移动互联网时代,我们的生活和工作深受Apps的影响。随着移动应用程序的广泛使用,应用程序安全变得越来越重要。本文介绍了App开发中可能用到的安全测试工具。今天,全球大约有超过37亿移动用户。GooglePlay上大约有220万个应用程序,Apple的AppStore上有大约20亿个或更多的应用程序。同时,根据Flurry的统计,现在每个人每天花在移动设备上的时间接近5小时。移动应用的广泛应用必然伴随着新的应用安全威胁。这些攻击与之前的经典网络应用程序无关。根据NowSecure的最新研究,25%的应用程序存在高危漏洞。常见的安全漏洞如下:跨站脚本攻击(XSS)用户敏感数据(IMEI、GPS、MAC地址、邮箱等)泄露SQL注入钓鱼攻击数据加密缺失操作系统命令注入恶意软件任意代码执行随着移动应用程序的增长,用户交付具有高安全性的应用程序非常重要。应用程序安全测试有意义的原因有很多。示例包括病毒或恶意软件感染、欺诈攻击、安全漏洞等。移动应用程序安全测试包括数据安全、授权、身份验证、严重漏洞等。因此,从业务角度来看,执行安全测试至关重要。对于应用程序开发人员或开发团队,需要最好的移动应用程序安全测试工具来确保应用程序安全。1.QuickAndroidReviewKit(QARK)由LinkedIn开发,QARK是一个静态代码分析工具,提供有关AndroidApp安全威胁的信息,并给出简洁明了的问题描述。它对于在Android平台上查找App源代码和APK文件中的安全漏洞很有用。特点:它是一个开源工具,可以提供有关安全漏洞的完整信息;它可以生成有关潜在漏洞的报告,并提供一些有关如何解决这些漏洞的信息。同时,还可以突出安卓版本相关的安全问题;它扫描移动应用程序的所有元素以查找安全威胁。同时,它创建一个自定义应用程序作为APK来测试和识别潜在问题。2.ZedAttackProxyZedAttackProxy(ZAP)是世界上最受欢迎的免费安全测试工具之一。它是由全球数百名活跃志愿者管理的开源安全测试工具。特点:提供20种不同的语言版本;支持多种脚本语言类型;易于安装;在软件开发测试阶段,自动识别App安全漏洞3.Drozer(MWRInfoSecurity)Drozer是MWRInfoSecurity开发的App安全测试框架。它可以帮助开发人员识别Android设备中的安全漏洞。特点:它是一个开源工具,同时支持真实的Android设备和模拟器;通过自动化和执行复杂的活动,只需很少的时间来评估Android安全相关的复杂性;它支持Android平台,并在Android设备本身上执行支持Java的代码4.MobSF(MobileSecurityFramework)MobSF是一款适用于iOS和Android的自动化移动App安全测试工具,能够熟练地进行动态、静态分析和WebAPI测试。移动安全框架可用于对Android和iOS应用程序进行快速安全分析。MobSF支持二进制文件(IPA和APK)以及压缩源代码。特点:是一款开源的移动App安全测试工具;可托管在本地环境,重要数据不与云端交互;它可以在三个平台(Android、iOS、Windows)上对移动应用程序进行更快的安全分析测试。同时,开发人员可以在开发阶段识别安全漏洞。5、ADB(AndroidDebugBridge)AndroidDebugBridge,简称ADB,是一个命令行的移动应用程序测试工具,用于与Android设备进行通信。它提供了一个终端接口,用于控制使用USB连接到计算机的Android设备。ADB可用于安装/卸载应用程序、运行shell命令、重启、传输文件等。而且,可以使用此类命令轻松恢复Android设备。特点:ADB可以方便的与谷歌的AndroidStudio集成开发环境集成;实时监控系统事件。它允许使用Shell命令在系统级别进行操作;它使用蓝牙、WiFi、USB等与设备通信。6.MicroFocus(Fortify)MicroFocus主要为用户提供企业服务和解决方案。提供跨平台、跨设备、跨服务器、跨网络等综合应用的多种安全测试服务。Fortify是MicroFocus最智能的安全测试工具之一,可在移动应用程序安装到移动设备之前对其进行保护。特点:它使用灵活的交付模型执行端到端测试;安全测试包括静态代码分析和移动应用程序扫描,并给出准确的结果;它有助于识别跨网络、服务器和客户端的安全漏洞;支持Windows、iOS、Android、黑莓等多种平台。7.CodifiedSecurity是一个著名的自动化移动应用程序安全测试工具。CodifiedSecurity发现并修复安全漏洞,使移动应用程序足够安全以供使用。它提供实时反馈。特点:同时支持Android和iOS平台;它遵循安全测试的程序化方法,确保可靠的测试结果;它由静态代码分析和机器学习提供支持。它还支持静态测试和动态测试;它可以在不获取源代码的情况下测试移动应用程序8。WhiteHatSecurityWhiteHatSentinelMobileExpress是WhiteHatSecurity提供的安全评估和测试平台。它被Gartner公认为安全测试的领导者,并赢得了多个奖项。它提供诸如移动应用程序安全测试、Web应用程序安全测试和基于计算机的培训解决方案等服务。特点:它是一个基于云的安全平台,并利用其静态和动态技术提供快速解决方案;WhiteHatSentinel支持iOS和android平台,提供完整的项目状态信息;与任何其他工具或平台相比,它可以轻松检测漏洞;真机安装手机APP测试,无需模拟器9.Kiuwan技术覆盖领先,可对手机APP进行360°安全测试。它包括静态代码分析和软件组成分析,以及软件开发生命周期的自动化10.VeracodeVeracode为全球客户提供移动应用程序安全服务。它使用基于云的自动化服务为移动应用程序和Web安全提供解决方案。Veracode的MAST(移动应用程序安全测试)服务可识别移动应用程序中的安全问题并立即采取措施解决这些问题。
