作者 | Shormistha Chatterjee
译者 | 王文刚
策划 | 万佳
移动互联网年代,咱们的日子和作业深受 App 影响。随同移动 App 的广泛运用,App 安全日益重要。本文介绍了 App 开发或许用到的安全测验东西。
当今,全球移动用户大约超越37亿。Google Play 上大约有 220 万个 App,苹果App Store 上大约有 20 亿或更多的 App。一起,依据 Flurry 统计数据标明,现在,每个人每天会在移动设备上花费近 5 个小时的时刻。
移动 App 的广泛运用,必定随同着新的运用安全要挟。这些进犯与曾经经典的 web app 无关。据 NowSecure 的最新研讨标明,有 25% 的 App 包含高危险缝隙,常见的安全缝隙如下:
跨站脚本进犯(XSS)
用户敏感数据(IMEI、GPS、MAC 地址、电子邮件等)走漏
SQL 注入
网络垂钓进犯
数据加密缺失
OS 指令注入
歹意软件
恣意代码履行
跟着移动 App 的增加,交给高安全性的 App 对用户来说很重要。
有许多原因能够解说为什么 App 安全测验含义特殊。比方病毒或歹意软件感染、诈骗进犯、安全缝隙等。移动 App 安全测验包含数据安全性、授权、身份验证、严重缝隙等。
因而,从事务视点看,履行安全测验至关重要。对 App 开发者或开发团队而言,需求最好的移动 App 安全测验东西来保证 app 安全。
1
Quick Android Review Kit (QARK)
QARK 由领英开发,它是一款静态代码剖析东西,可供给有关 Android App 安全要挟的信息,并给出简洁明了的问题描绘。
它对在 Android 渠道上发现 App 源代码和 APK 文件中的安全缝隙很有协助。
特色:
它是一款开源东西,能够供给有关安全缝隙的完好信息;
它能生成有关潜在缝隙的陈述,并供给一些怎么处理这些缝隙的信息。一起,它还能够杰出显现与 Android 版别有关的安全问题;
它能扫描移动 App 中的一切元素,查找安全要挟。一起,它以 APK 方式创立一个自定义运用程序来进行测验,并确认潜在问题。
2
Zed Attack Proxy
Zed Attack Proxy(ZAP) 是全球最受欢迎的免费安全测验东西之一。它是一款开源安全测验东西,在全球规模内由数百名活泼的志愿者办理。
特色:
供给 20 种不同言语的版别;
支撑多种脚本言语类型;
易于装置;
在软件开发和测验阶段,它就能自动辨认 App 中的安全缝隙
3
Drozer (MWR InfoSecurity)
Drozer 是由 MWR InfoSecurity 开发的 App 安全测验结构。它能够在必定程度上协助开发者确认 Android 设备中的安全缝隙。
特色:
它是一款开源东西,可一起支撑实在的 Android 设备和模拟器;
经过自动化和展开杂乱活动,它只需很少时刻即可评价与 Android 安全相关的杂乱性;
它支撑 Android 渠道,并在 Android 设备自身上履行启用 Java 的代码
4
MobSF(Mobile Security framework)
MobSF 是一款自动化移动 App 安全测验东西,适用于iOS 和 Android,可娴熟履举动态、静态剖析和 Web API 测验。
移动安全结构可用于对 Android 和 iOS 运用进行快速安全剖析。MobSF 支撑 binaries(IPA 和 APK)以及 zipped 的源代码。
特色:
它是一款开源的移动 App 安全测验东西;
它能够保管在本地环境,因而重要数据不会与云交互;
它能对三个渠道(Android、iOS、Windows)的移动 App进行更快的安全性剖析。一起,开发人员能够在开发阶段辨认出安全缝隙。
5
ADB (Android Debug Bridge)
Android Debug Bridge 简称ADB,它是用于专门与运转 Android 设备做通讯的指令行移动运用程序测验东西。
它供给了一个终端接口,用于操控运用 USB 连接到计算机的 Android 设备。ADB 可用于装置 / 卸载运用程序、运转 Shell 指令、重启、传输文件等。而且,能够正常的运用此类指令轻松复原 Android 设备。
特色:
ADB 可轻松与谷歌的 Android Studio 集成开发环境进行集成;
实时监控体系事情。它答应运用 Shell 指令在体系等级做相关操作;
它运用蓝牙、WiFi、USB 等与设备通讯
6
Micro Focus (Fortify)
Micro Focus 主要为用户更好的供给安全和危险办理、混合 IT、DevOps 等范畴的企业服务和处理方案。它供给各种跨渠道、设备、服务器、网络等归纳运用程序的安全测验服务。
Fortify 是 Micro Focus 最智能的安全测验东西之一,可在装置到移动设备前维护移动 App 的安全。
特色:
它运用灵敏的交给模型履行端到端测验;
安全测验包含静态代码剖析和针对移动 App 的扫描,并给出精确成果;
它有助于辨认跨网络、服务器和客户端的安全缝隙;
它支撑各种渠道,例如Windows、iOS、Android 和 Blackberry。
7
CodifiedSecurity
它是一款闻名的自动化移动 App 安全测验东西。
CodifiedSecurity 能够发现并修正安全缝隙,并保证满足安全地运用移动运用程序。它供给实时反应。
特色:
它一起支撑 Android 和 iOS 渠道;
它遵从用于安全测验的程序化办法,该办法可保证测验成果牢靠;
静态代码剖析和机器学习为它供给支撑。它还支撑静态测验和动态测验;
它能够在不获取源代码的情况下测验移动 App
8
WhiteHat Security
WhiteHat Sentinel Mobile Express 是 WhiteHat Security 供给的安全评价和测验渠道。
它被 Gartner 认可为安全测验的领导者,并赢得多个奖项。它能供给比如移动 app 安全测验、web app 安全测验和根据计算机的训练处理方案等服务。
特色:
它是根据云的安全渠道,并运用其静态和动态技能供给快速的处理方案;
WhiteHat Sentinel 支撑 iOS 和 android 渠道,可供给有关项目情况的完好信息;
与任何其他东西或渠道比较,它能轻松地检测缝隙;
经过在实在设备上装置移动 App 进行测验,无需模拟器
9
Kiuwan
它供给抢先的技能掩盖规模,可对移动 App 进行360°的安全性测验。它包含静态代码剖析和软件组成剖析,以及软件开发生命周期的自动化
10
Veracode
Veracode 向全球客户供给移动运用程序安全性服务。
它运用根据云的自动化服务,为移动运用程序和 Web 安全供给了处理方案。Veracode 的 MAST(移动运用程序安全测验)服务能够确认移动 App 中的安全问题,并当即采纳举动处理问题。
点个在看少个 bug
