ADB (Android Debug Bridge）

Android Debug Bridge 簡(jiǎn)稱ADB，它是用于專門(mén)與運(yùn)行 Android 設(shè)備進(jìn)行通信的命令行移動(dòng)應(yīng)用程序測(cè)試工具。

[[313374]]

它提供了一個(gè)終端接口，用于控制使用 USB 連接到計(jì)算機(jī)的 Android 設(shè)備。ADB 可用于安裝 / 卸載應(yīng)用程序、運(yùn)行 Shell 命令、重啟、傳輸文件等。并且，可以使用此類命令輕松還原 Android 設(shè)備。

特點(diǎn)：

ADB 可輕松與谷歌的 Android Studio 集成開(kāi)發(fā)環(huán)境進(jìn)行集成；

實(shí)時(shí)監(jiān)控系統(tǒng)事件。它允許使用 Shell 命令在系統(tǒng)級(jí)別進(jìn)行操作；

它使用藍(lán)牙、WiFi、USB 等與設(shè)備通信

6. Micro Focus (Fortify)

Micro Focus 主要為用戶提供安全和風(fēng)險(xiǎn)管理、混合 IT、DevOps 等領(lǐng)域的企業(yè)服務(wù)和解決方案。它提供各種跨平臺(tái)、設(shè)備、服務(wù)器、網(wǎng)絡(luò)等綜合應(yīng)用程序的安全測(cè)試服務(wù)。

Fortify 是 Micro Focus 最智能的安全測(cè)試工具之一，可在安裝到移動(dòng)設(shè)備前保護(hù)移動(dòng) App 的安全。

特點(diǎn)：

它使用靈活的交付模型執(zhí)行端到端測(cè)試；

安全測(cè)試包括靜態(tài)代碼分析和針對(duì)移動(dòng) App 的掃描，并給出準(zhǔn)確結(jié)果；

它有助于識(shí)別跨網(wǎng)絡(luò)、服務(wù)器和客戶端的安全漏洞；

它支持各種平臺(tái)，例如Windows、iOS、Android 和 Blackberry。

7. CodifiedSecurity

它是一款著名的自動(dòng)化移動(dòng) App 安全測(cè)試工具。

[[313375]]

CodifiedSecurity 可以發(fā)現(xiàn)并修復(fù)安全漏洞，并確保足夠安全地使用移動(dòng)應(yīng)用程序。它提供實(shí)時(shí)反饋。

特點(diǎn)：

它同時(shí)支持 Android 和 iOS 平臺(tái)；

它遵循用于安全測(cè)試的程序化方法，該方法可確保測(cè)試結(jié)果可靠；

靜態(tài)代碼分析和機(jī)器學(xué)習(xí)為它提供支持。它還支持靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試；

它可以在不獲取源代碼的情況下測(cè)試移動(dòng) App

8. WhiteHat Security

WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評(píng)估和測(cè)試平臺(tái)。

它被 Gartner 認(rèn)可為安全測(cè)試的領(lǐng)導(dǎo)者，并贏得多個(gè)獎(jiǎng)項(xiàng)。它能提供諸如移動(dòng) app 安全測(cè)試、web app 安全測(cè)試和基于計(jì)算機(jī)的培訓(xùn)解決方案等服務(wù)。

特點(diǎn)：

它是基于云的安全平臺(tái)，并使用其靜態(tài)和動(dòng)態(tài)技術(shù)提供快速的解決方案；

WhiteHat Sentinel 支持 iOS 和 android 平臺(tái)，可提供有關(guān)項(xiàng)目狀況的完整信息；

與任何其他工具或平臺(tái)相比，它能輕松地檢測(cè)漏洞；

通過(guò)在真實(shí)設(shè)備上安裝移動(dòng) App 進(jìn)行測(cè)試，無(wú)需模擬器

9. Kiuwan

它提供領(lǐng)先的技術(shù)覆蓋范圍，可對(duì)移動(dòng) App 進(jìn)行360°的安全性測(cè)試。它包括靜態(tài)代碼分析和軟件組成分析，以及軟件開(kāi)發(fā)生命周期的自動(dòng)化

10. Veracode

Veracode 向全球客戶提供移動(dòng)應(yīng)用程序安全性服務(wù)。

[[313376]]

它使用基于云的自動(dòng)化服務(wù)，為移動(dòng)應(yīng)用程序和 Web 安全提供了解決方案。Veracode 的 MAST（移動(dòng)應(yīng)用程序安全測(cè)試）服務(wù)可以確定移動(dòng) App 中的安全問(wèn)題，并立即采取行動(dòng)解決問(wèn)題。