12 移动应用程序扫描仪,以查找安全漏洞
测试您的移动应用程序是否存在安全漏洞并在损害您的业务声誉之前修复它们。
移动使用量正在增长,移动应用程序也在增长。在苹果应用商店上大约有200万个应用程序,在谷歌Play上有250万个应用程序。最新的research显示,38%的iOS应用程序和43%的Android应用程序存在高风险漏洞。
存在多种类型的漏洞,其中一些危险包括:
- 通过网络泄露个人用户敏感数据(电子邮件、凭据、IMEI、GPS、MAC地址)
- 在网络上进行少量或没有加密的通信
- 具有可读/可写权限的文件
- 任意代码执行
- 恶意软件
如果您是所有者、开发人员,那么您应该尽一切努力保护您的移动应用程序。
有很多security vulnerability scanner for the website可供使用,以下内容应该有助于您找出移动应用程序中的安全漏洞。
本文中使用了一些缩写。
- APK – Android程序包
- IPA – iPhone应用程序存档
- IMEI – 国际移动设备识别码
- GPS – 全球定位系统
- MAC – 媒体访问控制
- API – 应用程序编程接口
- OWASP – 开放网络应用程序安全项目
App-Ray
使用App-Ray的安全扫描仪来防止漏洞。它可以检查来自未知来源的移动应用程序,并通过与EMM-MDM/MAM的集成提供声誉。扫描仪可以在损害数据之前检测到威胁,并防止您安装恶意应用程序。
在构建应用程序时将其与漏洞分析集成。他们的REST API使您可以自动而优雅地进行分析。如果检测到任何问题,您还可以触发操作以防止可能的风险。
App-Ray采用先进的军事级技术来映射数据和分析网络流量,包括加密通信。
App-Ray使用多种分析技术-静态分析和动态行为分析。静态代码分析用于解决编码问题、加密相关问题、数据泄露和反调试技术。
类似地,对于工具和未修改的测试、访问通信文件等,进行动态和基于行为的分析。
App-Ray支持iOS和Android平台。扫描完成后,您可以查看所有技术细节,并下载必要的文件,包括PCAP文件。
Astra Pentest
使用Astra Pentest扫描和修复Android和iOS应用程序中的安全弱点,并保护它们免受任何类型的漏洞利用、黑客攻击或数据泄露。
Astra的综合漏洞扫描仪,自动化和手动渗透测试解决方案,在执行测试时考虑移动应用程序参数的每个方面,包括:
- 架构和设计
- 网络通信和数据处理
- 数据存储和隐私
- 身份验证和会话管理
- 代码或构建设置中的错误配置
Astra不断发展的漏洞数据库使用有关黑客和CVE的新情报来扫描移动应用程序的关键组件,如API、业务逻辑和支付网关。
Codified Security
使用Codified检测并快速修复安全问题。只需上传您的应用程序代码并使用扫描仪进行测试。它提供了一个详细的报告,突出显示安全风险。
Codified是一个自助式安全扫描程序。这意味着您需要将应用程序文件上传到其平台上。它能够与交付周期无缝集成。您可以为静态分析引擎创建自己的规则,并设置符合性级别。
他们的安全报告专业且详细地强调了与您的移动应用相关的所有风险。它还显示了一份适用的操作列表,您可以执行这些操作来防止安全漏洞。
Codified支持IPA和APK上传。它支持静态、动态和第三方库的测试。
此外,Codified与Phonegap、Xamarin和Hockey app集成,并支持Java、Swift和Objective-C应用程序。
移动安全框架
自动化且集成了所有功能的移动应用程序 – 移动安全框架(MobSF)可在Windows、iOS和Android设备上使用。
您可以使用该应用进行恶意软件分析、渗透测试、安全评估等。它可以执行静态和动态两种类型的分析。
MobSF提供REST API,因此您可以与DevSecOps流水线或CI/CD无缝集成。除了压缩的源代码外,它还支持IPA、APK和APPX等移动应用程序二进制文件。使用其动态分析器,您可以执行运行时安全性和插装测试的评估。
Dexcalibur
Dexcalibur是一款反向工程Android扫描工具,专注于仪器自动化。
Dexcalibur的目标是自动化与动态仪器相关的所有乏味任务,包括:
- 搜索一些有趣的事物或模式来挂钩
- 处理挂钩收集的数据,例如dex文件、类加载器、调用的方法等
- 反编译拦截的字节码
- 编写挂钩代码
- 管理挂钩消息
Dexcalibur的静态分析引擎也可以执行部分小程序。它的目的是呈现已执行函数。根据调用堆栈深度或配置值,它还可以呈现可以执行的函数。它可以通过删除无用的不透明和跳转谓词来帮助您阅读更干净的字节码版本。
StaCoAn
StaCoAn是一款优秀的工具,帮助开发人员、道德黑客和bug-bounty猎人对移动应用程序进行静态代码分析。这个跨平台工具分析包含API密钥、API URL、硬编码凭据、解密密钥、编码错误等内容的代码行。
创建该工具的目的是为了在用户界面上提供更好的图形指导和可用性。目前,StaCoAn仅支持APK文件,IPA文件将很快提供。
正如您猜到的那样,它是开源的。
StaCoAn包括拖放功能,可以为您的移动应用程序文件生成便携和可视化报告。您甚至可以自定义词汇表和设置以获得更好的体验。这些报告可以通过反编译的应用程序轻松浏览。
使用“loot function”,您可以将有价值的发现加为书签。您还可以在提供的页面上查看所有发现。
StaCoAn支持不同的文件类型,如Java、js、XML和HTML文件。它的数据库带有一个表查看器,您可以在数据库文件中搜索关键字。
运行时移动安全
Runtime Mobile Security(RMS)的强大界面可以帮助您在运行时操纵iOS和Android应用程序。在这里,您可以立即挂钩一切,转储已加载的类,跟踪方法参数和返回值,包括自定义脚本等。
目前,RMS已在macOS上进行了测试,并支持的设备包括iPhone 7、Chrome网页接口、Amazon Fire Stick 4K和AVD模拟器。它可能需要稍微调整即可支持Linux和Windows。
使用其API监视器,您可以监视多个已分类为20种类型的Android API。您可以通过将额外的方法或类添加到JSON文件中来扩展支持,甚至可以检查诸如open、close、write、read、remove、unlink等本地函数。
包含文件管理器,因此您可以浏览应用程序的私有文件,如果需要,也可以下载它们。
Ostorlab
Ostorlab让您可以扫描您的Android或iOS应用程序,并为您提供详细的发现信息。
您可以上传APK或IPA应用程序文件,几分钟后,您将获得安全扫描报告。
Quixxi
Quixxi专注于提供移动分析,移动应用程序保护和收入损失恢复。如果您只想进行漏洞测试,那么您可以上传您的Android or iOS application file here。
扫描可能需要几分钟时间,一旦完成,您将获得漏洞报告概述。
但是,如果您想要一个全面的报告,那么您需要在他们的网站上进行免费注册。
SandDroid
SandDroid执行静态和动态分析,并为您提供综合报告。您可以上传最大为50 MB的APK或zip文件。
SandDroid由Botnet研究团队和西安交通大学开发。它目前对以下内容进行检查。
- 文件大小/哈希,SDK版本
- 网络数据,组件,代码特征,敏感API,IP分布分析
- 数据泄漏,短信,电话监视
- 风险行为和评分
QARK
QARK(Quick Android Review Kit)由LinkedIn帮助您在源代码和打包文件中找到几个Android漏洞。
QARK可免费使用,安装需要Python 2.7 +,JRE 1.6 / 1.7 +并在OSX / RHEL 6.6上进行了测试
以下漏洞中的一些可以被QARK检测到。
- 触摸劫持
- 不正确的x.509 certificate验证
- 窃听
- 源代码中的私钥
- 可利用的WebView配置
- 过时的API版本
- 潜在的数据泄漏
- 等等…
ImmuniWeb
ImmuniWeb的在线Android和iOS应用程序扫描器,可以测试应用程序是否存在OWASP移动安全十大漏洞。
它执行静态和动态安全测试,并提供可操作的报告。
您可以以PDF格式下载包含详细分析结果的报告。
结论
我希望以上漏洞扫描工具能帮助您检查您的移动应用程序安全性,以便您可以修复任何问题。如果您是安全专业人士,您可能会对learning Mobile penetration testing感兴趣。以下是八个有关better mobile security的建议。