一般軟件我們經常是版本迭代,很少關注其安全性,許多Android應用程序存儲敏感的用戶數據,但缺乏基本的安全級別。 Play Store中很多非常受歡迎的應用程序都存在嚴重的漏洞和漏洞,因此任何具有足夠體面技能的黑客都可以在幾乎任何時間輕鬆利用。
下面講介紹一些有用的工具,可以分析你的Android應用程序並加強他們的安全性。
如果您是一名安全研究員,喜歡使用不同的應用程序並發現其弱點,那麼這些信息也會對您有所幫助。 使用這些工具分析任何Android應用程序,以查找可能會損害應用程序用戶的安全漏洞和漏洞。
Androguard
https://github.com/androguard/androguard
Androguard是一款功能強大且維護良好的用於Python的反向工程工具。 它可以給你很多控制操作你的應用程序的DEX文件。 它還可以幫助您執行靜態代碼分析並診斷您的應用程序是否存在惡意軟件。
它還附帶了其他有用的功能,例如檢查兩個Android Package Kit(APK)文件的“差異”,測量各種混淆器(如ProGuard和DexGuard)的效率,並檢查被測試的應用程序是否被非法修改或篡改用。
ApkTool
https://github.com/iBotPeaches/Apktool
這是另一個非常流行和定期更新的Android反向工程工具。 它最初於2010年發佈,隨著時間的推移發生了很大變化。
您可以使用此工具來打開任何封閉的第三方Android應用程序,並將其轉換為其原始形式,分析它,然後使用自定義修改重新構建它。 它使用熟悉的類似項目的文件結構使逆向工程變得非常簡單。 它還簡化並消除了逆向工程過程中涉及的冗餘操作。
Appknox
https://www.appknox.com/
Appknox是最全面的安全測試工具之一。 它會靜態分析代碼二進制文件,查找應用程序任何角落的潛在安全漏洞和漏洞。
自動化測試只能在一定程度上提供幫助,所以Appknox將遊戲提升到了一個新的水平。 它使用著名的道德黑客手動測試您的應用程序,以發現深層次的安全漏洞,敏感數據洩露以及可能受到影響的其他潛在弱點。
CharlesProxy
https://www.charlesproxy.com/
這個功能強大且有用的工具可以幫助您在應用程序中代理和調試各種與HTTP相關的內容。 它不是特定於Android的; 它也可以與iOS一起使用。
CharlesProxy基本上位於你的應用和互聯網之間。 它可以幫助檢查甚至改變你的應用與網絡的對話方式。
您可以使用任何應用程序,開始攔截,並在發生網絡請求時查看。 這可以使測試和診斷安全漏洞變得簡單方便。 不僅如此,您還可以修改您的應用製作的請求並測試不同的邊緣情況。
使用參考文章:
https://blog.csdn.net/jia635/article/details/52850105
ClassyShark
https://github.com/google/android-classyshark
ClassyShark是一款簡單易用的Android二進制檢測工具。 您可以瀏覽所有類,成員和依賴項,並輕鬆檢查任何應用程序的方法數量。 我發現ClassyShark能夠與任何應用程序完美協作。
它還具有便於瀏覽的便捷軟件包式文件結構。 “Methods Count”選項卡是真正的生命保護程序,可以告訴您每個軟件包對您的應用程序貢獻的方法數量。
DeGuard
http://apk-deguard.com/
這是一個強大的在線工具,它使用機器學習來扭轉代碼混淆器的影響。DeGuard利用人工智能的優勢提供出色的逆向工程。
每次我嘗試過它都能很好地工作。 而最好的一點是,它使用得越多,它的AI就越好。
DevKnox
https://devknox.io/
該工具可以不斷幫助開發人員提高代碼的安全性。 它在開發應用程序時直接在IDE中自動糾正幾個已知的安全問題。
DevKnox在Android Studio中運行良好,並瞭解您正在編寫的代碼的上下文。 它為您提供實時安全建議和一鍵修復,顯著提高您的工作效率。
Dex2Jar
https://github.com/pxb1988/dex2jar
Dex2Jar是一種流行且維護良好的工具。 它包含了很多用於反向工程Android應用程序的有用功能。 例如,您可以使用它輕鬆讀取和寫入DEX文件,並對其進行翻譯或修改。
您可以將所有DEX文件轉換為類文件,並將它們全部壓縮為Java歸檔(JAR)文件格式。 您還可以將DEX文件反彙編到smali文件,並將它們從smali重新組裝回DEX。
DexGuard
https://www.guardsquare.com/en/dexguard
在發佈之前幾乎必須通過一些混淆器來傳遞Android應用程序。 您可能使用ProGuard作為您的默認混淆工具,而且工作得很好。 但DexGuard(來自ProGuard自己的製造商)顯著提升了預測。
DexGuard包括類加密,字符串加密(隱藏鍵現在變得非常容易),調用隱藏反射和本地代碼混淆等高級功能。 這可能會讓別人難以對您的應用程序進行逆向工程。 該工具還提供了幾個很酷的實用程序來檢測被篡改的APK,Xposed框架,紮根設備等。
Drozer
https://github.com/mwrlabs/drozer
Drozer是一個強大而全面的安全審計框架。 使用Drozer審核您的應用和設備可以讓您相信,它們不會帶來任何不可接受的安全漏洞或風險。
該工具還可以通過自動執行幾項繁瑣且耗時的任務,使得安全評估真正快速無縫地完成,例如:
1. 發現並與Android應用程序公開的攻擊面進行交互
2. 在設備上執行動態Java代碼,避免編譯和安裝小測試腳本的需要
3. 針對安全問題運行迴歸測試
4. 測試你的公開風險
Inspeckage
https://github.com/ac-pm/Inspeckage
Inspeckage是另一個令人敬畏的安全測試工具。 它包含了一些功能,可讓您執行Android應用程序的動態分析(惡意軟件分析或滲透測試),讓您能夠熟練測試各種API。
它還附帶了一個內置的網絡應用程序,可讓您在簡單直觀的GUI中執行所有操作。 這個工具的強大和簡單性的結合使它成為必備。
Intent Sniffer
https://www.nccgroup.trust/us/about-us/resources/intent-sniffer/
意圖嗅探器允許您監視或窺探任何Android應用程序中的任何意圖(例如開始活動或服務)。 它還允許您在運行時動態更新意向操作和類別。
這對於測試您希望從一個活動發送到另一個活動或發送到服務的各種數據來說非常有用,可以發現應用程序中的潛在弱點。
QARK
https://github.com/linkedin/qark
QARK代表Quick Android Review Kit,是由LinkedIn開發的一種有用的安全工具。 它不僅有助於在源代碼中查找常見安全漏洞,而且還可以在Android應用的打包APK中查找常見安全漏洞。
它也很容易使用,給你很多深入的解釋漏洞。 QARK的反編譯結果遠遠優於其他反編譯器的反編譯結果,因為它使用多個反編譯器並將其輸出結合起來以獲得更好的結果
Tracedroid
http://tracedroid.few.vu.nl/
Tracedroid是一款適用於Android應用程序的自動動態分析工具。 它可讓您分析受測試應用程序的多個方面,例如網絡通信,UI交互,內部代碼功能等。
要開始自動分析,您只需上傳受測試的APK,即可開始。
VirtualAPK
https://github.com/didi/VirtualAPK
這是一個強大的Android插件框架,可以讓您無縫地加載和運行任何APK文件 - 就像它是在您的設備上正確安裝的應用程序一樣。 通過允許您訪問任何活動,服務,接收者,提供者或類作為插件,這可以使分析變得更加容易。
VirtualAPK可以在各種Android版本(API 15+)和設備上測試大量原生Android功能
Xposed Framework
http://repo.xposed.info/
Xposed框架可以很容易地使用Android掛鉤對您的應用程序進行動態分析。 它是迄今為止Android社區中最流行的鉤子框架之一。
它使您能夠以任何您想要的方式更改操作系統或任何應用程序的功能。 它還允許您創建附加組件(通常稱為模塊),該組件可以掛接到任何方法並更改其功能,從而允許您在運行時分析和測試任何應用程序。
=================================================================
如果您有其他工具可以推薦用於提高Android應用程序的安全性,請在評論中分享它們。
閱讀更多 全棧取經之路 的文章
