使用 Bluemix 和 AppScan Mobile Analyzer 服务构建一个 Android 应用程序安全测试工具

最新推荐文章于 2024-05-02 20:40:27 发布
最新推荐文章于 2024-05-02 20:40:27 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 推荐 文章标签: Bluemix 体验 应用程序 android mobile

 

您可以使用 Bluemix AppScan Mobile Analyzer 服务扫描任何 Android 应用程序,即使该应用程序不是使用 Bluemix 开发的应用程序,您可以免费使用该服务 30 天。本教程将重点介绍如何使用 AppScan Mobile Analyzer 服务来扫描一个使用 IBM Bluemix Mobile Data 服务开发的样例 Android 应用程序,还将介绍如何根据扫描报告采取正确的行动。

  1. 使用您注册的 Bluemix ID 和密码登录 Bluemix。
  2. 使用所提供的任何样板文件在 Bluemix 中创建一个应用程序。在本示例中,我们使用了 Node.js Cache Web Starter 样板文件。
  3. 选择 Node.js Cache Web Starter,为应用程序命名(在我们的示例中,将它命名为mymobilescan),然后单击 CREATE

    点击查看大图

  4. 在创建应用程序之后,需要将 AppScan Mobile Analyzer 服务绑定到该应用程序。在 SDK for Node.js下,单击 CREATE

    点击查看大图

  5. 接下来,选择 ADD A SERVICE

    点击查看大图

  6. 在 Security目录下,选择 AppScan Mobile Analyzer
  7. 接下来,要将服务与 mobileappscan应用程序绑定在一起。在 AppScan Mobile Analyzer下,选择 App并为它提供一个 Service name

    点击查看大图

  8. 在创建此应用程序之后,就做好了扫描任何 Android 移动应用程序的准备。

步骤 2. 开发一个样例 Android 移动应用程序

0
 

尽管 AppScan Mobile Analyzer 能够扫描任何 Android 移动应用程序,本教程将重点介绍如何扫描 sampleapp,该应用程序是使用 IBM Bluemix Mobile Data 服务开发的。

  1. 安装 Eclipse ADT 和 Android SDK。
  2. 安装 DevOps Services Eclipse 插件。(参阅 "设置 Eclipse、Git 和 Rational Team Concert Desktop Clients 来访问 IBM DevOps Services",获得一个有用的教程。)
  3. 从 DevOps Services 下载 sampleapp项目。该项目基于 Android 4.3, Release 19。
  4. 构建项目并通过运行该项目获得 sampleapp.apk文件,或者将它导出为一个 Android 应用程序。这个样例应用程序在一个屏幕中获得输入,并在另一个屏幕中显示这些输入。
  5. 从 Bluemix mobileappscanWeb 应用程序选择 AppScan Mobile Analyzer服务。单击BROWSE,并选择 android 应用程序文件 sampleapp.apk来进行扫描。
  6. 为该扫描命名并单击 Upload APK file。在完成上传操作之后,就会开始扫描。
  7. 扫描结果会显示在服务中。漏洞级别(High、Medium、Low 或 Informational)将被指明,这里还提供了十大开放 Web 应用程序安全项目 (OWASP) 列表上的已检测出的漏洞等级。

步骤 3. 解释扫描结果

0
 

在完成扫描后,您可以从该服务下载详细的报告。该报告是从一些细节信息开始的,比如由 IBM AppScan Dynamic Analyzer 创建的扫描名称、实际扫描名称、应用程序版本和扫描开始时间。然后,该报告还显示了已找出的 安全问题总结

在我们的示例中,我们开发的样例文件有两个安全问题:

  1. Backup Flag Enabled(启用了备份标记)
  2. Debug Version Detected(检测到的调试版本)

问题 1:Backup Flag Enabled。AppScan 建议采用的解决办法是 将 android.allowBackup属性设置为 false

点击查看大图

问题 2:Debug Version Detected。AppScan 建议采用的解决办法是 避免使用调试版本

点击查看大图

步骤 4. 修复漏洞并重新进行扫描

0
 
  1. 修复指出的漏洞:

    问题 1:在 bin 目录下,打开 AndroidManifest.xml 文件,并将 android:allowBackup参数更改为 false。

        
    
    
     
     
    
      
      
    
       
       
       
       
    
        
        1
       
       
    
      
      
    
      
      
    
       
       
    
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
     
     
    
     
     
    
      
      
    
       
       
    
       
       
    
        
         
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
      
      
    
      
      
    
      
      
    
      
      
    
       
       
    
        
         android:allowBackup=
        
        "false"

    问题 2:在 AndroidManifest.xml 文件中,删除下方显示的参数。

        
    
    
     
     
    
      
      
    
       
       
       
       
    
        
        1
       
       
    
      
      
    
      
      
    
       
       
    
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
     
     
    
     
     
    
      
      
    
       
       
    
       
       
    
        
         
       
       
    
      
      
    
     
     
    
     
     
    
      
      
    
      
      
    
      
      
    
      
      
    
      
      
    
       
       
    
        
           android:debuggable=
        
        "true"
  2. 按照步骤 2 中的过程,使用上面修改后的参数重新构建 .apk 文件,然后重新进行扫描。您现在应该有一个干净的扫描在运行。

结束语

0
 

让我们来快速回顾一下学习的内容。我们使用 IBM Bluemix Mobile Data 服务开发了一个样例 Android 应用程序,然后将 .apk 文件上传到 Bluemix 进行扫描。为了扫描应用程序中的漏洞,我们使用了 Bluemix AppScan Mobile Analyzer 服务。我们还介绍了如何读取和扫描结果,以及如何对已检测到的漏洞采取纠正措施。

按照本教程的指导,您可以让任何 Android 应用程序都变得更加安全。

BLUEMIX SERVICE USED IN THIS TUTORIAL:AppScan Mobile Analyzer 可以帮助您识别 Android 应用程序中的安全问题,从而帮助您保障它们的安全。

MyBote
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AppScan实战之APP安全测试.docx
06-05
AppScan实战之APP安全测试.docxAppScan实战之APP安全测试.docx
IBM AppScan 8.6 据说引入了XSS Analyzer比较强
软件质量优化
08-14 2322
XSS Analyzer Gives You 700 Million Reasons To Feel Securehttp://blog.watchfire.com/wfblog/2012/07/announcing-xss-analyzer.html
开源app隐私合规监测工具AppScan
zhifanxu的专栏
10-27 582
2、使用一台root的手机安装未加固的app,连接电脑;3、打开该软件AppScan,点击开始检测。1、下载安装该软件AppScan
基于IBM Security AppScan测试移动应用程序安全
移木成林博客
02-09 4549
引言   移动互联网的迅速发展,4G 和 Wifi 无线网络的大面积覆盖,智能手机和平板电脑的普及迅速吸引了大量的终端用户。2014 年,移动端上网的用户比例为 83.4%,首次超过传统 PC 端用户使用率。移动应用程序不仅涵盖生活中的方方面面,也越来越多的应用到商业领域中帮助提高办公效率,实现随时随地的信息处理。由于移动端应用程序已经与人们的生活和工作紧密相连,其安全性也越来越重要
AppScan安全测试
robinjava的专栏
08-05 809
    面向 Web 应用程序与 Web 服务的黑箱安全扫描工具——Rational AppScan。利用 AppScan应用程序开发团队在项目交付前,可以对所开发的应用程序服务进行安全缺陷的扫描。    构建一次安全检测    最后可以看到扫
渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤
Darren洋的博客
09-04 1771
渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤
推荐几个比较实用的安全测试工具
OKCRoss的博客
03-13 1146
软件的安全是开发人员、测试人员、企业以及用户共同关心的话题,尤其是软件产品的使用者,因为系统中承载着用户的个人信息、人际互动、管理权限等各类隐私海量关键数据。因此软件安全测试必不可少,在测试过程中安全测试工具的选择也尤为重要。适用于Windows和Linux的网络协议分析工具,也是一个很出名的数据包分析工具,可以检查网络流量,是观察TCP/IP异常流量的很好的工具。目前比较流行的安全渗透测试平台,包含了最新的安全测试工具,允许用户从CD或者U盘启动,通过U盘来实施安全渗透测试。
安全测试AppScan自动扫描的一个简单流程
weixin_44320224的博客
04-07 1976
AppScan的一个简单安全测试流程 在第一个阶段中,AppScan 分析它所发送的每个请求的响应,查找潜在漏洞的任何指示信息。 AppScan 接收到可能指示有安全漏洞的响应时,它将自动基于响应创建测试,并通知所需验证规则,同时考虑在确定哪些结果构成漏洞以及所涉及到安全风险的级别时所需的验证规则。在第二个阶段,AppScan 将发送它在探索阶段创建的数千个定制测试请求。 它使用定制验证规则记录和分析应用程序对每个测试的响应。 这些规则既可识别应用程序内的安全问题,又可排列其安全风险级别。 注:本文章适合
安全测试工具使用-appScan
qq_43215836的博客
04-21 1206
appScan是一个漏洞扫描工具,可以创建web扫描任务,进行自动探索或手动探索,最终生成安全报告,报告详细记录出现漏洞的url。 AppScan的安装 链接:https://pan.baidu.com/s/1zRgIAEK6RJyNtrcqF6zTwg?pwd=1234 提取码:1234 安装包直接安装 配置许可证 ...
appscan安全测试技术介绍
09-24
好资源, 大家快点下载吧,很不错的,介绍appscan
安全测试漏扫工具-HCL AppScan10.0.8,安全规则库28196
10-15
优秀的安全测试漏扫工具AppScan10.0.8,安全规则库28196,已经是最新的安全规则库了。支持:WEB应用程序、WEB api 、增量、完全配置等多种扫描方式。扫描工具里比较强大的,可以自动生成扫描报告。方便快捷。
Web安全扫描工具:appscan安装和使用
08-19
Web安全扫描工具:appscan安装步骤、使用
安全测试工具APPScan及安装教程附所需工具
01-17
版本10.0.0 AppScan是IBM的一款web安全扫描工具,主要适用...该软件内置强大的扫描引擎,可以测试和评估Web服务应用程序的风险检查,根据网站入口自动对网页链接进行安全扫描,扫描之后会提供扫描报告和修复建议等。
AppScan安全测试漏洞检测工具10.4版本
12-25
AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯
appscan 9 安全测试工具
04-20
AppScan 是对网站等 Web 应用进行安全攻击来检查网站是否存在安全漏洞;既然是攻击,需要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个...
使用IBM Security AppScan Source 9.0简化组织的移动应用程序安全测试程序
cuyi7076的博客
07-01 219
存档日期:2019年5月15日 | 首次发布:2014年6月17日 今天,许多应用程序都是为移动设备编写的。 这些应用程序被Swift开发和发布。 然而,许多这些应用程序安全性仍然是一个主要问题。 AppScan Source 9.0通过引入本地模式,与IBM Worklight集成以及扩展其对Mac平台的支持,简化了组织的移动应用程序安全性测试。 此内容不再被更新或维护。 全文以P...
php利用阿里云短信SDK实现短信发送功能
最新发布
赛时科技
05-02 1047
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
[Android] 使用 android 自带的 hidl 共享内存接口,Ashmem
ykun089的博客
04-29 366
Android 提供了 一个共享内存服务 android::hidl::allocator::V1_0::IAllocator / android::hidl::memory::V1_0::IMemory, 通过这个接口可以向 android 直接请求共享内存。使用此方法可以更加方便和安全地在 android 系统中使用共享内存,而不需要使用 posix c 的共享内存模块。
appscan工具使用的技术
07-28
AppScan工具使用的技术主要包括爬虫技术和安全渗透测试技术。通过爬虫技术,AppScan可以自动对网站入口进行扫描,并对网页链接进行安全测试。它会根据网站的结构和功能,模拟攻击者的行为,检测潜在的安全漏洞。同时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值