@苏苏
3年前 提问
1个回答

移动渗透测试需要准备哪些工具

安全侠
3年前

大多数移动应用安全工具也都是免费并且开源的。根据下面所列出的移动平台可以对移动应用渗透测试工具进行分类。

1.Android

网上已经有很多Android渗透测试工具和虚拟机了。有些工具完全侧重于APK代码的静态分析,还有些工具则侧重于应用运行时的动态分析。已发行的大多数Android渗透测试虚拟机都是免费的,其中包含了测试Android SDK等Android应用所需要的工具。列出了一些Android渗透测试工具,但是依然建议下载与自己的测试需求最为契合的Android渗透测试虚拟机,并在虚拟机中安装其他用到的渗透测试工具。

在这里,虽然没有明确要求Android测试工具同本机相互隔离,但是为了确保移动应用测试环境更加稳定,并避免出现文件依赖问题,我们还是建议将Android测试环境同本机隔离起来。

  • 发行版Android渗透测试虚拟机:Android SDK、Android Emulator
  • Enjarify
  • JD-Gui
  • Mob-SF
  • SQLite Browser
  • Burp Suite
  • OWASP ZAP

2.iOS

由于iOS平台比较特殊,因此在开始渗透测试前需要准备好OS X计算机和已越狱的苹果设备。如果不满足这两个前提条件,那么是无法对iOS应用开展渗透测试的。下面是对iOS应用进行渗透测试时用到的部分工具。

  • idb
  • Xcode Tools
  • Class-Dump
  • Hopper(可选)
  • Mob-SF
  • SQLite Browser
  • Burp Suite
  • OWASP ZAP