个性化阅读
专注于IT技术分析

9个移动应用扫描程序以查找安全漏洞

本文概述

测试你的移动应用程序是否存在任何安全漏洞, 并在其损害你的商业信誉之前对其进行修复。

NowSecure的最新研究表明, 有25%的移动应用程序至少包含一个高风险安全漏洞。

Android上的理财软件的59%, 有三个OWAS手机十大风险。

移动设备的使用在增长, 因此移动应用程序。 Apple App Store中有超过20亿个应用程序, Google Play Store中有220万个应用程序。

漏洞有多种类型, 其中一些危险是:

  • 通过网络泄漏个人用户敏感数据(电子邮件, 凭据, IMEI, GPS, MAC地址)
  • 很少或没有加密的网络通信
  • 具有世界可读/可写文件
  • 任意代码执行
  • 恶意软件

如果你是开发者, 那么你应该尽一切努力来保护你的移动应用。

该网站有很多安全漏洞扫描程序, 下面的内容应该可以帮助你发现移动应用程序中的安全漏洞。

本帖子中使用的一些缩写。

  • APK – Android套件套件
  • IPA – iPhone应用程序存档
  • IMEI –国际移动设备身份
  • GPS –全球定位系统
  • MAC –媒体访问控制
  • API –应用程序编程接口
  • OWASP –开放式Web应用程序安全项目

Android / iOS应用漏洞扫描程序

  • Ostorlab
  • Appvigil
  • Quixxi
  • AndroTotal
  • Akana
  • NVISO
  • SandDroid
  • QARK
  • Mobile App Scanner

Ostorlab

Ostorlab让你扫描你的Android或iOS应用, 并提供有关发现的详细信息。

你可以上传APK或IPA应用程序文件, 然后在几分钟之内将获得安全扫描报告。

9个移动应用扫描程序以查找安全漏洞2

你可以上载要扫描的应用程序文件的最大大小为60MB。但是, 如果你的应用程序大小大于60MB, 则可以与他们联系以通过API调用进行上载。

它基于Androguard和Radare2等开源软件。最好使用Ostorlab免费扫描你的移动应用程序。

Appvigil

使用Appvigil查找移动应用程序中的安全漏洞, 并在几分钟内获得深入的漏洞报告。

使用Appvigil, 你不仅可以获得安全隐患的详细信息, 而且还可以获得补丁程序的建议, 因此可以立即对其进行修复。

你无需安装任何软件, 因为一切都在Appvigil云中完成。

9个移动应用扫描程序以查找安全漏洞4

上传APK或IPA文件后, 它将在你的应用(Android / iOS)上执行静态和动态分析, 其中包括OWASP Mobile十大漏洞。

Quixxi

Quixxi专注于提供移动分析, 移动应用保护和恢复收入损失。如果你只是想进行漏洞测试, 则可以在此处上传Android或iOS应用程序文件。

9个移动应用扫描程序以查找安全漏洞6

扫描可能要花费几分钟, 然后完成;你将获得漏洞报告概述。

但是, 如果你要查找综合报告, 则必须在其网站上进行免费注册。

AndroTotal

顾名思义, 这仅适用于Android应用程序。 AndroTotal扫描APK文件中的病毒和恶意软件。它会检查以下防病毒软件。

  • McAfee
  • TrustGo
  • ESET
  • Comodo
  • AVG
  • Avira
  • Bitdefender
  • Qihoo

如果你正在快速检查APK文件中是否有病毒, 那么AndroTotal扫描将是快速的选择。

Akana

Akana是适用于Android应用程序的交互式分析工具。 Akana会检查你的应用程序是否包含恶意代码, 并为你提供一个不错的应用程序摘要。

9个移动应用扫描程序以查找安全漏洞8

它是免费的, 因此请继续尝试看看你的Android应用程序是否包含任何恶意代码。

NVISO

Nviso APKSCAN是另一个方便的在线工具, 可以扫描你的应用程序是否存在恶意软件。获取扫描结果可能会根据队列花费时间, 因此一旦扫描报告可用, 你就可以输入电子邮件地址以获取通知。

我用Nviso检查了我的虚拟应用程序, 可以看到它测试了以下内容。

  • 磁盘活动
  • 病毒查找
  • 网络活动
  • 可以拨打电话, 是否发送短信
  • 加密活动
  • 信息泄漏

SandDroid

SandDroid执行静态和动态分析, 并为你提供全面的报告。你最多可以上传50 MB的APK或zip文件。

9个移动应用扫描程序以查找安全漏洞10

SandDroid由僵尸网络研究小组和西安交通大学共同开发。当前, 它对以下内容执行检查。

  • 文件大小/哈希, SDK版本
  • 网络数据, 组件, 代码功能, 敏感的API, IP分布分析
  • 数据泄漏, 短信, 电话监控
  • 风险行为和得分

查看一些扫描报告以了解想法。

QARK

LinkedIn的QARK(快速Android审查工具包)可帮助你在源代码和打包文件中找到多个Android漏洞。

QARK是免费使用的, 安装它需要Python 2.7 +, JRE 1.6 / 1.7 +并在OSX / RHEL 6.6上进行测试

QARK可以检测到以下某些漏洞。

  • 窃听
  • x.509证书验证不正确
  • 窃听
  • 源代码中的私钥
  • 可利用的WebView配置
  • API版本过时
  • 潜在的数据泄漏
  • 以及更多…

Mobile App Scanner

High-Tech Bridge提供的在线Android和iOS应用扫描程序可以针对OWASP mobile的十大漏洞测试应用程序。

它执行静态和动态安全测试, 并提供可操作的报告。

9个移动应用扫描程序以查找安全漏洞12

你可以下载PDF格式的报告, 其中包含详细的分析结果。

我希望上述漏洞扫描程序可以帮助你检查移动应用程序的安全性并修复任何发现的问题。

你可能还对学习移动渗透测试感兴趣。

赞(0)
未经允许不得转载:srcmini » 9个移动应用扫描程序以查找安全漏洞

评论 抢沙发

评论前必须登录!