9 Trình quét ứng dụng di động để tìm lỗ hổng bảo mật

Kiểm tra xem Ứng dụng di động của bạn có bất kỳ lỗ hổng bảo mật và sửa nó trước khi nó làm tổn hại đến uy tín kinh doanh của bạn.


Nghiên cứu mới nhất của NowSecure cho thấy 25% ứng dụng di động chứa ít nhất một lỗ hổng bảo mật rủi ro cao.

59% ứng dụng tài chính trên Android có ba rủi ro hàng đầu của OWAS Mobile.

Sử dụng di động đang phát triển vì vậy Ứng dụng di động. Có hơn 2 tỷ ứng dụng trong Apple App Store & 2,2 triệu trong Cửa hàng Google Play.

Có nhiều loại lỗ hổng và một số nguy hiểm Chúng tôi:

  • Rò rỉ dữ liệu nhạy cảm của người dùng cá nhân (email, thông tin xác thực, IMEI, GPS, địa chỉ MAC) qua mạng
  • Giao tiếp qua mạng với ít hoặc không có mã hóa
  • Có tập tin thế giới có thể đọc / ghi được
  • Thực thi mã tùy ý
  • Phần mềm độc hại

Nếu bạn là chủ sở hữu, nhà phát triển thì bạn nên làm tất cả những gì cần thiết để bảo mật ứng dụng di động của mình.

Có rất nhiều trình quét lỗ hổng bảo mật cho trang web và những điều sau đây sẽ giúp bạn tìm ra các lỗi bảo mật trong ứng dụng Di động.

Một số từ viết tắt được sử dụng trong bài này.

  • APK – Bộ gói Android
  • IPA – Lưu trữ ứng dụng iPhone
  • IMEI – Nhận dạng thiết bị di động quốc tế
  • GPS – Hệ thống định vị toàn cầu
  • MAC – Kiểm soát truy cập phương tiện truyền thông
  • API – Giao diện lập trình ứng dụng
  • OWASP – Dự án bảo mật ứng dụng web mở

Ostorlab

Ostorlab cho phép bạn quét ứng dụng Android hoặc iOS của bạn và cung cấp cho bạn thông tin chi tiết về việc tìm kiếm.

Bạn có thể tải lên tệp ứng dụng APK hoặc IPA và trong vài phút, bạn sẽ có báo cáo quét bảo mật.

Kích thước tối đa của tệp ứng dụng bạn có thể tải lên để quét là 60 MB Tuy nhiên, nếu kích thước ứng dụng của bạn lớn hơn 60MB, thì bạn có thể liên hệ với họ để tải lên thông qua lệnh gọi API.

Dựa theo mã nguồn mở như Androguard, Radare2. Sẽ rất tốt nếu quét ứng dụng di động của bạn MIỄN PHÍ với Ostorlab.

Phúc thẩm

Tìm lỗ hổng bảo mật trong ứng dụng di động của bạn với Phúc thẩm và nhận báo cáo lỗ hổng chuyên sâu trong vài phút.

Với Appvigil, bạn không chỉ nhận được một chi tiết nguy hiểm về an toàn mà còn cả khuyến nghị về bản vá để bạn có thể khắc phục ngay lập tức.

Bạn không cần cài đặt bất kỳ phần mềm nào vì mọi thứ đều được thực hiện tại Appvigil trên nền tảng đám mây.

Khi bạn tải lên tệp APK hoặc IPA, nó sẽ thực hiện tĩnhnăng động phân tích trên ứng dụng của bạn (Android / iOS) bao gồm Top 10 di động của OWASP lỗ hổng.

Quixxi

Quixxi tập trung vào việc cung cấp phân tích di động, bảo vệ ứng dụng di động & phục hồi tổn thất doanh thu. Nếu bạn chỉ muốn làm một kiểm tra lỗ hổng, sau đó bạn có thể tải lên Tệp ứng dụng Android hoặc iOS tại đây.

Quá trình quét có thể mất vài phút và sau khi thực hiện; bạn sẽ nhận được một tổng quan báo cáo lỗ hổng.

Tuy nhiên, nếu bạn đang tìm kiếm báo cáo toàn diện, sau đó bạn phải đăng ký MIỄN PHÍ trên trang web của họ.

AndroTotal

Như tên cho thấy, điều này chỉ áp dụng cho các ứng dụng Android. AndroTotal quét tập tin APK để tìm virus & phần mềm độc hại. Nó kiểm tra chống vi-rút sau đây.

  • McAfee
  • Tin tưởng
  • ESET
  • Comodo
  • AVG
  • Avira
  • Bitdefender
  • Qihoo

Nếu bạn đang tìm kiếm một bản kiểm tra nhanh trên các tệp APK của mình để tìm vi-rút, thì quét AndroTotal sẽ là chiến thắng nhanh chóng.

Akana

Akana là công cụ phân tích tương tác cho các ứng dụng Android. Akana kiểm tra ứng dụng của bạn để tìm mã độc và cung cấp cho bạn một bản tóm tắt hay về ứng dụng của bạn.

Nó miễn phí vì vậy hãy tiếp tục và thử xem ứng dụng Android của bạn có mã độc nào không.

NVISO

Nviso APKSCAN là một công cụ trực tuyến tiện dụng khác để quét ứng dụng của bạn để tìm phần mềm độc hại. Nhận kết quả quét có thể mất thời gian dựa trên hàng đợi để bạn có thể nhập địa chỉ email của mình để nhận thông báo một lần quét báo cáo có sẵn.

Tôi đã kiểm tra ứng dụng giả của mình với Nviso và có thể thấy nó đã thử nghiệm như sau.

  • Hoạt động của đĩa
  • Tra cứu virus
  • Hoạt động mạng
  • Có thể gọi điện thoại, gửi SMS hay không
  • Hoạt động mật mã
  • Rò rỉ thông tin

SandDroid

SandDroid thực hiện phân tích tĩnh và động và cung cấp cho bạn một báo cáo toàn diện. Bạn có thể tải lên tệp APK hoặc zip với tối đa 50 MB.

SandDroid được phát triển bởi nhóm nghiên cứu Botnet & Đại học Giao thông Xi Xian. Nó hiện đang thực hiện kiểm tra như sau.

  • Kích thước tệp / hàm băm, phiên bản SDK
  • Dữ liệu mạng, thành phần, tính năng mã, API nhạy cảm, phân tích phân phối IP
  • Rò rỉ dữ liệu, tin nhắn SMS, màn hình cuộc gọi điện thoại
  • Hành vi và điểm số rủi ro

Hãy nhìn vào một số quét báo cáo Để có được một ý tưởng.

QARK

QARK (Bộ đánh giá Android nhanh) của LinkedIn giúp bạn tìm thấy một số lỗ hổng Android trong mã nguồn và tệp đóng gói.

QARK miễn phí sử dụng và để cài đặt, nó yêu cầu Python 2.7+, JRE 1.6 / 1.7 + và được thử nghiệm trên OSX / RHEL 6.6

Một số lỗ hổng sau đây có thể được phát hiện bởi QARK.

  • Tapjacking
  • Xác thực chứng chỉ x.509 không đúng
  • Nghe trộm
  • Khóa riêng trong mã nguồn
  • Cấu hình WebView có thể khai thác
  • Các phiên bản API lỗi thời
  • Rò rỉ dữ liệu tiềm năng
  • và nhiều hơn nữa…

Máy quét ứng dụng di động

Trình quét ứng dụng Android và iOS trực tuyến của Cầu công nghệ cao thử nghiệm ứng dụng chống lại lỗ hổng top 10 di động của OWASP.

Nó thực hiện kiểm tra bảo mật tĩnh và động và cung cấp một báo cáo hành động.

Bạn có thể tải xuống báo cáo ở định dạng PDF có chứa kết quả phân tích chi tiết.

Tôi hy vọng máy quét lỗ hổng trên giúp bạn kiểm tra bảo mật ứng dụng di động và sửa chữa nếu có phát hiện.

Bạn cũng có thể quan tâm học thử nghiệm thâm nhập di động.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map