APP的安全漏洞怎么检测，有什么工具可以进行检测？

APP漏洞怎么检测？APP有漏洞的话怎么才能检测出来？~

1 文件检查：检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题。
2 漏洞扫描：扫描代码是否使用混淆，存在安全漏洞。检测签名、XML主配文件进行安全检查,是否容易被静态注入、嵌入恶意代码。详见网站：http://safe.ijiami.cn/
3 后门检测：检测APP是否存在被二次打包，然后植入后门程序或第三方代码等风险。
4 一键生成：一键生成App关于源码、文件、权限、关键字等方面的安全风险分析报告。
　　常见APP漏洞及风险：静态破解、二次打包、本地存储数据窃取、界面截取、输入法攻击、协议抓取等。

这个是需要考虑是什么APP的，要是电脑上的软件的时候可以用电脑上的杀毒软件如腾讯手机管家，卡巴斯基，诺顿等等杀毒软件都是可以直接的检查的。
安卓系统的手机的时候可以在手机上用应用宝，它在手机下载软件的时候是会检查的。
可以检查出下载的APP有没有安全的漏洞。

目前我经常用的漏洞检测工具主要就是爱内测，因为爱内测会根据应用特性，对程序机密性会采取不同程度不同方式的检测，检测项目包括代码是否混淆，DEX、so库文件是否保护，程序签名、权限管理是否完整等；组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞，并给出针对性建议；数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞，确保APP里那些可能导致帐号泄露的漏洞被全部检测出。

七个有代表性的免费APP应用安全测试工具：
1、OWASP Zed Attack Proxy (ZAP)
OWASP ZAP 是目前最流行的免费APP移动安全测试工具，由全球数百个志愿者维护。该工具可以在APP的开发和测试阶段自动查找安全漏洞。OWASP ZAP同时还是高水平渗透测试专家非常喜爱的手动安全测试工具。
2、QARK (Quick Android Review Kit)
QARK 是一种Android程序源代码安全漏洞分析工具。该工具有自己的开发社区，任何人都可以免费使用。QARK还会尝试提供提供动态生成的Android Debug Bridge（ADB）命令来帮助核实潜在漏洞。
3、Devknox
对于使用Android Studio开发Android应用程序的开发者来说，Devknox是此类移动安全检测工具中的佼佼者，Devknox不但能检测基本的移动安全问题，还能向开发者提供问题修复的实时建议。
4、Drozer
Drozer 是一个相当全面的Android安全与攻击框架，这个移动app安全测试工具能够通过进程间通讯机制（IPC）与其他Android应用和操作系统互动，这种互动机制使其有别于其他自动化扫描工具。
5、MobSF (Mobile Security Framework)
Mobile Security Framework 是一个自动化的移动app安全测试工具，支持Android和iOS双平台，能够进行静态、动态分析以及web API测试。MobSF经常被用来对Android或iOS app进行快速安全分析，支持二进制（APK&IPA）形式以及源代码的zip压缩包。
6、Mitmproxy
Mitmproxy 是一个免费的开源工具，可以用于拦截、检测、修改或延迟app与后端服务之间的通讯数据，该工具的名字也可以看出这是一种类似中间人攻击的测试模式。当然，这也意味着该工具确实可以被黑客利用。
7、iMAS
iMAS 也是一个开源移动app安全测试工具，可以帮开发者在开发阶段遵守安全开发规则，例如应用数据加密、密码提示、预防应用程序篡改、在iOS设备中部署企业安全策略等。无论是检查设备越狱，保护驻内存敏感信息还是防范二进制补丁，iMAS能为你的iOS程序在充满敌意的环境中提供安全保障。

---

清苑县19842082972： APP的安全漏洞怎么检测,有什么工具可以进行检测? - ？
阿杰喜欣： 目前我经常用的漏洞检测工具主要就是爱内测,因为爱内测会根据应用特性,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,并给出针对性建议;数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞,确保APP里那些可能导致帐号泄露的漏洞被全部检测出.

清苑县19842082972： APP漏洞检测主要从哪几个方面进行检测? - ？
阿杰喜欣： 一般来说,主要就是针对程序机密性检测:如代码混淆、DEX保护监测、so保护监测、程序签名检测、完整性校验、权限管理检测.还有就是组件安全检测,数据安全检测,业务安全检测这几大类,建议你可以去了解一下爱内测,有全面的检测项目.希望可以对你有所帮助.

清苑县19842082972： APP漏洞如何检测,如何检测出app有漏洞? - ？
阿杰喜欣： 常见的APP漏洞及风险有:界面截取、输入法攻击、协议抓取、静态破解、本地存储数据窃取等.一般来说,检测App从下面这几个方面进行: 1 程序机密性检测:检查代码混淆、dex保护监测、so保护监测、程序签名检测等安全问题. 2 组件安全检测:扫描代码组件的Activity、Broadcast Receiver、service、Content Provider存在的安全漏洞. 3 数据及业务安全检测:检测APP是否存在数据安全问题,用户账号密码泄漏等风险. 参考内容:http://www.ineice.com/

清苑县19842082972： 如何对安卓APK进行安全检测和漏洞检测? - ？
阿杰喜欣： 一般APP安全检测主要就是对APP安全风险以及安全漏洞检测,根据爱内测平台介绍,主要通过静态分析、动态分析以及人工检测: 静态分析: 利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java...

清苑县19842082972： 怎样检测APK应用是否安全,有什么好用的检测工具? - ？
阿杰喜欣： 这个是需要专业的手机的软件才可以的.例如应用宝就可以的,主要检测移动应用存在的安全漏洞、安全风险,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;

清苑县19842082972： 手机应用测试工具的方法有哪些呢? - ？
阿杰喜欣： 1、比如爱内测就有两种方法.第一种就是自动化检测,一键上传即可快速检测app的漏洞所在.2、第二种就是人工检测.专门的技术人员渗透分析,提供专业的安全检测报告及修复建议.

清苑县19842082972： 怎么去测试一个 app 是否存在安全问题 - ？
阿杰喜欣： 身为测试答一个,这类安全性测试,是app专项测试中必须要做的一环,简单列举下目前常做的测试类别1. 用户隐私 检查是否在本地保存用户密码,无论加密与否 检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密 检查是否...

清苑县19842082972： 怎么测试应用软件漏洞呢? - ？
阿杰喜欣： 1、主要是从应用的源代码、程序数据机密方面进行测试.2、还有就是源程序的组件安全,应用性能及稳定性方面进行测试.

清苑县19842082972： 手机应用软件漏洞检测方法有哪些? - ？
阿杰喜欣： 1、根据爱内测的安全检测平台,平台采用静态、动态方式对应用程序进行分析,并最终将分析结果存入数据库,并实现一键生成报告的功能;2、还有就是人工分析技术.是由专业安全人员接收到用户提交的待检测应用后,先对其进行安装、运行和试用,通过在试用过程中,逐步掌握该应用的特点,并通过自己的专业经验,来圈定检测重点.人工专业检测在涵盖基础检测和深度检测的全部检测项的同时,兼顾侧重点检测,给予应用更全面、更专业、更贴合应用的量身打造的检测服务.

清苑县19842082972： 怎么去测试一个app是否有进程注入漏洞 - ？
阿杰喜欣： 1 文件检查:检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题.2 漏洞扫描:扫描代码是否使用混淆,存在安全漏洞.检测签名、XML主配文件进行安全检查,是否容易被静态注入、嵌入恶意代码.3 后门检测:检测APP是否存在被二次打包,然后植入后门程序或第三方代码等风险.4 一键生成:一键生成App关于源码、文件、权限、关键字等方面的安全风险分析报告.常见APP漏洞及风险:静态破解、二次打包、本地存储数据窃取、界面截取、输入法攻击、协议抓取等.