移动应用安全测试：工具与威胁模型相结合

在构建移动版本web应用时，我们需要什么类型的安全测试工具？

移动应用可能会有复杂的威胁模型，因此安全测试需要检查这些系统的许多不同方面。对于移动应用安全测试，有三种类型是安全测试工具所追求的：静态、动态和取证。

静态

静态测试工具在应用（无论是源代码还是二进制应用）休息时进行监测。在代码运行在设备上，通常还有数据流和缓冲处理时，这些可以很好的识别特定类型的漏洞。有些商业静态安全分析工具和服务能够测试移动应用代码。与厂商合作，确切地了解什么类型的漏可以识别出来，什么样的不可以，这很重要，因为大部分安全静态分析工具最初都是用于优化基于web应用的。

移动应用静态分析自由可用的工具有Clang Static Analyzer，它是C、C++和Objective-C编程的静态分析工具。你可以使用Objective-C支持进行测试，测试特定的质量和基于iOS应用中的安全错误，他们既可以运行在命令行环境中，也可以运行于苹果的XCode环境中。另外，XCode提供的“otool”命令可以用于从iOS应用二进制文件中提取信息，从而用于支持安全分析。

在Android环境中存在的工具是用来提取敏捷汇编代码以及恢复Android应用程序的Java源代码。这些工具的代表有DeDexer，它从Android DEX应用二进制文件中产生敏捷汇编代码；还有dex2jar，它把敏捷应用二进制文件转换成Java JAR文件。标准Java分析工具，如FindBugs随后可以用于来分析这些JAR。另外，此Java字节码可以再次转换回Java源代码，通过使用Java反编译工具，如JD-GUI。这给Android应用设置为手动安全分析。

在www.smartphonesdumbapps.com以及谷歌代码库中，你将会发现一组脚本，它们为iOS和Android自动化许多静态安全测试的准备任务。

动态

动态测试工具允许安全分析师观察运行系统的行为，从而识别出潜在的问题。最常见的移动应用安全测试中使用的动态分析工具是代理工具，它们允许安全分析师观察，或能也会改变，移动应用客户商和支持web服务之间的通信。这类的代理工具的一个代表是OWASP Zed Attack Proxy。有了代理工具，安全分析师可以倒转工程师通信协议，找出潜在的恶意消息，让这些消息无法发送到合法的移动客户端。这允许消息攻击服务器端资源，这些资源对于所有重要的移动应用系统来说，都是关键的组件。

取证

取证工具允许安全分析师检查那些老旧的东西，这些东西通常是应用运行完留下的。分析师通常可能在寻找东西包括硬编码的密码、或其他存储在配置文件中的凭证、应用程序数据库中存储的敏感数据和Web浏览器组件缓存存储的意想不到的数据。分析师还可以使用取证工具看看移动应用组件是如何存储在设备上的，并确定可用的操作系统访问权限控制是否使用适当。

探索移动设备文件系统可以通过使用工具来完成，如Android调试桥，它是与Android开发工具包或第三方工具像iPad文件资源管理器一起的，iPad文件资源管理器要忽略它的名字，它应该为所有的iOS设备工具，而不仅仅只是iPad。

本地SQLite数据库引擎可用iOS和Android系统，而且对于应用开发者来说，也是一种很常见的方法，以在在熟悉的关系型数据库中存储数据，如环境。像SQLite数据库浏览器这样的实用工具，可以用来检查SQLite数据库文件，当这些文件从目标系统中转换过来后。