根據(jù)Statista的統(tǒng)計，2017年全球APP下載數(shù)累計高達(dá)1970億次，而根據(jù)checkpoint的企業(yè)移動安全調(diào)查報告，79%的IT專業(yè)人士認(rèn)為保護(hù)移動設(shè)備安全的難度越來越大，與此同時越來越多的APP曝光安全問題，例如Ioactive最新報告顯示全球21款主流移動證券APP的安全現(xiàn)狀非常糟糕。

[[214175]]

雖然移動安全威脅與日俱增，但也有利好消息，例如市場上涌現(xiàn)了大量app安全測試工具，涵蓋主動威脅監(jiān)測、惡意軟件分析、實(shí)時安全測試等多個領(lǐng)域，以下為您推薦七個有代表性的免費(fèi)APP應(yīng)用安全測試工具：

1. OWASP Zed Attack Proxy (ZAP)

OWASP ZAP 是目前最流行的免費(fèi)APP移動安全測試工具，由全球數(shù)百個志愿者維護(hù)。該工具可以在APP的開發(fā)和測試階段自動查找安全漏洞。OWASP ZAP同時還是高水平滲透測試專家非常喜愛的手動安全測試工具。

2. QARK (Quick Android Review Kit)

QARK 是一種Android程序源代碼安全漏洞分析工具。該工具有自己的開發(fā)社區(qū)，任何人都可以免費(fèi)使用。QARK還會嘗試提供提供動態(tài)生成的Android Debug Bridge(ADB)命令來幫助核實(shí)潛在漏洞。

3. Devknox

對于使用Android Studio開發(fā)Android應(yīng)用程序的開發(fā)者來說，Devknox是此類移動安全檢測工具種的佼佼者，Devknox不但能檢測基本的移動安全問題，還能向開發(fā)者提供問題修復(fù)的實(shí)時建議。

4. Drozer

Drozer 是一個相當(dāng)全面的Android安全與攻擊框架，這個移動app安全測試工具能夠通過進(jìn)程間通訊機(jī)制(IPC)與其他Android應(yīng)用和操作系統(tǒng)互動，這種互動機(jī)制使其有別于其他自動化掃描工具。

5. MobSF (Mobile Security Framework)

Mobile Security Framework 是一個自動化的移動app安全測試工具，支持Android和iOS雙平臺，能夠進(jìn)行靜態(tài)、動態(tài)分析以及web API測試。MobSF經(jīng)常被用來對Android或iOS app進(jìn)行快速安全分析，支持二進(jìn)制(APK&IPA)形式以及源代碼的zip壓縮包。

6. Mitmproxy

Mitmproxy 是一個免費(fèi)的開源工具，可以用于攔截、檢測、修改或延遲app與后端服務(wù)之間的通訊數(shù)據(jù)，該工具的名字也可以看出這是一種類似中間人攻擊的測試模式。當(dāng)然，這也意味著該工具確實(shí)可以被黑客利用。

7. iMAS

iMAS 也是一個開源移動app安全測試工具，可以幫開發(fā)者在開發(fā)階段遵守安全開發(fā)規(guī)則，例如應(yīng)用數(shù)據(jù)加密、密碼提示、預(yù)防應(yīng)用程序篡改、在iOS設(shè)備中部署企業(yè)安全策略等。無論是檢查設(shè)備越獄，保護(hù)駐內(nèi)存敏感信息還是防范二進(jìn)制補(bǔ)丁，iMAS能為你的iOS程序在充滿敵意的環(huán)境中提供安全保障。