背景
在移动终端的发展和逆向过程中,不可避免地要面对安全性和合规性这两座大山。面对安全问题对于攻击者和防御者来说都是一个不断迭代升级的过程。只有不断提高安全技术,才能更好地保障业务发展。
下面是从网络上整理的一些移动安全与合规的开源代码,可以作为移动安全的借鉴和思考学习。
Apkleaks源代码
它基于jadx对app进行反编译,用户扫描APK文件中的URI、端点和机密信息。
https://github.com/dwisiswant0/apkleaks
AppInfoScanner源代码
一款在移动端(Android、iOS、WEB、H5、静态网站)进行信息采集的扫描工具,可以帮助渗透测试工程师、攻击团队成员、红队成员快速采集移动或静态网站的关键资产信息,并提供基本信息输出,如标题、域名、CDN、指纹信息、状态信息等。
https://github.com/kelvinBen/AppInfoScanner
Androwarn源代码
恶意Android应用程序的静态代码分析器。这种检测是通过对应用程序的Dalvik字节码(表示为Smali)和androguard库的静态分析来执行的。
https://github.com/maaaaz/androwarn
夸克引擎源代码
它是一个android恶意软件评估和分析工具,结合了静态和动态分析。
https://github.com/quark-engine/quark-engine
引擎源代码
Android恶意软件分析框架可以包括虚拟机检测、模拟器检测、自证书检查和管道检测。跟踪pid检查等
https://github.com/droidefense/engine
Adhrit源代码
用于基于Ghera benchmark的深度检测和静态字节码分析,是一种高效的解决方案,能够满足移动安全测试和自动化的所有需求。
https://github.com/abhi-r3v0/Adhrit
Tai-e源代码
Java静态分析框架,可以说是我们提出的小说框架和经典框架(如Ash、WALA、Doop和SpotBugs)的“最佳”设计。Tai-e易学易用、高效且可扩展性强,可以在其上轻松开发新的分析。
https://github.com/pascal-lab/Tai-e
Riskscanner源代码
RiskScanner是一款开源的云安全合规扫描平台,基于云托管和Nuclei引擎,实现主流公有(私有)云资源的安全合规扫描和漏洞扫描。
https://github.com/fit2cloud/riskscanner
Bombus源代码
一个非常好的Android安全合规审计平台
https://github.com/momosecurity/bombus
子域路由
渗透测试仪的快速子域暴力工具
https://github.com/lijiejie/subDomainsBrute
Inventus源代码
Inventus它是你可以通过抓取一个特定的域和它找到的任何子域来搜索它的子域。
https://github.com/nmalcolm/Inventus
积累源代码
它用于深度攻击表面映射和资产挖掘。
https://github.com/OWASP/Amass
审计刘清
标签:静态分析移动