______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Самые важные инструменты тестирования на проникновение Android для пентестеров и специалистов по безопасности

Тестирование безопасности Android чаще используется в индустрии безопасности для тестирования уязвимостей в приложениях Android. Здесь вы можете найти полный Android инструменты тестирования на проникновение и список ресурсов, который охватывает выполнение операции тестирования на проникновение в Android мобильных телефонов.

Онлайн-Анализаторы

  1. AndroTotal
  2. Tracedroid
  3. Visual Threat
  4. Mobile Malware Sandbox
  5. Appknox – Несвободный
  6. IBM Security AppScan Mobile Analyzer – Несвободный
  7. NVISO ApkScan 
  8. AVC UnDroid 
  9. habo
  10. Virustotal
  11. Fraunhofer App-ray
  12. AppCritique – Загрузить APK на Android и получите всеобъемлющей оценки безопасности.
  13. NowSecure Lab Automated – Enterprise tool для тестирования безопасности мобильных приложений на Android и iOS. Лаборатория автоматизированных функций динамического и статического анализа на реальных устройствах в облаке, чтобы возвращать результаты в течение нескольких минут. Несвободный

Инструменты статического анализа

  1. Androwarn –  обнаружение и предупреждение пользователя о потенциально вредоносных действий, разработанный приложения для Android.
  2. ApkAnalyser
  3. APKInspector
  4. Droid Intent Data Flow Analysis for Information Leakage
  5. DroidLegacy
  6. Several tools from PSU
  7. Smali CFG generator
  8. FlowDroid
  9. Android Decompiler
  10. PSCout – инструмент, который извлекает спецификацию разрешений из исходного кода ОС Android с помощью статического анализа
  11. Amandroid
  12. SmaliSCA – Небольшой Статический Анализ Кода
  13. CFGScanDroid – Сканирует и сравнивает CFG с CFG вредоносных приложений
  14. Madrolyzer – экстракты данных как C&C, номер телефона и т. д.
  15. SPARTA – проверяет (доказывает), что приложение удовлетворяет политике безопасности информационных потоков; Checker Framework
  16. ConDroid – Выполняет комбинацию символического + конкретного выполнения приложения
  17. DroidRA
  18. RiskInDroid – Инструмент для расчета риска развития приложений для Android на основе разрешений с онлайн-демо.
  19. SUPER – Безопасный, унифицированный, мощный и расширяемый анализатор  Android
  20. ClassyShark – Автономный двоичный инструмент контроля, который может просматривать любой исполняемый файл Android и показывать важную информацию.

Сканеры уязвимостей приложений безопасности Android

  1. QARK – QARK от LinkedIn предназначен для разработчиков приложений для сканирования приложений на предмет проблем безопасности
  2. AndroBugs
  3. Nogotofail
  4. Devknox – Автозамена Android проблемы безопасности, как если бы это была проверка орфографии от вашей идеи
  5. JAADAS – Совместный внутрипроцедурный и межпроцедурный инструмент анализа программ для поиска уязвимостей в Android-приложениях, построенный на Soot и Scala

Инструменты динамического анализа

  1. Android DBI framework
  2. Androl4b– Виртуальная машина для оценки приложений Android, обратного проектирования и анализа вредоносных программ
  3. Android Malware Analysis Toolkit – (Дистрибутив Linux) ранее он был online analyzer
  4. Mobile-Security-Framework MobSF – Mobile Security Framework-это интеллектуальное мобильное приложение с открытым исходным кодом (Android/iOS) с открытым исходным кодом, способное выполнять статический, динамический анализ и тестирование веб-API.
  5. AppUse –пользовательская сборка для пентестинга
  6. Cobradroid – пользовательский образ для анализа вредоносных программ
  7. Droidbox
  8. Drozer
  9. Xposed – эквивалент выполнения инъекции кода на основе заглушки, но без каких-либо изменений в двоичном файле
  10. Inspeckage – Android Package Inspector-динамический анализ с помощью API-крючков, запуск несообщаемых действий и многое другое.
  11. Android Hooker – Динамическое инструментирование кода Java
  12. ProbeDroid – Динамическое инструментирование кода Java
  13. Android Tamer – Виртуальная / Живая платформа для профессионалов безопасности Android
  14. DECAF – Платформа динамического анализа исполняемого кода на основе QEMU (DroidScope теперь является расширением без кофеина)
  15. CuckooDroid – Android расширение для  песочницы
  16. Mem – Анализ памяти безопасности Android (root required)
  17. Crowdroid – unable to find the actual tool
  18. AuditdAndroid – android-порт аудирован, больше не находится в активной разработке
  19. AndroidSecurity Evaluation Framework – not under active development anymore
  20. Android Reverse Engineering – ARE (android reverse engineering) not under active development anymore
  21. Aurasium – Практическое применение политики безопасности для Android-приложений с помощью перезаписи байт-кода и монитора ссылок на месте.
  22. Android Linux Kernel modules
  23. Appie – Appie-это программный пакет, который был предварительно настроен для работы в качестве среды Android Pentesting.Он полностью портативен и может быть перенесен на USB-накопитель или смартфон.Это универсальный ответ для всех инструментов, необходимых для оценки безопасности приложений Android, и потрясающая альтернатива существующим виртуальным машинам.
  24. StaDynA – система, поддерживающая анализ приложений безопасности при наличии функций динамического обновления кода (динамическая загрузка и отражение классов). Этот инструмент сочетает в себе статический и динамический анализ приложений Android для того, чтобы выявить скрытые/обновленное поведение и расширить результаты статического анализа с этой информацией.
  25. DroidAnalytics – incomplete
  26. Vezir Project – Виртуальная машина для пентестинга мобильных приложений и анализа мобильных вредоносных программ
  27. MARA – Mobile Application Reverse engineering and Analysis Framework
  28. Taintdroid – requires AOSP compilation

Инженерный анализ

  1. Smali/Baksmali – apk decompilation
  2. emacs syntax coloring for smali files
  3. vim syntax coloring for smali files
  4. AndBug
  5. Androguard – powerful, integrates well with other tools
  6. Apktool – really useful for compilation/decompilation (uses smali)
  7. Android Framework for Exploitation
  8. Bypass signature and permission checks for IPCs
  9. Android OpenDebug – make any application on device debuggable (using cydia substrate).
  10. Dare – .dex to .class converter
  11. Dex2Jar – dex to jar converter
  12. Enjarify – dex to jar converter from Google
  13. Dedexer
  14. Fino
  15. Frida – inject javascript to explore applications and a GUI tool for it
  16. Indroid – thread injection kit
  17. IntentSniffer
  18. Introspy
  19. Jad – Java decompiler
  20. JD-GUI – Java decompiler
  21. CFR – Java decompiler
  22. Krakatau – Java decompiler
  23. Procyon – Java decompiler
  24. FernFlower – Java decompiler
  25. Redexer – apk manipulation
  26. Smali viewer
  27. Simplify Android deobfuscator
  28. Bytecode viewer
  29. Radare2

Fuzz Testing

  1. IntentFuzzer
  2. Radamsa Fuzzer
  3. Honggfuzz
  4. An Android port of the melkor ELF fuzzer
  5. Media Fuzzing Framework for Android
  6. AndroFuzz

App Repackaging Detectors

  1. FSquaDRA – инструмент безопасности Android для обнаружения переупакованных приложений Android на основе сравнения хэшей ресурсов приложений.

Разное

  1. smalihook
  2. APK-Downloader
  3. AXMLPrinter2 – для преобразования двоичных файлов XML в удобочитаемые файлы XML
  4. adb autocomplete
  5. Dalvik opcodes
  6. Opcodes table for quick reference
  7. ExploitMe Android Labs – для практики
  8. GoatDroid – для практики
  9. mitmproxy
  10. dockerfile/androguard
  11. Android Vulnerability Test Suite – android-vts сканирует устройство на наличие множества уязвимостей
  12. AppMon– AppMon-это автоматизированная платформа для мониторинга и фальсификации системных вызовов API собственных приложений mac OS, iOS и android.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх