雲栖号: https://yqh.aliyun.com 第一手的上雲資訊,不同行業精選的上雲企業案例庫,基于衆多成功案例萃取而成的最佳實踐,助力您上雲決策!
移動網際網路時代,我們的生活和工作深受 App 影響。伴随移動 App 的廣泛應用,App 安全日益重要。本文介紹了 App 開發可能用到的安全測試工具。
當今,全球移動使用者大約超過37億。Google Play 上大約有 220 萬個 App,蘋果App Store 上大約有 20 億或更多的 App。同時,根據 Flurry 統計資料表明,現在,每個人每天會在移動裝置上花費近 5 個小時的時間。
移動 App 的廣泛應用,必然伴随着新的應用安全威脅。這些攻擊與以前經典的 web app 無關。據 NowSecure 的最新研究表明,有 25% 的 App 包含高風險漏洞,常見的安全漏洞如下:
- 跨站腳本攻擊(XSS)
- 使用者敏感資料(IMEI、GPS、MAC 位址、電子郵件等)洩露
- SQL 注入
- 網絡釣魚攻擊
- 資料加密缺失
- OS 指令注入
- 惡意軟體
- 任意代碼執行
随着移動 App 的增長,傳遞高安全性的 App 對使用者來說非常重要。
有很多原因可以解釋為什麼 App 安全測試意義非凡。比如病毒或惡意軟體感染、欺詐攻擊、安全漏洞等。移動 App 安全測試包括資料安全性、授權、身份驗證、重大漏洞等。
是以,從業務角度看,執行安全測試至關重要。對 App 開發者或開發團隊而言,需要最好的移動 App 安全測試工具來確定 app 安全。
1. Quick Android Review Kit (QARK)
QARK 由領英開發,它是一款靜态代碼分析工具,可提供有關 Android App 安全威脅的資訊,并給出簡潔明了的問題描述。
它對在 Android 平台上發現 App 源代碼和 APK 檔案中的安全漏洞很有幫助。
特點:
它是一款開源工具,可以提供有關安全漏洞的完整資訊;
它能生成有關潛在漏洞的報告,并提供一些如何解決這些漏洞的資訊。同時,它還可以突出顯示與 Android 版本有關的安全問題;
它能掃描移動 App 中的所有元素,查找安全威脅。同時,它以 APK 形式建立一個自定義應用程式來進行測試,并确定潛在問題。
2. Zed Attack Proxy
Zed Attack Proxy(ZAP) 是全球最受歡迎的免費安全測試工具之一。它是一款開源安全測試工具,在全球範圍内由數百名活躍的志願者管理。
提供 20 種不同語言的版本;
支援多種腳本語言類型;
易于安裝;
在軟體開發和測試階段,它就能自動識别 App 中的安全漏洞
3.Drozer (MWR InfoSecurity)
Drozer 是由 MWR InfoSecurity 開發的 App 安全測試架構。它可以幫助開發者确定 Android 裝置中的安全漏洞。
它是一款開源工具,可同時支援真實的 Android 裝置和模拟器;
通過自動化和開展複雜活動,它隻需很少時間即可評估與 Android 安全相關的複雜性;
它支援 Android 平台,并在 Android 裝置自身上執行啟用 Java 的代碼
4. MobSF(Mobile Security Framework)
MobSF 是一款自動化移動 App 安全測試工具,适用于 iOS 和 Android,可熟練執行動态、靜态分析和 Web API 測試。
移動安全架構可用于對 Android 和 iOS 應用進行快速安全分析。MobSF 支援 binaries(IPA 和 APK)以及 zipped 的源代碼。
它是一款開源的移動 App 安全測試工具;
它可以托管在本地環境,是以重要資料不會與雲互動;
它能對三個平台(Android、iOS、Windows)的移動 App 進行更快的安全性分析。同時,開發人員可以在開發階段識别出安全漏洞。
5.ADB (Android Debug Bridge)
Android Debug Bridge 簡稱ADB,它是用于專門與運作 Android 裝置進行通信的指令行移動應用程式測試工具。
它提供了一個終端接口,用于控制使用 USB 連接配接到計算機的 Android 裝置。ADB 可用于安裝 / 解除安裝應用程式、運作 Shell 指令、重新開機、傳輸檔案等。并且,可以使用此類指令輕松還原 Android 裝置。
ADB 可輕松與谷歌的 Android Studio 內建開發環境進行內建;
實時監控系統事件。它允許使用 Shell 指令在系統級别進行操作;
它使用藍牙、WiFi、USB 等與裝置通信
6. Micro Focus (Fortify)
Micro Focus 主要為使用者提供安全和風險管理、混合 IT、DevOps 等領域的企業服務和解決方案。它提供各種跨平台、裝置、伺服器、網絡等綜合應用程式的安全測試服務。
Fortify 是 Micro Focus 最智能的安全測試工具之一,可在安裝到移動裝置前保護移動 App 的安全。
它使用靈活的傳遞模型執行端到端測試;
安全測試包括靜态代碼分析和針對移動 App 的掃描,并給出準确結果;
它有助于識别跨網絡、伺服器和用戶端的安全漏洞;
它支援各種平台,例如Windows、iOS、Android 和 Blackberry。
7. CodifiedSecurity
它是一款著名的自動化移動 App 安全測試工具。
CodifiedSecurity 可以發現并修複安全漏洞,并確定足夠安全地使用移動應用程式。它提供實時回報。
它同時支援 Android 和 iOS 平台;
它遵循用于安全測試的程式化方法,該方法可確定測試結果可靠;
靜态代碼分析和機器學習為它提供支援。它還支援靜态測試和動态測試;
它可以在不擷取源代碼的情況下測試移動 App
8. WhiteHat Security
WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評估和測試平台。
它被 Gartner 認可為安全測試的上司者,并赢得多個獎項。它能提供諸如移動 app 安全測試、web app 安全測試和基于計算機的教育訓練解決方案等服務。
它是基于雲的安全平台,并使用其靜态和動态技術提供快速的解決方案;
WhiteHat Sentinel 支援 iOS 和 android 平台,可提供有關項目狀況的完整資訊;
與任何其他工具或平台相比,它能輕松地檢測漏洞;
通過在真實裝置上安裝移動 App 進行測試,無需模拟器
9. Kiuwan
它提供領先的技術覆寫範圍,可對移動 App 進行360°的安全性測試。它包括靜态代碼分析和軟體組成分析,以及軟體開發生命周期的自動化
10. Veracode
Veracode 向全球客戶提供移動應用程式安全性服務。
它使用基于雲的自動化服務,為移動應用程式和 Web 安全提供了解決方案。Veracode 的 MAST(移動應用程式安全測試)服務可以确定移動 App 中的安全問題,并立即采取行動解決問題。
原文釋出時間:2020-1-18
本文作者:Chatterjee
本文來自阿裡雲雲栖号合作夥伴“
51CTO”,了解相關資訊可以關注“
”