9 סורק אפליקציות סלולריות למציאת פגיעויות אבטחה

בדוק אם יש ליישום הנייד שלך ליקויים ביטחוניים ומתקן אותו לפני שהוא פוגע במוניטין העסקי שלך.


המחקר האחרון של NowSecure מראה כי 25% מהאפליקציות לנייד מכיל לפחות פגיעות אבטחה בסיכון גבוה.

59% מאפליקציית הכספים באנדרואיד היו שלושה סיכונים מובילים של OWAS Mobile.

השימוש בסלולרי הולך וגדל ולכן אפליקציות לנייד. יש יותר משני מיליארד אפליקציות בחנות Apple App & 2.2 מיליון בחנות Google Play.

ישנם סוגים שונים של פגיעויות, וחלקם סכנות הם:

  • נתונים דלפים על ידי המשתמשים האישיים (דוא”ל, אישורים, IMEI, GPS, כתובת MAC) ברשת
  • תקשורת דרך הרשת ללא מעט הצפנה
  • בעל קובץ קריא / ניתן לכתיבה בעולם
  • ביצוע קוד שרירותי
  • תוכנות זדוניות

אם אתה הבעלים, המפתח, עליך לעשות כל שנדרש כדי לאבטח את האפליקציה שלך לנייד.

לאתר יש שפע של סורקי פגיעות אבטחה, והדברים הבאים אמורים לעזור לך למצוא את פגמי האבטחה באפליקציות לנייד..

חלק מהקיצור ששימש בפוסט זה.

  • APK – ערכת חבילות אנדרואיד
  • IPA – ארכיון יישומי אייפון
  • IMEI – זהות ציוד סלולרי בינלאומי
  • GPS – מערכת מיקום גלובלית
  • MAC – בקרת גישה למדיה
  • API – ממשק תכנות יישומים
  • OWASP – פרויקט אבטחת יישומי אינטרנט פתוח

אוסטורלב

אוסטורלב מאפשר לך לסרוק את אפליקציית Android או iOS ולתת לך את המידע המפורט על הממצא.

אתה יכול להעלות את קובץ היישום APK או IPA, ותוך מספר דקות תקבל את דוח סריקת האבטחה.

הגודל המרבי של קובץ האפליקציה שתוכלו להעלות לסריקה הוא 60MB עם זאת, אם גודל האפליקציה שלך גדול מ- 60MB, אתה יכול ליצור איתם קשר כדי להעלות באמצעות שיחת API.

זה מבוסס על קוד פתוח כמו אנדרוגוארד, Radare2. זה יהיה טוב לסרוק את היישום הנייד שלך בחינם באמצעות Ostorlab.

Appvigil

מצא את פרצה האבטחה ביישום הנייד שלך באמצעות Appvigil ולקבל דוח פגיעות מעמיק תוך דקות.

עם Appvigil אתה מקבל לא רק פרטי סיכון בטיחותי אלא גם את המלצת התיקון, כך שתוכל לתקן אותו מייד.

אינך צריך להתקין תוכנה משום שהכל נעשה בענן Appvigil.

לאחר שתעלה קובץ APK או IPA, הוא יבצע סטטי ו דינמי ניתוח באפליקציה שלך (Android / iOS) כולל OWASP המובילים 10 פגיעויות.

קוויקסי

קוויקסי מתמקדת במתן ניתוחים ניידים, הגנה על אפליקציות לנייד & הפסד הכנסות מהתאוששות. אם אתה רק מחפש לעשות זאת מבחן פגיעות, אז אתה יכול להעלות את קובץ יישום אנדרואיד או iOS כאן.

הסריקה עשויה לארוך מספר דקות ופעם אחת שהיא תעשה; תקבל סקירה של דוח הפגיעות.

עם זאת, אם אתה מחפש את דוח מקיף, אז עליכם לבצע הרשמה בחינם באתר האינטרנט שלהם.

AndroTotal

כפי שהשם מציין, זה חל רק על אפליקציות אנדרואיד. AndroTotal סרוק קובץ APK לוירוסים & תוכנות זדוניות. זה בודק נגד האנטי-וירוס הבא.

  • מקאפי
  • TrustGo
  • ESET
  • קומודו
  • ממוצע
  • אבירה
  • ביטפנדר
  • צ’יהו

אם אתה מחפש בדיקה מהירה של קבצי APK שלך לוירוסים, סריקת AndroTotal תהיה הזכייה המהירה..

אקנה

אקנה הוא כלי ניתוח אינטראקטיבי לאפליקציות אנדרואיד. אקנה בודק באפליקציה שלך קוד זדוני ומעניק לך סיכום יפה של האפליקציה שלך.

זה בחינם אז קדימה נסה לבדוק אם ליישום Android שלך יש קוד זדוני.

NVISO

Nviso APKSCAN הוא כלי מקוון שימושי נוסף לסריקת האפליקציה שלך מפני תוכנות זדוניות. קבלת תוצאות סריקה עשויה לארוך זמן על סמך התור, כך שתוכל להזין את כתובת הדוא”ל שלך כדי לקבל הודעה פעם אחת דוח סריקה זמין.

בדקתי את יישום הדמה שלי עם Nviso ויכולתי לראות שהוא נבדק את הדברים הבאים.

  • פעילות דיסק
  • בדיקת וירוסים
  • פעילות רשת
  • יכול לבצע שיחת טלפון, לשלוח SMS או לא
  • פעילות קריפטוגרפית
  • דליפת מידע

SandDroid

SandDroid מבצע ניתוח סטטי ודינאמי ומעניק לך דוח מקיף. ניתן להעלות קובץ APK או מיקוד עם מקסימום 50 מגה בייט.

SandDroid פותח על ידי צוות המחקר של Botnet & אוניברסיטת שיאן ג’יאוטונג. כעת הוא מבצע בדיקות על הדברים הבאים.

  • גודל קובץ / hash, גרסת SDK
  • נתוני רשת, רכיב, תכונת קוד, API רגיש, ניתוח חלוקת IP
  • דליפת נתונים, SMS, צג שיחת טלפון
  • התנהגות סיכון וציון

תסתכל על כמה דוח סריקה לקבל רעיון.

QARK

QARK (ערכת סקירה מהירה של אנדרואיד) מאת לינקדאין עוזרת לך למצוא כמה פגיעויות אנדרואיד בקוד המקור ובקובץ הארוז.

QARK חופשי לשימוש ולהתקנתו דורש Python 2.7+, JRE 1.6 / 1.7 + ונבדק ב- OSX / RHEL 6.6

חלק מהפגיעויות שלהלן ניתנות לגילוי על ידי QARK.

  • הברגה
  • אימות אישור x.509 לא תקין
  • צניחה מרווחת
  • המפתח הפרטי בקוד המקור
  • תצורות WebView ניתנות לשימוש
  • גרסאות API מיושנות
  • דליפת נתונים פוטנציאלית
  • ועוד הרבה…

סורק אפליקציות לנייד

סורק אפליקציות אנדרואיד ו- iOS מקוון מאת גשר ההייטק מבחן יישום כנגד 10 הפגיעויות המובילות של OWASP לנייד.

הוא מבצע מבחן אבטחה סטטי ודינאמי ומספק דוח הניתן לפעולה.

ניתן להוריד את הדוח בפורמט PDF הכולל את תוצאות הניתוח המפורטות.

אני מקווה שסורקי פגיעות לעיל יעזרו לכם לבדוק את אבטחת אפליקציות סלולריות ותקן אם נמצא ממצא כלשהו.

יתכן שגם אתה מעוניין לימוד בדיקות חדירה לנייד.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map