软件测试工程师用5分钟时间,把这篇文章阅读完,如有帮助关注我!
废话不多说,直接干货分享!
移动应用安全近几年越来越被重视,目前针对移动端的应用也越来越多,每天有大量的数据从移动端发出,部分数据在移动端进行处理,移动应用安全在今天显得尤为重要,那么如何能及时发掘移动APP的潜在漏洞,以免被者利用造成破坏呢,测试是目前发掘漏洞的有效方法。
服务器安全检测重点包含以下测试点:
在开始测试前,首先安装待测移动APP,通过缜密的训练技巧以及逆向、发散思维,使用所有可达的技术方法进行。
服务器端安全检测采向系统中输入敏感/边界等不安全的数据,观察其在系统中的运行、作用以及存储,做出相应的安全性评估;
通讯安全检测,会尝试截取客户端与服务器之间的通讯信息、通过伪造通讯证书进行中间人等;客户端安全,则依据应用的类型与功能,使用移动设备或者模拟器进行安全测试。
给大家分享几种安全测试工具,希望能给大家带来帮助:
1. MobSF (Mobile Security Framework)
Mobile Security Framework 是一个自动化的移动app安全测试工具,支持Android和iOS双平台,能够进行静态、动态分析以及web API测试。MobSF经常被用来对Android或iOS app进行快速安全分析,支持二进制(APK&IPA)形式以及源代码的zip压缩包。
2. Drozer
Drozer 是一个相当全面的Android安全与***框架,这个移动app安全测试工具能够通过进程间通讯机制(IPC)与其他Android应用和操作系统互动,这种互动机制使其有别于其他自动化扫描工具。
3.OWASP Zed Attack Proxy (ZAP)
OWASP ZAP 是目前最流行的免费APP移动安全测试工具,由全球数百个志愿者维护。该工具可以在APP的开发和测试阶段自动查找安全漏洞。OWASP ZAP同时还是高水平***测试专家非常喜爱的手动安全测试工具。
4. iMAS
iMAS 也是一个开源移动app安全测试工具,可以帮开发者在开发阶段遵守安全开发规则,例如应用数据加密、密码提示、预防应用程序篡改、在iOS设备中部署企业安全策略等。无论是检查设备越狱,保护驻内存敏感信息还是防范二进制补丁,iMAS能为你的iOS程序在充满敌意的环境中提供安全保障。
5.QARK (Quick Android Review Kit)
QARK 是一种Android程序源代码安全漏洞分析工具。该工具有自己的开发社区,任何人都可以免费使用。QARK还会尝试提供提供动态生成的Android Debug Bridge(ADB)命令来帮助核实潜在漏洞。
6 .Devknox
对于使用Android Studio开发Android应用程序的开发者来说,Devknox是此类移动安全检测工具种的佼佼者,Devknox不但能检测基本的移动安全问题,还能向开发者提供问题修复的实时建议。
7.Mitmproxy
Mitmproxy 是一个免费的开源工具,可以用于拦截、检测、修改或延迟app与后端服务之间的通讯数据,该工具的名字也可以看出这是一种类似中间人***的测试模式。