10 款最佳移動 App 安全測試工具
摘要:MobSF 是一款自動化移動 App 安全測試工具,適用於 iOS 和 Android,可熟練執行動態、靜態分析和 Web API 測試。QARK 由領英開發,它是一款靜態代碼分析工具,可以提供有關 Android App 安全威脅的信息,並給出簡潔明瞭的問題描述。
移動互聯網時代,我們的生活和工作深受 App 影響。伴隨移動 App 的廣泛應用,App 安全日益重要。本文介紹了 App 開發所需的安全測試工具。
TOP 10 移動 App 安全測試工具列表(排名不分先後)
當今,全球移動用戶大約超過 37 億。Google Play 上大約有 220 萬個 App,蘋果 App Store 上大約有 20 億或更多的 App 。同時,根據 Flurry 統計數據 表明,現在, 每個人每天會在移動設備上花費近 5 個小時的時間。
移動 App 的廣泛應用,必然伴隨着新的應用安全威脅。這些攻擊與以前經典的 web app 無關。 據 NowSecure 的最新研究表明,有 25% 的 App 包含高風險漏洞 ,常見的安全漏洞如下:
- 跨站腳本攻擊(XSS)
- 用戶敏感數據(IMEI、GPS、MAC 地址、電子郵件等)泄露
- SQL 注入
- 網絡釣魚攻擊
- 數據加密缺失
- OS 命令注入
- 惡意軟件
- 任意代碼執行
隨着移動 App 的增長,交付高安全性的 App 對用戶來說非常重要。
有很多原因可以解釋爲什麼 App 安全測試意義非凡。比如病毒或惡意軟件感染、欺詐攻擊、安全漏洞等。移動 App 安全測試包括數據安全性、授權、身份驗證、重大漏洞等。
因此,從業務角度看,執行安全測試至關重要。對 App 開發者或開發團隊而言,需要最好的移動 App 安全測試工具來確保 app 安全。
1.Quick Android Review Kit (QARK)
QARK 由領英開發,它是一款靜態代碼分析工具,可以提供有關 Android App 安全威脅的信息,並給出簡潔明瞭的問題描述。
它對在 Android 平臺上發現 App 源代碼和 APK 文件中的安全漏洞很有幫助。
特點:
- 它是一款開源工具,能提供有關安全漏洞的完整信息;
- 它可以生成有關潛在漏洞的報告,並提供一些如何解決這些漏洞的信息。同時,它還能突出顯示與 Android 版本有關的安全問題;
- 它能掃描移動 App 中的所有元素,查找安全威脅。同時,它以 APK 形式創建一個自定義應用程序來進行測試,並確定潛在問題。
2.Zed Attack Proxy
Zed Attack Proxy(ZAP) 是全球最受歡迎的免費安全測試工具之一。它是一款開源安全測試工具,在全球範圍內由數百名活躍的志願者管理。
特點:
- 提供 20 種不同語言的版本;
- 支持多種腳本語言類型;
- 易於安裝;
- 在軟件開發和測試階段,它可以自動識別 App 中的安全漏洞
3.Drozer (MWR InfoSecurity)
Drozer 是由 MWR InfoSecurity 開發的 App 安全測試框架。它可以幫助開發者確定 Android 設備中的安全漏洞。
特點:
- 它是一個開源工具,可同時支持真實的 Android 設備和模擬器;
- 通過自動化和開展複雜活動,它只需很少時間即可評估與 Android 安全相關的複雜性;
- 它支持 Android 平臺,並在 Android 設備自身上執行啓用 Java 的代碼
4.MobSF (Mobile Security Framework)
MobSF 是一款自動化移動 App 安全測試工具,適用於 iOS 和 Android,可熟練執行動態、靜態分析和 Web API 測試 。
移動安全框架可用於對 Android 和 iOS 應用進行快速安全分析。MobSF 支持 binaries(IPA 和 APK)以及 zipped 的源代碼。
特點:
- 它是一款開源的移動 app 安全測試工具;
- 它可以託管在本地環境,因此機密數據不會與雲交互;
- 它能對三個平臺(Android、iOS、Windows)的移動 app 進行更快的安全性分析。同時,開發人員可以在開發階段識別出安全漏洞。
5.ADB (Android Debug Bridge)
Android Debug Bridge 或 ADB,它是用於專門與運行 Android 設備進行通信的命令行移動應用程序測試工具。
它提供了一個終端接口,用於控制使用 USB 連接到計算機的 Android 設備。ADB 可用於安裝 / 卸載應用程序、運行 Shell 命令、重啓、傳輸文件等。並且,可以使用此類命令輕鬆還原 Android 設備。
特點:
- ADB 可輕鬆與谷歌的 Android Studio 集成開發環境進行集成;
- 實時監控系統事件。它允許使用 Shell 命令在系統級別進行操作;
- 它使用藍牙、WiFi、USB 等與設備通信
6.Micro Focus (Fortify)
Micro Focus 主要爲用戶提供安全和風險管理、混合 IT、DevOps 等領域的企業服務和解決方案。
它提供各種跨平臺、設備、服務器、網絡等綜合應用程序的安全測試服務。
Fortify 是 Micro Focus 最智能的安全測試工具之一,可在安裝到移動設備前保護移動 App 的安全。
特點:
- 它使用靈活的交付模型執行端到端測試;
- 安全測試包括靜態代碼分析和針對移動 App 的掃描,並給出準確結果;
- 它有助於識別跨網絡、服務器和客戶端的安全漏洞;
- 它支持各種平臺,例如 Microsoft Windows、Apple iOS、Google Android 和 Blackberry。
7.CodifiedSecurity
它是一款著名的自動化移動 App 安全測試工具。
CodifiedSecurity 可以發現並修復安全漏洞,並確保足夠安全地使用移動應用程序。它提供實時反饋。
特點:
- 它同時支持 Android 和 iOS 平臺;
- 它遵循用於安全測試的程序化方法,該方法可確保測試結果可靠;
- 靜態代碼分析和機器學習爲它提供支持。它還支持靜態測試和動態測試;
- 它可以在不獲取源代碼的情況下測試移動 App
8.WhiteHat Security
WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評估和測試平臺。
它已經被 Gartner 認可爲安全測試的領導者,並贏得多個獎項。
它會提供諸如移動 app 安全測試、web app 安全測試和基於計算機的培訓解決方案等服務。
特點:
- 它是基於雲的安全平臺,並使用其靜態和動態技術提供快速的解決方案
- WhiteHat Sentinel 支持 iOS 和 android 平臺,可提供有關項目狀況的完整信息;
- 與任何其他工具或平臺相比,它能輕鬆地檢測漏洞;
- 通過在真實設備上安裝移動 App 進行測試,無需模擬器
9.Kiuwan
Kiuwan 提供領先的技術覆蓋範圍,可對移動 App 進行 360°的安全性測試。它包括靜態代碼分析和軟件組成分析,以及軟件開發生命週期的自動化
10.Veracode
Veracode 向全球客戶提供移動應用程序安全性服務。
它使用基於雲的自動化服務,爲移動應用程序和 Web 安全提供瞭解決方案。 Veracode 的 MAST(移動應用程序安全測試)服務可以確定移動 App 中的安全問題,並立即採取行動解決問題。
