背景
在移动端开发和逆向过程中免不了要面对 安全问题和合规问题这两座大山,面对安全问题这个不管从攻击方或防守方来说都是一个不断迭代升级的过程,只有在不断进行安全技术提升才能更好保障业务的发展。
下面从网络上整理了一些移动端安全和合规的开源代码,可用于移动端安全的借鉴和思路的学习。
Apkleaks源码
它是基于jadx进行对app反编译,用户扫描APK文件中的 URI、端点和机密信息。
https://github.com/dwisiswant0/apkleaks
AppInfoScanner源码
一款适用于在移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。
https://github.com/kelvinBen/AppInfoScanner
Androwarn源码
用于恶意 Android 应用程序的静态代码分析器,检测是通过对应用程序的Dalvik字节码(表示为Smali)的静态分析与androguard库一起执行的
https://github.com/maaaaz/androwarn
quark-engine源码
它是一个android恶意软件评估和分析的工具,它是结合静态和动态分析的。
https://github.com/quark-engine/quark-engine
Engine源码
android恶意软件分析框架,可以是虚拟机检测、模拟器检测、自我证书检查、管道检测。跟踪pid检查等
https://github.com/droidefense/engine
Adhrit源码
它用于基于 Ghera 基准进行深入的侦测和静态字节码分析,它能满足移动安全测试和自动化所有需求的高效解决方案
https://github.com/abhi-r3v0/Adhrit
Tai-e源码
Java静态分析框架,它可以说是我们提出的新颖框架和经典框架(如烟灰,WALA,Doop和SpotBugs)的“最佳”设计。Tai-e易于学习,易于使用,高效且高度可扩展,可以轻松地在其上开发新的分析。
https://github.com/pascal-lab/Tai-e
Riskscanner源码
RiskScanner 是开源的多云安全合规扫描平台,基于 Cloud Custodian 和 Nuclei 引擎,实现对主流公(私)有云资源的安全合规扫描和漏洞扫描。
https://github.com/fit2cloud/riskscanner
bombus源码
Android中的一个很不错的安全合规审计平台
https://github.com/momosecurity/bombus
subDomainsBrute
用于渗透测试器的快速子域暴力工具
https://github.com/lijiejie/subDomainsBrute
Inventus源码
Inventus它是可以通过抓取特定域及其发现的任何子域来查找其子域。
https://github.com/nmalcolm/Inventus
Amass源码
它用于深入的攻击面映射和资产挖掘
https://github.com/OWASP/Amass
推荐阅读