使用 Bluemix 和 AppScan Mobile Analyzer 服务构建一个 Android 应用程序安全测试工具

最新推荐文章于 2024-05-04 12:24:09 发布
最新推荐文章于 2024-05-04 12:24:09 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 推荐 文章标签: Bluemix 体验 应用程序 android mobile

 

您可以使用 Bluemix AppScan Mobile Analyzer 服务扫描任何 Android 应用程序,即使该应用程序不是使用 Bluemix 开发的应用程序,您可以免费使用该服务 30 天。本教程将重点介绍如何使用 AppScan Mobile Analyzer 服务来扫描一个使用 IBM Bluemix Mobile Data 服务开发的样例 Android 应用程序,还将介绍如何根据扫描报告采取正确的行动。

  1. 使用您注册的 Bluemix ID 和密码登录 Bluemix。
  2. 使用所提供的任何样板文件在 Bluemix 中创建一个应用程序。在本示例中,我们使用了 Node.js Cache Web Starter 样板文件。
  3. 选择 Node.js Cache Web Starter,为应用程序命名(在我们的示例中,将它命名为mymobilescan),然后单击 CREATE

    点击查看大图

  4. 在创建应用程序之后,需要将 AppScan Mobile Analyzer 服务绑定到该应用程序。在 SDK for Node.js下,单击 CREATE

    点击查看大图

  5. 接下来,选择 ADD A SERVICE

    点击查看大图

  6. 在 Security目录下,选择 AppScan Mobile Analyzer
  7. 接下来,要将服务与 mobileappscan应用程序绑定在一起。在 AppScan Mobile Analyzer下,选择 App并为它提供一个 Service name

    点击查看大图

  8. 在创建此应用程序之后,就做好了扫描任何 Android 移动应用程序的准备。

步骤 2. 开发一个样例 Android 移动应用程序

0
 

尽管 AppScan Mobile Analyzer 能够扫描任何 Android 移动应用程序,本教程将重点介绍如何扫描 sampleapp,该应用程序是使用 IBM Bluemix Mobile Data 服务开发的。

  1. 安装 Eclipse ADT 和 Android SDK。
  2. 安装 DevOps Services Eclipse 插件。(参阅 "设置 Eclipse、Git 和 Rational Team Concert Desktop Clients 来访问 IBM DevOps Services",获得一个有用的教程。)
  3. 从 DevOps Services 下载 sampleapp项目。该项目基于 Android 4.3, Release 19。
  4. 构建项目并通过运行该项目获得 sampleapp.apk文件,或者将它导出为一个 Android 应用程序。这个样例应用程序在一个屏幕中获得输入,并在另一个屏幕中显示这些输入。
  5. 从 Bluemix mobileappscanWeb 应用程序选择 AppScan Mobile Analyzer服务。单击BROWSE,并选择 android 应用程序文件 sampleapp.apk来进行扫描。
  6. 为该扫描命名并单击 Upload APK file。在完成上传操作之后,就会开始扫描。
  7. 扫描结果会显示在服务中。漏洞级别(High、Medium、Low 或 Informational)将被指明,这里还提供了十大开放 Web 应用程序安全项目 (OWASP) 列表上的已检测出的漏洞等级。

步骤 3. 解释扫描结果

0
 

在完成扫描后,您可以从该服务下载详细的报告。该报告是从一些细节信息开始的,比如由 IBM AppScan Dynamic Analyzer 创建的扫描名称、实际扫描名称、应用程序版本和扫描开始时间。然后,该报告还显示了已找出的 安全问题总结

在我们的示例中,我们开发的样例文件有两个安全问题:

  1. Backup Flag Enabled(启用了备份标记)
  2. Debug Version Detected(检测到的调试版本)

问题 1:Backup Flag Enabled。AppScan 建议采用的解决办法是 将 android.allowBackup属性设置为 false

点击查看大图

问题 2:Debug Version Detected。AppScan 建议采用的解决办法是 避免使用调试版本

点击查看大图

步骤 4. 修复漏洞并重新进行扫描

0
 
  1. 修复指出的漏洞:

    问题 1:在 bin 目录下,打开 AndroidManifest.xml 文件,并将 android:allowBackup参数更改为 false。

        
    
    
     
     
    
      
      
    
       
       
       
       
    
        
        1
       
       
    
      
      
    
      
      
    
       
       
    
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
     
     
    
     
     
    
      
      
    
       
       
    
       
       
    
        
         
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
      
      
    
      
      
    
      
      
    
      
      
    
       
       
    
        
         android:allowBackup=
        
        "false"

    问题 2:在 AndroidManifest.xml 文件中,删除下方显示的参数。

        
    
    
     
     
    
      
      
    
       
       
       
       
    
        
        1
       
       
    
      
      
    
      
      
    
       
       
    
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
     
     
    
     
     
    
      
      
    
       
       
    
       
       
    
        
         
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
      
      
    
      
      
    
      
      
    
      
      
    
       
       
    
        
           android:debuggable=
        
        "true"
  2. 按照步骤 2 中的过程,使用上面修改后的参数重新构建 .apk 文件,然后重新进行扫描。您现在应该有一个干净的扫描在运行。

结束语

0
 

让我们来快速回顾一下学习的内容。我们使用 IBM Bluemix Mobile Data 服务开发了一个样例 Android 应用程序,然后将 .apk 文件上传到 Bluemix 进行扫描。为了扫描应用程序中的漏洞,我们使用了 Bluemix AppScan Mobile Analyzer 服务。我们还介绍了如何读取和扫描结果,以及如何对已检测到的漏洞采取纠正措施。

按照本教程的指导,您可以让任何 Android 应用程序都变得更加安全。

BLUEMIX SERVICE USED IN THIS TUTORIAL:AppScan Mobile Analyzer 可以帮助您识别 Android 应用程序中的安全问题,从而帮助您保障它们的安全。

AppScan实战之APP安全测试.docx
06-05
AppScan实战之APP安全测试.docxAppScan实战之APP安全测试.docx
AppScanIBM的一款强大的应用程序安全测试工具.docx
最新发布
09-13
AppScanIBM(现为HCL Technologies旗下)的一款强大的应用程序安全测试工具,旨在帮助组织发现修复应用程序中...AppScan可以与其他应用程序开发安全工具集成,如开发环境、CI/CD工具等。 提供自定义选项配置,
IBM AppScan 8.6 据说引入了XSS Analyzer比较强
软件质量优化
08-14 2373
XSS Analyzer Gives You 700 Million Reasons To Feel Securehttp://blog.watchfire.com/wfblog/2012/07/announcing-xss-analyzer.html
appscan测试安卓模拟器中app
rescure的博客
02-21 875
之前随便配置一下appscan就完事了,一直也没注意,今天使用的时候发现抓不到数据包,才发现忘记导入证书了。所以记录一下测逻辑啊之类的,还是推荐用bp抓包,慢慢分析。工具不是万能的。有问题欢迎探讨。
开源app隐私合规监测工具AppScan
zhifanxu的专栏
10-27 1486
2、使用一台root的手机安装未加固的app,连接电脑;3、打开该软件AppScan,点击开始检测。1、下载安装该软件AppScan
基于IBM Security AppScan测试移动应用程序安全性
移木成林博客
02-09 4677
引言   移动互联网的迅速发展,4G Wifi 无线网络的大面积覆盖,智能手机平板电脑的普及迅速吸引了大量的终端用户。2014 年,移动端上网的用户比例为 83.4%,首次超过传统 PC 端用户使用率。移动应用程序不仅涵盖生活中的方方面面,也越来越多的应用到商业领域中帮助提高办公效率,实现随时随地的信息处理。由于移动端应用程序已经与人们的生活工作紧密相连,其安全性也越来越重要
HCL AppScan Standard v10.5.0 (Windows) - Web 应用程序安全测试
05-08
HCL AppScan 为开发人员、DevOps 安全团队提供了一套技术来查明应用程序漏洞,以便在软件开发生命周期的每个阶段进行快速修复。 通过使用一流的测试工具、集中的可见性监督以及多种部署选项(包括本地、云端...
Web安全扫描工具appscan安装使用
08-19
Web安全扫描工具AppScanIBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测。AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
AppScan安全测试
robinjava的专栏
08-05 881
    面向 Web 应用程序与 Web 服务的黑箱安全扫描工具——Rational AppScan。利用 AppScan应用程序开发团队在项目交付前,可以对所开发的应用程序服务进行安全缺陷的扫描。    构建一次安全检测    最后可以看到扫
appscan安全测试技术介绍
09-24
好资源, 大家快点下载吧,很不错的,介绍appscan
appscan:一个提供APK安全报告的appscan平台
06-04
#AppScan 平台 ###1。 介绍 这是一个用于检测安全问题的应用检查平台,它基于 ###2。 env 要运行代码,你可能需要准备以下东西, Python 2.7 姜戈 1.9 Drozer 2.3.4 (配置可以参考 ,然后将Drozer设置为系统环境变量) 安德罗卫士 为了简单,您可以使用并且只需要安装 Django ###3。 跑步 --1. 首先,准备一个手机或AVD,安装drozer代理并保持代理开启。 --2. 运行“python manage.py runserver”启动Django服务 --3. 通过访问“ ”上传 Apk ###4。 待续
使用IBM Security AppScan Source 9.0简化组织的移动应用程序安全测试程序
cuyi7076的博客
07-01 272
存档日期:2019年5月15日 | 首次发布:2014年6月17日 今天,许多应用程序都是为移动设备编写的。 这些应用程序被Swift开发发布。 然而,许多这些应用程序的安全性仍然是一个主要问题。 AppScan Source 9.0通过引入本地模式,与IBM Worklight集成以及扩展其对Mac平台的支持,简化了组织的移动应用程序安全性测试。 此内容不再被更新或维护。 全文以P...
移动应用漏洞扫描实践
Kali与编程
02-01 610
移动应用漏洞扫描是保障移动应用安全的重要手段之一。通过使用专业的移动应用漏洞扫描工具,可以及时发现移动应用中存在的安全漏洞风险,并采取相应的措施进行修复。未来随着技术的发展,移动应用漏洞扫描工具将更加智能化自动化,能够更准确地发现移动应用中的安全漏洞风险,为移动应用安全提供更加可靠的保障。对于计算机专业学生计算机从业人员来说,了解并掌握移动应用漏洞扫描实践是非常重要的,这将有助于他们在未来的工作中更好地保障移动应用安全。
Web安全渗透测试有什么关系?
Python_0011的博客
03-31 2133
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
漏洞扫描神器:AppScan 保姆级教程(附破解步骤)
Flag少侠的博客
05-04 8863
AppScanIBM的一款应用程序安全测试工具,旨在帮助组织发现修复应用程序中的安全漏洞。它提供了全面的功能工具,用于自动化应用程序安全测试、漏洞扫描漏洞管理。以下是AppScan的一些主要特点功能:1. 自动化漏洞扫描:AppScan可以自动扫描Web应用程序移动应用程序,发现其中的安全漏洞。它支持多种扫描技术策略,包括黑盒扫描白盒扫描,帮助用户全面评估应用程序的安全性。
安全扫描工具AppScan使用简介
tengyeyijiu的专栏
05-06 2万+
AppScanIBM的一款web安全扫描工具,具有利用爬虫技术进行网站安全渗透测试的能力,能够根据网站入口自动摸取网页链接进行安全扫描,提供了扫描、报告修复建议等功能。 appscan有自己的用例库,版本越新用例库月全,针对漏洞的检测越全面,被检测系统的安全性相关较高,目前网上流传的最新版本是9,appscanIBM一款商业用途的安全扫描工具,但是网络存在破解版。 利用Appscan测试系
AppScan安全扫描工具-IBM Security App Scan Standard
热门推荐
学习那点事儿的专栏
06-19 6万+
1、AppScan是什么? AppScanIBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库越全面,对漏洞的检测较全面,被测试系统的安全性则越高) 工作原理: 1)通过探索了解整个web页面结果 2)通过分析,使用扫描规则库对修改的H...
Appscan工具使用
分享只为更好的获得
08-01 2万+
一,appscan扫描 1,白盒扫描=静态扫描,扫描源代码。 2,动态扫描=黑盒扫描,用工具来模拟黑客的攻击,查看应用层的响应。产品内部会有大量受攻击的库,当我们把一个模拟攻击发给我们的应用的时候,然后用工具来分析响应。 二,AppScan Web应用扫描流程 三,自动网络探索能力优势 四,设置配置向导 测试网址:http://demo.testfire.net/bank/lo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值