本文评测了国内多个APP安全扫描平台,包括阿里聚安全、360、金刚、百度和AppRisk,分析了扫描时间、漏洞项和扫描能力。测试发现,阿里聚安全扫描项最多,360将漏洞细分,金刚和百度的扫描时间不可预测,而AppRisk的扫描时间与APP大小成正比。下篇将详细讨论扫描能力和结果。
一、前言
随着Android操作系统的快速发展,运行于Android之上的APP如雨后春笋般涌现。由于一些APP的开发者只注重APP业务功能的实现,对APP可能出现安全问题不够重视,使得APP存在较多的安全隐患。国内一些安全厂商为这些开发者提供了各种各样的安全服务,包括APP的加固、安全漏洞分析等。
目前在业界有很多自动化检测APP安全性的在线扫描平台。为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。
希望此次的调研结果可以为读者提供更加可靠的安全漏洞扫描服务建议。
二、分析对象
这一章主要介绍需要对比的扫描平台和需要测试的APP样本。
2.1 对比平台
| 扫描平台 | 网址 |
|---|---|
| 阿里聚安全漏洞扫描 | http://jaq.alibaba.com/ |
| 360APP漏洞扫描 | http://dev.360.cn/mod/vulscan |
| 腾讯金刚审计系统 | http://service.security.tencent.com/kingkong |
| 百度移动云测试中心 | http://mtc.baidu.com/startTest/safe |
| AppRisk Scanner | https://apprisk.newskysecurity.com |
| 爱加密 | http://www.ijiami.cn/ |
| 梆梆加固 | https://www.bangcle.com/ |
| AppTest掌测 | http://www.appstest.cn/ |
| TestIn测试平台 | www.testin.cn/ |
| 腾讯优测 | http://utest.qq.com/ |
| 爱内测 | http://www.ineice.com/ |
| AppScan | http://www-03.ibm.com/software/products/zh/appscan-mobile-analyzer |
| Fortify SCA | http://www8.hp.com/us/en/software-solutions/application-security/ |
对上述扫描平台,我都上传APP进行了测试,简单比较它们的扫描结果。最后,综合检测结果、它们在漏洞扫描领域的知名度以及它们的用户数量,我选取表中前五个扫描平台,即阿里聚安全、360APP漏洞扫描、金刚、百度和AppRisk进行详细的对比分析;由于金刚和优测都是腾讯旗下的产品,所以我选择了专注于APP审计的金刚审计系统。
爱加密扫描速度很快,但整个漏洞扫描就是为其加密模块做铺垫,扫描项非常简单,没有实际的漏洞扫描,只是简单的字符串匹配,故扫描速度非常快。梆梆加密扫描速度也比较快,扫描内容比爱加密要丰富,一共14项,包含了一些高危漏洞的扫描,如与WebView相关的一些漏洞等,但是其漏洞扫描模块也是为了给自己的加固服务做铺垫,所以没有选取这两家。AppTest掌测测试成本太高,每次测试2999元起,所以没有对它进行详细分析。腾讯优测的扫描结果与金刚非常相似,但没有金刚详细;有时候扫描结果只有漏洞概述,没有漏洞的详细信息,也没有修复建议。爱内测的扫描结果非常简略,只判断是否存在漏洞,而不统计漏洞的个数以及漏洞位置。
AppScan和Fortify SCA是国外的扫描平台,分别属于IBM和惠普。我分析了它们的扫描结果,AppScan的免费版本检测结果没有多大的参考价值,重要的漏洞信息都没有显示,如果测试时间超过4个小时,则会中断扫描服务。Fortify SCA的扫描侧重Web应用程序,虽然也可以扫描Android程序,但扫描结果以Web漏洞为主,差强人意,而且在免费试用15天后,每测试一个APP需要花费2000美元,所以我没有详细分析这两个平台。
以下简单统计了各个平台的收费情况,如下表:
| 扫描平台 | 是否收费 | 备注 |
|---|---|---|
| 阿里聚安全漏洞扫描 | 免费 | 完全免费 |
| 360APP漏洞扫描 | 免费 | 完全免费 |
| 腾讯金刚审计系统 | 免费 | 完全免费 |
| 百度移动云测试中心 | 9.9元/次 | 新用户可以获得一张9元代金券,只能用百度钱包支付剩余的0.9元 |
| AppRisk Scanner | 不详 | 普通账户可以测试2个app,随后可以通过可以通过邮件联系AppRisk升级账户 |
| 爱加密 | 免费 | 漏洞扫描主要为其加密服务做推广,扫描能力很差 |
| 梆梆加固 | 免费 | 漏洞扫描主要为其加密服务做推广,扫描能力较差 |
| AppTest掌测 | 2999元/次 | AppTest掌测还有其他测试服务,收费标准不同,安全测试是2999元/次 |
| TestIn测试平台 | 2000元/次 | 安全扫描服务需要填写非常详细的申请表才有机会获得1次试用服务 |
| 腾讯优测 | 200元/次 | 新用户免费使用一次。通过U币的形式付款,1U币=1元 |
| 爱内测 | 免费 | 爱内测免费版主要为其定制化检测做广告 |
| AppScan | 混合 | AppScan将用户分为免费账户和标准账户,免费账户的扫描结果简单;标准账户可以按次收费也可以按月收费 |
| Fortify SCA | 2000美元/个 | 新用户免费试用15天,超过15天后每测试一个APP需要2000美元,一年内可对同一个APP进 |
最低0.47元/天 解锁文章
827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
