之前有说过:
想做一个整合开源安全代码扫描工具的代码安全分析平台
http://blog.csdn.net/testing_is_believing/article/details/21319269
Java、C\ C++、PHP的已经有谱了,其中Java的已经做了个小Demo进行验证
现在研究Android方向
难度:
Android代码混淆后,从反编译的代码查找潜在安全问题
看了几个工具(Android Lint就不提了):
ScanDroid
G:\资料\手机测试\手机安全测试\Tools\ScanDroid\ScanDroid
自动化反编译APK
查找AndroidManifest.xml文件的权限定义
查找源代码潜在漏洞(找关键字)
Security Certifier for anDroid(SCanDroid)
https://github.com/SCanDroid/SCanDroid
依赖IBM的WALA:
http://wala.sourceforge.net/wiki/index.php/Main_Page
WALA provides static analysis capabilities for Java bytecode and related languages.
基于WALA的工具:
http://wala.sourceforge.net/wiki/index.php/WALA_Based_Tools
相关资料比较少
Dexter
http://dexter.dexlabs.org/
http://dexter.dexlabs.org/static/docs/
http://dexter.dexlabs.org/static/docs/showcase/index.html#analysis-view
是一个在线服务?
http://dexter.dexlabs.org/accounts/register
貌似没有漏洞自动分析功能