监管合规
-
Camille - App隐私合规检测辅助工具
https://github.com/zhengjim/camille -
ApplicationScanner - App等保的预检测工具
https://www.freebuf.com/sectool/270360.html
https://github.com/paradiseduo/ApplicationScanner -
AppScan - tcly合规审计
https://appscan.ly.com/
https://github.com/tongcheng-security-team/AppScanAppScan开发过程中参考了以下项目的部分代码和思路: https://github.com/zhengjim/camille https://github.com/r0ysue/r0capture https://github.com/hzzheyang/strongR-frida-android -
Coeus - 代码扫描、国内政策扫描
https://github.com/wulio/Coeus -
ApkSec - APK审计框架
https://github.com/Anemone95/ApkSec
攻防对抗 - App敏感信息采集
-
AppInfoScanner - App渗透测试
https://github.com/kelvinBen/AppInfoScanner -
APKLeaks - App敏感信息采集
https://github.com/dwisiswant0/apkleaks -
ApkRecon - App敏感信息采集
https://github.com/effortlessdevsec/ApkRecon -
scanapk - 审查使用的第三方库
https://github.com/MarcSchoenefeld/scanapk -
ClamScan - 基于ClamAV 扫描移APK的文件,判断是否包含恶意软件、病毒
https://github.com/sripulip/ClamScan -
ShellScan - 查看Apk文件是否加壳
https://github.com/ReturnHere/ShellScan
以上名单由Mysticbinary收集,原文链接:https://www.cnblogs.com/mysticbinary/p/17260943.html
一些思路记录
-
将自动检测平台集成在CI/CD管道上,减少人工参与,平台主要是作为APK发包前的自检工作;
-
使用对应工具读取AndroidManifest.XML,判断读取Manifest在手机的一些权限申请,签名方式检查,一些基线检查。
使用aapt命令查看文件,aapt存在于{android-sdk}/build-tools目录。具体命令如下:
aapt dump xmltree your-apk-path AndroidManifest.xml -
Android反编译推荐Jadx,运用工具得到反编译后的代码,匹配代码里的硬编码(Key\token\secret...)、不安全的加密方式、提取代码内的敏感信息。AST分析代码,统计URL路径、写入本地的文件路径。
-
引用了有风险的第三方组件。
