好物推薦:移動端開發安全工具

移動安全是移動端開發的重要一環,無論是對開發或測試來說,移動端的漏洞分析/測試等工作是不可或缺的一部分。該系列總結了十余款移動安全相關工具,內含靜態、動態分析框架,同時也有一些逆向工程和滲透測試框架。

加載中

BlackBox Engine Android 虛擬引擎

BlackBox(黑盒)是一款虛擬引擎,可以在 Android 上克隆和運行虛擬應用,擁有免安裝運行能力。 黑盒可以控制被運行的虛擬應用,做任何想做的事情。
更新于 2022/06/20 13:55
BlackBox Engine Android 虛擬引擎

Androl4b 安卓安全虛擬機

AndroL4b 是一個基于 ubuntu-mate 的安卓安全虛擬機,可用于逆向工程和惡意軟件分析。 AndroL4b?包括來自不同信息安全極客和研究人員的最新框架、教程和漏洞實驗室的集合,常見的移動安全工具如?Radare2 、APKTools、ByteCodeViewer、Qark 、MARA 等,AndroL4b 均已內置。同時還有?Android Security Sandbox?、InsecureBankv2?等漏洞實驗室,可提供最新 Android 漏洞的詳細信息。
更新于 2022/06/20 11:20

JADX Dex 到 Java 反編譯器

JADX 是一個?Dex 到 Java 的反編譯器,用于從 Android Dex 和 Apk 文件生成 Java 源代碼,有命令行和 GUI 兩個版本。? JADX 的主要功能是從 APK、dex、aar、aab 和 zip 文件將 Dalvik 字節碼反編譯為 java 類,自帶去混淆器。JADX-GUI 版本還支持以高亮語法查看反編譯的代碼、提供用法指引、全文檢索和 smali 調試器等功能。 注意:在大多數情況下,jadx 無法對所有 100% 的代碼進行反編譯,因此可能會出現錯誤。出錯時請查看故障排除指南,以獲取解決方法。
更新于 2022/06/20 11:19
JADX Dex 到 Java 反編譯器

radare2 逆向工程平臺

Radare2(又名 R2) 是一個用 C 語言編寫的類 UNIX 逆向工程框架和命令行工具集。 R2?是功能強大的低級命令行工具(有一個被稱為?Cutter?的?GUI 版本)支持腳本,一般被用作跨平臺的二進制分析工具,用于分析、模擬、調試、修改和反匯編任何二進制文件。它支持在本地或通過遠程 gdb 服務器編輯本地硬盤驅動器上的文件、查看內核內存和調試程序。 R2 支持 ARM、MIPS、X86 等多個平臺,同時支持多種操作系統: Windows (since XP)、 Linux、 GNU/Hurd、iOS、?Android 、OpenBSD、 Z/OS、FirefoxOS 等。
更新于 2022/06/20 11:18
radare2 逆向工程平臺

MARA 移動端應用逆向工程框架

MARA 是一個移動應用程序逆向工程和分析框架。它將常用的移動應用逆向工程和分析工具組合在一起,用于測試移動應用,以抵御 OWASP(開放式 WEB 應用程序安全項目)的移動安全威脅。 MARA 支持?APK 逆向工程,比如將 Dalvik 字節碼反匯編為 smali 字節碼或 Java 字節碼,同時還支持 APK 反混淆、APK?執行路徑、IP 地址、URL、URI、電子郵件等基本信息的提取、APK 漏洞掃描、惡意軟件分析、APK Manifest 分析等多種功能。 MARA 還提供基于?OWASP Top Mobile Top 10?和?OWASP Mobile Apps Checklist 的源代碼靜態分析,能夠對 apk、dex 或 jar 文件執行單個或批量分析。
更新于 2022/06/20 11:17

Apktool

Apktool 是一個用于逆向工程第三方、封閉二進制 Android 應用程序的工具。它可以用來從 Android 的 apk 安裝程序中提取各種資源,將資源分解為幾乎原始的形式(比如resources.arsc、classes.dex和9.png.XMLs),并對這些資源進行修改和重新打包。 Apktool 可用于 也可將解碼的資源重建回二進制 APK/JAR 文件,由于它支持自動化的 APK 構建,因此也可以用來完成一些重復的 APK 構建任務。 Apktool 可用于應用的本地化、往應用中添加一些功能、使應用支持自定義平臺、或分析學習應用程序內部結構等用途,不適用于盜版和其他非法用途。 Apktool 依賴于:Java 8 (JRE 1.8)、 Android SDK、AAPT、smali 基礎知識 。
更新于 2022/06/20 11:17

Bytecode Viewer Java/Android 逆向工程套件

Bytecode Viewer (字節碼查看器) 是一個高級輕量級 Java/Android 逆向工程套件,可以分析 Java 8+ Jar 文件 和 Android APK 文件。 Bytecode Viewer?內置?6 個 Java 反編譯器:Krakatau、CFR、Procyon、FernFlower、JADX、JD-GUI;和 3 個內置字節碼反匯編器,包括 2 個匯編器:Krakatau 和 Smali/BakSmali ;以及 Dex2Jar 和 Enjarify 這兩個?APK/DEX 轉換器,同時擁有高級搜索、調試等功能。 Bytecode Viewer 支持含中文在內的 30 多種語言,支持解析 Class、Jar、XAPK、APK、DEX、WAR、JSP、圖像資源、文本資源等多種格式的文件,使用起來非常簡單。
更新于 2022/06/20 11:16

Adhrit APK 逆向和分析套件

Adhrit 是一個開源的 Android APK 逆向和分析套件,可提取 APK 文件中的重要信息,并使用 Ghera 基準來識別 Android 應用程序中可能存在的漏洞。 Adhrit 深入分析 APK 文件的靜態字節碼,它依賴 Python3 和 JDK ,自帶 GUI 界面,啟動時會生成可以上傳 APK 并生成報告的 Web 界面,分析完畢會生成 Json 格式的分析報告。 注意:Adhrit 分析帶有兩個“.”的文件名時(如 my.app.apk)可能會出錯。這種情況請重命名 apk 為一個 “.” (如 myapp.apk) 即可解決。
更新于 2022/06/20 11:16

MobSF 移動安全測試框架

Radare2(又名 R2) 是一個用 C 語言編寫的類 UNIX 逆向工程框架和命令行工具集。 R2?是功能強大的低級命令行工具(有一個被稱為?Cutter?的?GUI 版本)支持腳本,一般被用作跨平臺的二進制分析工具,用于分析、模擬、調試、修改和反匯編任何二進制文件。它支持在本地或通過遠程 gdb 服務器編輯本地硬盤驅動器上的文件、查看內核內存和調試程序。 R2 支持 ARM、MIPS、X86 等多個平臺,同時支持多種操作系統: Windows (since XP)、 Linux、 GNU/Hurd、iOS、?Android 、OpenBSD、 Z/OS、FirefoxOS 等。
更新于 2022/06/20 11:16
MobSF 移動安全測試框架

Infer 靜態代碼分析工具

Infer 是 Facebook 開源的靜態程序分析工具,用 OCaml 語言編寫,用于在移動應用發布之前對其代碼進行分析,找出潛在的問題。 目前 Infer 支持檢測??Java、C++、Objective-C 和 C 四種語言的代碼。對于 Android 和 Java ,Infer 主要檢查代碼中的空指針異常、資源泄漏、注釋可讀性、缺少的鎖保護和并發競爭條件。對于?C、C++ 和 iOS/Objective-C ,Infer 則主要檢查空指針的取消引用、內存泄漏、編碼約定和不可用的 API 等問題。 目前 Infer 已在 Facebook 中全面部署,持續運行以驗證?Facebook 應用程序的 Android 和 iOS、Facebook Messenger、Instagram 等應用的代碼修改。
更新于 2022/06/20 11:15

APKLeaks APK 敏感信息掃描工具

PKLeaks 是一個開源的 apk 文件敏感信息掃描工具,通過掃描 APK 文件來獲取 URI、端點和 secret 信息。 PKLeaks 使用起來非常方便,通過簡單的命令行即可完成 APK 文件的信息提取,而且支持通過配置 Json 文件來調整敏感信息的搜索規則,輸出結果支持 txt 和 Json 兩種格式(默認生成 txt 格式)。 APKLeaks 依賴于逆向工程工具 jadx,如果環境中沒有,則會提示安裝。 注意:這個包適用于 Python2,不適用 Python3。
更新于 2022/06/20 11:14

QARK 安卓應用漏洞檢查工具

QARK 全稱 Quick Android Review Kit :快速 Android 審查工具包,這個工具可用來檢查?Android 應用的源代碼和打包的 APK 中常見的安全漏洞。 QARK 自動使用多個反編譯器,利用它們的組合輸出,在反編譯 APK 時產生出色的結果。QARK 不需要 root 測試設備,因為該工具專注于尋找在安全環境下能被利用的漏洞。 與傳統工具相比,QARK 的主要優勢在于它可以生成 ADB 命令,甚至是功能齊全的 APK,從而將假設的漏洞轉化為有效的“POC”漏洞利用。此外,QARK 提供詳細的漏洞報告,使安全審查人員能夠找到對漏洞的精確且深入的解釋,并從中學習。 注意:QARK 會將 Android 應用程序反編譯回原始源代碼,這在某些情況下可能屬于違法行為,請謹慎使用。
更新于 2022/06/20 11:12

APKAnalyser Android 分析工具

APKAnalyser 是一款 Android 靜態、虛擬分析工具,用來測試和驗證 Android 應用的開發工作。 ApkAnalyser 是個完整的工具鏈,可以修改二進制應用,用戶可以改裝,安裝,運行,驗證 logcat 的結果。ApkAnalyser 同時支持資源分析,可以解碼 XML,查找資源指向和檢測應用潛在問題。 ApkAnalyser 是個獨立的 J2SE 應用,遵循 Apache 開源協議,完全使用 Java 編寫。 注意:有時 ApkAnalyser 會消耗大量內存來分析 dalvik 字節碼,很可能會耗盡內存,特別是在加載多個大的 odexed APK 文件時。此外,ApkAnalyse 是索尼公司十年前開發的工具,因此部分內容可能有些過時,感興趣的朋友可以自行了解。
更新于 2022/06/20 11:12

Amandroid Android 應用靜態分析框架

Amandroid 是 Android 應用的靜態分析框架,該框架對組件之間進行流和上下文敏感的數據流分析。 目前,使用靜態分析解決 Android 應用程序安全的工作更多地關注特定問題,大多數工具也是為特定問題專門構建。而很大一部分 Android 安全問題都可以通過一個核心問題來解決 —— 捕獲應用程序的語義行為,例如對象指向和控制 / 數據流信息。 Amandroid 正是直接處理組件間控制和數據流,因此它可用于解決不同應用程序的多個組件交互導致的安全問題。它可以通過對 Android 運行時和庫進行明確指定和合理假設,來保證應用程序中不存在指定的安全問題。 Amandroid 框架非常靈活,易于擴展其他類型的 Android 安全問題分析。
更新于 2022/06/20 11:07

沒有更多內容

加載失敗,請刷新頁面

沒有更多內容

返回頂部
頂部
一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间