10 款最佳移動 App 安全測試工具

作者 | Shormistha Chatterjee

譯者 | 王文剛

策劃 | 萬佳

移動互聯網時代，我們的生活和工作深受 App 影響。伴隨移動 App 的廣泛應用，App 安全日益重要。本文介紹了 App 開發可能用到的安全測試工具。

當今，全球移動用戶大約超過37億。Google Play 上大約有 220 萬個 App，蘋果App Store 上大約有 20 億或更多的 App。同時，根據 Flurry 統計數據表明，現在，每個人每天會在移動設備上花費近 5 個小時的時間。

移動 App 的廣泛應用，必然伴隨著新的應用安全威脅。這些攻擊與以前經典的 web app 無關。據 NowSecure 的最新研究表明，有 25% 的 App 包含高風險漏洞，常見的安全漏洞如下：

跨站腳本攻擊（XSS）

用戶敏感數據（IMEI、GPS、MAC 地址、電子郵件等）洩露

SQL 注入

網絡釣魚攻擊

數據加密缺失

OS 命令注入

惡意軟體

任意代碼執行

隨著移動 App 的增長，交付高安全性的 App 對用戶來說非常重要。

有很多原因可以解釋為什麽 App 安全測試意義非凡。比如病毒或惡意軟體感染、欺詐攻擊、安全漏洞等。移動 App 安全測試包括數據安全性、授權、身份驗證、重大漏洞等。

因此，從業務角度看，執行安全測試至關重要。對 App 開發者或開發團隊而言，需要最好的移動 App 安全測試工具來確保 app 安全。

1

Quick Android Review Kit (QARK)

QARK 由領英開發，它是一款靜態代碼分析工具，可提供有關 Android App 安全威脅的信息，並給出簡潔明了的問題描述。

它對在 Android 平台上發現 App 源代碼和 APK 文件中的安全漏洞很有幫助。

特點：

它是一款開源工具，可以提供有關安全漏洞的完整信息；

它能生成有關潛在漏洞的報告，並提供一些如何解決這些漏洞的信息。同時，它還可以突出顯示與 Android 版本有關的安全問題；

它能掃描移動 App 中的所有元素，查找安全威脅。同時，它以 APK 形式創建一個自定義應用程序來進行測試，並確定潛在問題。

2

Zed Attack Proxy

Zed Attack Proxy（ZAP） 是全球最受歡迎的免費安全測試工具之一。它是一款開源安全測試工具，在全球範圍內由數百名活躍的志願者管理。

特點：

提供 20 種不同語言的版本；

支持多種腳本語言類型；

易於安裝；

在軟體開發和測試階段，它就能自動識別 App 中的安全漏洞

3

Drozer (MWR InfoSecurity)

Drozer 是由 MWR InfoSecurity 開發的 App 安全測試框架。它可以幫助開發者確定 Android 設備中的安全漏洞。

特點：

它是一款開源工具，可同時支持真實的 Android 設備和模擬器；

通過自動化和開展複雜活動，它只需很少時間即可評估與 Android 安全相關的複雜性；

它支持 Android 平台，並在 Android 設備自身上執行啟用 Java 的代碼

4

MobSF(Mobile Security Framework)

MobSF 是一款自動化移動 App 安全測試工具，適用於iOS 和 Android，可熟練執行動態、靜態分析和 Web API 測試。

移動安全框架可用於對 Android 和 iOS 應用進行快速安全分析。MobSF 支持 binaries（IPA 和 APK）以及 zipped 的源代碼。

特點：

它是一款開源的移動 App 安全測試工具；

它可以託管在本地環境，因此重要數據不會與雲互動；

它能對三個平台（Android、iOS、Windows）的移動 App進行更快的安全性分析。同時，開發人員可以在開發階段識別出安全漏洞。

5

ADB (Android Debug Bridge）

Android Debug Bridge 簡稱ADB，它是用於專門與運行 Android 設備進行通信的命令行移動應用程序測試工具。

它提供了一個終端接口，用於控制使用 USB 連接到計算機的 Android 設備。ADB 可用於安裝 / 卸載應用程序、運行 Shell 命令、重啟、傳輸文件等。並且，可以使用此類命令輕鬆還原 Android 設備。

特點：

ADB 可輕鬆與谷歌的 Android Studio 集成開發環境進行集成；

實時監控系統事件。它允許使用 Shell 命令在系統級別進行操作；

它使用藍牙、WiFi、USB 等與設備通信

6

Micro Focus (Fortify)

Micro Focus 主要為用戶提供安全和風險管理、混合 IT、DevOps 等領域的企業服務和解決方案。它提供各種跨平台、設備、伺服器、網絡等綜合應用程序的安全測試服務。

Fortify 是 Micro Focus 最智能的安全測試工具之一，可在安裝到移動設備前保護移動 App 的安全。

特點：

它使用靈活的交付模型執行端到端測試；

安全測試包括靜態代碼分析和針對移動 App 的掃描，並給出準確結果；

它有助於識別跨網絡、伺服器和客戶端的安全漏洞；

它支持各種平台，例如Windows、iOS、Android 和 Blackberry。

7

CodifiedSecurity

它是一款著名的自動化移動 App 安全測試工具。

CodifiedSecurity 可以發現並修複安全漏洞，並確保足夠安全地使用移動應用程序。它提供實時反饋。

特點：

它同時支持 Android 和 iOS 平台；

它遵循用於安全測試的程序化方法，該方法可確保測試結果可靠；

靜態代碼分析和機器學習為它提供支持。它還支持靜態測試和動態測試；

它可以在不獲取源代碼的情況下測試移動 App

8

WhiteHat Security

WhiteHat Sentinel Mobile Express 是 WhiteHat Security 提供的安全評估和測試平台。

它被 Gartner 認可為安全測試的領導者，並贏得多個獎項。它能提供諸如移動 app 安全測試、web app 安全測試和基於計算機的培訓解決方案等服務。

特點：

它是基於雲的安全平台，並使用其靜態和動態技術提供快速的解決方案；

WhiteHat Sentinel 支持 iOS 和 android 平台，可提供有關項目狀況的完整信息；

與任何其他工具或平台相比，它能輕鬆地檢測漏洞；

通過在真實設備上安裝移動 App 進行測試，無需模擬器

9

Kiuwan

它提供領先的技術覆蓋範圍，可對移動 App 進行360°的安全性測試。它包括靜態代碼分析和軟體組成分析，以及軟體開發生命周期的自動化

10

Veracode

Veracode 向全球客戶提供移動應用程序安全性服務。

它使用基於雲的自動化服務，為移動應用程序和 Web 安全提供了解決方案。Veracode 的 MAST（移動應用程序安全測試）服務可以確定移動 App 中的安全問題，並立即采取行動解決問題。

點個在看少個 bug