移动安全资料集锦

基础安全
https://github.com/euphrat1ca/Security-List
移动端资源
https://search.f-droid.org/ --开源安卓应用去中心化分发
https://www.apkmirror.com --谷歌安装包镜像
https://apkpure.com/cn --三方+Google play
https://cn.aptoide.com --应用分发
Google ->APK Downloader --chrome拓展 Google play源
移动安全
https://github.com/crifan/android_app_security_crack --电子书:安卓应用的安全和破解。goodjob。
https://github.com/Brucetg/App_Security --App安全学习资源
https://github.com/mirfansulaiman/Command-Mobile-Penetration-Testing-Cheatsheet --移动安全测试条例
移动端虚拟定位
https://github.com/Lerist/FakeLocation --安卓虚拟定位
移动端测试框架
https://github.com/OWASP/owasp-mstg OWASP Mobile Security Testing Guide移动安全测试资源
https://github.com/MobSF/Mobile-Security-Framework-MobSF --移动应用(Android / iOS / Windows)静态和动态分析测试框架。支持docker运行。
https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security/ --Py。Runtime Mobile Security (RMS) 移动端动态测试
https://github.com/mwrlabs/drozer --Py。MWR Labs开源Android 安全测试框架,支持编写自定义模块。
https://github.com/nccgroup/house --JS,Py。运行时手机 App 分析工具包。带Web GUI。
https://github.com/Meituan-Dianping/lyrebird --移动端MOCK测试工作台。
https://github.com/lyxhh/lxhToolHTTPDecrypt --js。基于frida/Burp/flask的app协议分析工具,利用HTTP协议识别app加密算法、解密数据包。goodjob。
移动端利用框架
https://github.com/nettitude/scrounger --Py。Linux下iOS和Android移动应用程序渗透测试框架
https://gitlab.com/kalilinux/nethunter/build-scripts/kali-nethunter-project --移动端KaliHunter手机渗透测试系统
https://github.com/cSploit/android --Java。cSploit: Android network pentesting suite手机渗透工具框架,可兼容msf
https://github.com/euphrat1ca/Smartphone-Pentest-Framework --PY/C/C++。SPF移动端渗透测试框架,支持电话通讯协议SS7漏洞利用,进行远程SS7指令操作。Web:shevirah.com/dagah/;–
https://github.com/metachar/PhoneSploit --Py。通过shodan搜索开启调试模式的安卓设备,利用Adb控制安卓设备。
https://github.com/mesquidar/adbsploit --Py3。利用Adb控制安卓设备。
https://termux.com/ --基于 Android 平台的开源 Linux 终端模拟器,使用 pkg(apt) 进行软件包的管理,无需 root 权限。W:搭建安卓服务器;–
https://github.com/Gameye98/Lazymux --Py3。通过Termux打造免root安卓渗透工具。
Android应用安全
https://github.com/frida/frida/ --PY,Java。Frida是一款通过JavaScript代码注入应用程序的跨平台hook框架,二进制逆向动态调试。Github:/dweinstein/awesome-frida;G:/andreafioraldi/frida-fuzzer;–
https://github.com/sensepost/objection --Py。移动端动态调试安全检测,Frida公司开发。
https://github.com/hanbinglengyue/FART/ --py。基于frida的ART环境下自动化脱壳方案。
https://github.com/hluwa/ZenTracer --Py。frida插件,Android app 运行时实时追踪,调用的类名方法名。
https://github.com/zsdlove/ApkVulCheck --Py3。对安卓apk进行特征值匹配。welljob。
https://github.com/jboss-javassist/javassist --Java。能够操作字节码框架,轻易的修改class代码文件。
https://github.com/programa-stic --基于Androguard 及Static Android Analysis Framework 的Android App静态分析引擎。
https://github.com/WooyunDota/DroidSSLUnpinning --安卓证书锁定解除的工具
安卓HOOK利用
https://github.com/rovo89/Xposed --C++。Android动态修改hook,隐藏root执行权限。
https://taichi.cool/ --安卓Xposed魔改框架太极,可加载 Xposed 模块、修改系统和APP、拦截方法,执行 hook 逻辑等,支持免root与Magisk模式。greatjob。社区版。
https://github.com/android-hacker/VirtualXposed --Java。基于VirtualApp 和 epic 免root使用xposed。greatjob。商业版。G:/asLody/VirtualApp;W:太极 两仪–
https://github.com/Fuzion24/JustTrustMe --Java。App证书SSL注入抓包。xposed插件。
https://github.com/monkeylord/XServer --xposed插件。注入拦截方法调用,进行通信协议加密、混淆的分析。
https://github.com/LSPosed/LSPosed --edxposed进化版。P:Magisk分区;–
macOS/IOS应用安全
https://github.com/pwn20wndstuff/Undecimus/ --iOS 11.0 - 12.4全版本越狱。
https://github.com/axi0mX/ipwndfu --Py。checkm8利用ios底层全版本越狱
https://github.com/dmayer/idb --Ruby。开源的iOS App安全评估工具,作者是Danl A.Mayer。
https://github.com/mwrlabs/needle --Py。MWR Labs开发的一个开源iOS安全测试框架,同样支持开发自定义模块来扩展Needle的功能,目前主要功能包含对iOS应用数据存储,IPC。网络通信,静态代码分析,hooking及二进制文件防护等方面的安全审计。
https://github.com/GeoSn0w/OsirisJailbreak12 --IOS12不完全越狱
https://github.com/chaitin/passionfruit --iOS应用逆向与分析工具,可以大大加速iOS应用安全分析过程
https://sukarodo.me/gr00t/ --IOS12全版本越狱工具
https://github.com/samyk/frisky --针对 ios/mac OSX 应用的嗅探/修改/逆向/注入等工具
https://github.com/LinusHenze/Keysteal --C++。窃取MacOS下KeyChain。CVE-2019-8526
https://github.com/coffeehb/Some-PoC-oR-ExP/blob/master/check_icmp_dos.py --CVE-2018-4407,macos/ios缓冲区溢出可导致系统崩溃
https://github.com/sickcodes/Docker-OSX --OSX-KVM in Docker! X11 Forwarding!,基于qemu和kvm封装的苹果镜像docker。
应用安全审计
https://mp.weixin.qq.com/s/d9RzCFkYrW27m1_LkeA2rw --系列 | 58集团白盒代码审计系统建设实践1:技术选型
https://www.joinfortify.com --HP出品的源代码安全审计工具Fortify SCA通过将其它语言转换成一种中间媒体文件NST(Normal Syntax Trcc),将源代码之间的调用关系、执行环境、上下文等分析清楚。通过匹配所有规则库中的漏洞。商业版。goodjob。
https://www.checkmarx.com/ --源代码安全检测解决方案,动静态代码分析。商业版。
https://www.sonarqube.org/ --27种语言数千种自动的静态代码分析规则。goodjob。G:/SonarSource/sonar-java;G:/pmd/pmd;–
https://github.com/microsoft/ApplicationInspector --C#。基于规则代码审计,支持包括C、C++、C、Java、JavaScript、HTML、Python、Objective-C、GO、Ruby以及PowerShell等语言,支持报告输出。G:/returntocorp/semgrep;–
https://securitylab.github.com/tools/codeql/ --GitHub数据流语法树代码审计,集成插件、函数库形式。G:/github/securitylab;–
https://www.freebuf.com/articles/web/283795.html --CodeQL从入门到放弃。G:/xsser/codeql_chinese;–
https://github.com/wufeifei/cobra --Py。基于AST语法树抽象源代码安全审计,支持PHP、Java等Web开发语言,并支持数十种类型文件。界面GUI。
https://github.com/codespaces-io/codespaces --VSCode代码审计插件
https://github.com/pumasecurity/puma-scan --C#。Visual Studio插件,实时代码审计。
https://github.com/jeremylong/DependencyCheck --Java。依赖项版本信息对源代码进行扫描识别。
Java代码审计
https://github.com/JoyChou93/java-sec-code --陌陌开源一键代码审计修复。G:/zsdlove/Hades;–
https://github.com/HXSecurity/DongTai-agent-java --火线洞态IAST 污点追踪 source sink,支持 python、Java
Ruby代码审计
https://github.com/presidentbeef/brakeman --Ruby on Rails应用静态代码分析
Clang+代码审计
https://github.com/GoSSIP-SJTU/TripleDoggy --C。c/c++/object-c源代码检测框架,支持接口调用。
https://github.com/joernio/joern --Java。C/C++/Java/Binary/Javascript code property graphs代码图流追踪。
二进制代码审计
https://github.com/xfhg/intercept/ --Go。基于yaml与ripgrep的代码静态分析审计。
https://www.kanxue.com/book-38-438.htm/ --第三课:Delphi代码审计–项目实战1
JS代码审计
https://github.com/RetireJS/grunt-retire --js.js扩展库漏洞扫描
https://github.com/Aurore54F/JaSt --使用语法检测恶意/混淆的JS文件,https://www.blackhoodie.re/assets/archive/JaSt_blackhoodie.pdf
https://github.com/ctxis/beemka --针对Electron App的漏洞利用工具包
https://github.com/doyensec/electronegativity --Electron应用代码审计,App的错误配置和安全问题
https://github.com/callforpapers-source/jshole/ --Js。js漏洞扫描。
PHP代码审计
http://zeroyu.xyz/2019/03/11/NAVEX-Precise-and-Scalable-Exploit-Generation-for-Dynamic-Web-Applications/ --基于图数据库Web应用程序的漏洞利用生成框架。G:/aalhuz/navex;–
https://github.com/euphrat1ca/SeaySourceCodeCheck --C#。PHP代码审计,法师Seay源代码审计系统2.1版本。noupdate。
https://github.com/OneSourceCat/phpvulhunter --php。静态php代码审计。noupdate。
https://github.com/ripsscanner/rips --php。php代码审计工具。noupdate。
https://github.com/chuan-yun/Molten --C。PHP应用透明链路追踪工具。G:/Qihoo360/phptrace;–
https://github.com/elcodigok/wphardening --py。WordPress插件代码审计
Python代码审计
https://github.com/ga0/pyprotect --C++。python代码加密防逆向。
https://github.com/pyupio/safety --Py。检查所有已安装 Python包,查找已知的安全漏洞。
https://github.com/facebook/pyre-check/ --Py3。facebook推出的Zoncolan基本版python代码静态审计工具。号称30分钟扫描一亿行代码库,bug漏洞都能找。
https://github.com/shengqi158/pyvulhunter --Py。基于pysonar2的Python应用审计。NOUPDATE。G:/yinwang0/pysonar2;–
https://github.com/PyCQA/bandit --Py。Python代码安全漏洞审计。
https://github.com/python-security/pyt --Py。用于检测Python Web应用程序中的安全漏洞的静态分析工具。
Golang代码审计
https://github.com/securego/gosec --go。Go语言源码安全分析工具。G:/system-pclub/GCatch;–
固件安全审计
https://github.com/seemoo-lab/polypyus --Py3。固件源码分析工具。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值