工具集：APKDeepLens【Android程序漏洞扫描工具】

最新推荐文章于 2025-10-12 14:13:04 发布

原创最新推荐文章于 2025-10-12 14:13:04 发布 · 1.5k 阅读

21 ·

CC 4.0 BY-SA版权

文章标签：

#android #笔记 #xss #前端 #服务器 #网络

该文章已生成可运行项目，

工具集：APKDeepLens【Android程序漏洞扫描工具】

工具介绍

APKDeepLens 是一款基于 Python 开发的工具，专为扫描 Android 应用程序（APK 文件）的安全漏洞而设计。该工具聚焦于 OWASP 移动应用十大安全风险，为开发人员、渗透测试人员和安全研究人员提供了一种简便高效的方式，用于评估 Android 应用的安全防护水平。

功能特性

APKDeepLens 是一款基于 Python 的工具，可对 APK 文件执行多种安全分析操作。其主要功能包括：

APK 分析：扫描 Android 应用程序包（APK 文件），识别潜在安全漏洞。

OWASP 覆盖：全面覆盖 OWASP 移动应用十大安全风险，确保深度安全评估。

高级检测技术：基于自定义 Python 代码实现 APK 文件分析与漏洞检测，提升检测精准度。

敏感信息提取：从 APK 中提取敏感信息（如不安全的身份验证/授权密钥、不安全的请求协议），揭示潜在风险。

深度代码分析：检测不安全的数据存储行为（如涉及 SD 卡的操作），并标记代码中不安全请求协议的使用。

意图过滤器漏洞利用检测：通过解析 AndroidManifest.xml 中的意图过滤器（intent filters），定位潜在漏洞。

本地文件漏洞检测：识别本地文件操作相关的错误处理逻辑，防范因文件误用导致的安全问题。

报告生成：为每个扫描的 APK 生成清晰详尽的报告，提供开发者可操作的修复建议。

CI/CD 集成支持轻松对接持续集成/持续交付（CI/CD）流程，实现开发工作流的自动化安全测试。

友好交互界面：终端输出采用颜色标识，直观区分不同级别的检测结果，提升使用体验。

安装

要使用 APKDeepLens，请确保已安装 Python 3.10（推荐）或更高版本以及 Java 或 OpenJDK 环境。完成这些依赖项的配置后，可通过以下命令安装 APKDeepLens：

Linux

git clone https://github.com/d78ui98/APKDeepLens.git
cd /APKDeepLens
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
python APKDeepLens.py --help

Windows

git clone https://github.com/d78ui98/APKDeepLens.git
cd \APKDeepLens
python3 -m venv venv
.\venv\Scripts\activate
pip install -r .\requirements.txt
python APKDeepLens.py --help

使用

若需直接扫描 APK 文件，请使用以下命令（通过 -apk 参数指定目标 APK 文件路径）。扫描完成后，控制台将输出完整的安全检测报告：

python3 APKDeepLens.py -apk file.apk

若已提取 Android 应用的源代码并希望直接指定路径以加快扫描速度，可执行以下命令（通过 -source 参数指定源代码目录路径）：

python3 APKDeepLens.py -apk file.apk -source <source-code-path>

若需在扫描完成后生成详细的 PDF 和 HTML 格式报告，可通过添加 -report 参数实现，命令示例如下：

python3 APKDeepLens.py -apk file.apk -report

项目地址

https://github.com/d78ui98/APKDeepLens

直接下载

我用夸克网盘分享了「APKDeepLens.zip」，点击链接即可保存。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。链接：https://pan.quark.cn/s/5885e8364323

补充

建议在Linux（非kali）中运行，环境JDK11。（试了半天）

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段