APKHunt:一款功能强大的Android应用程序静态代码分析工具

最新推荐文章于 2024-09-20 20:03:40 发布
最新推荐文章于 2024-09-20 20:03:40 发布
阅读量589 收藏
点赞数
分类专栏: 产品经理 文章标签: android git Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010291330/article/details/129773247
版权

关于APKHunt

APKHunt是一款功能强大的Android应用程序静态代码分析工具,该工具基于OWASP MASVS框架实现其功能。尽管APKHunt主要面向移动应用开发人员和安全测试人员,但任何人都可以使用它来识别和解决其代码中的潜在安全漏洞。

在该工具的帮助下,移动软件架构师或开发人员可以进行彻底的代码审查,以确保其移动应用程序的安全性和完整性,而安全测试人员可以使用该工具来确认其测试结果的完整性和一致性。

无论是希望构建安全应用程序的开发人员,还是负责确保其安全的信息安全测试人员,APKHunt都是安全开发工作中的宝贵资源。

注意,当前版本的APKHunt仅支持在Linux环境下运行。

功能介绍

1、扫描范围:涵盖OWASP MASVS框架的大部分SAST(静态应用程序安全测试)相关测试用例;
2、扫描多个APK:支持扫描特定路径或文件夹中的多个APK文件;
3、扫描优化:特定规则旨在检查特定的安全状态,从而实现几乎准确的扫描过程;
4、低误报率:可以准确查明并突出显示代码中潜在安全漏洞的准确位置;
5、输出格式:支持以TXT文件格式输出分析结果,便于终端用户阅读;

工具依赖

Git
Golang
JADX
Dex2jar

上述依赖组件的安装命令如下:

sudo apt-get install git

sudo apt install golang-go

sudo apt-get install jadx

sudo apt-get install dex2jar

工具下载

由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好Go环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Cyber-Buddy/APKHunt.git

然后切换到项目目录中,直接运行APKHunt即可:

cd apkhunt

go run apkhunt.go

工具使用

_ _ __ __ _ __ _ _ _

/ _ \ | _ _ \| | / / | | | | | |

/ /_\ \| |_/ /| |/ / | |_| | _ _ _ _ | |_

| _ || __/ | \ | _ || | | |/ _ \| _|

| | | || | | |\ \ | | | || |_| || | | || |_

\_| |_/\_| \_| \_/ \_| |_/\ _ _ /|_| |_|\_ _|

------------------------------------------------

OWASP MASVS Static Analyzer

APKHunt Usage:

go run APKHunt.go [options] {.apk file}

Options:

-h 查看工具帮助信息

-p Provide the apk file-path

-m Provide the folder-path for multiple apk scanning

-l For logging (.txt file)

Examples:

APKHunt.go -p /Downloads/android_app.apk

APKHunt.go -p /Downloads/android_app.apk -l

APKHunt.go -m /Downloads/android_apps/

APKHunt.go -m /Downloads/android_apps/ -l

工具使用样例

APKHunt.go -p /Downloads/android_app.apk

APKHunt.go -p /Downloads/android_app.apk -l

APKHunt.go -m /Downloads/android_apps/

APKHunt.go -m /Downloads/android_apps/ -l

安全测试范围

OWASP MASVS

V1

架构、设计和威胁建模要求

V2

数据存储和隐私要求

V3

密码学要求

V4

身份验证和会话管理要求

V5

网络通讯要求

V6

环境交互要求

V7

代码质量和构建设置要求

V8

弹性和逆向工程要求

工具运行截图

参考资料

https://redhuntlabs.com/
https://mobile-security.gitbook.io/masvs/
查看Android系统的源码 在线和离线方式 及阅读工具
Android移动开发者的专栏
03-03 9090
前言     不管是做Android底层(Framework-Linux-驱动)开发,还是做APP开发,对于Android的某一个功能,某一个机制,或者某一个API,它到底是如何实现的,需要 Read the fucking source code,才能了然于胸,靠听第三方讲故事是不行的。 在线查看Android代码 http://android.git.kernel.or
python静态分析工具_7 个顶级静态代码分析工具
weixin_35801512的博客
12-23 2667
作者丨 Saif Sadiq策划丨田晓旭静态代码分析或源代码分析是指使用静态代码分析工具对软件的 " 静态 " ( 不运行的 ) 代码进行分析的一种方法,找出代码中潜在的漏洞。静态代码分析器检查源代码,找出特定的漏洞,并检查代码是否符合各种编码标准。1 为什么要进行静态代码分析?在执行代码之前获取代码洞见;与动态分析相比,执行速度更快;可以对代码质量维护进行自动化;在早期阶段 ( 尽管不是所有阶段...
Android 静态代码分析工具
weixin_33965305的博客
05-13 237
2019独角兽企业重金招聘Python工程师标准>>> ...
查看APK文件源代码
最新发布
gitblog_06584的博客
09-20 444
查看APK文件源代码 查看APK文件源代码 项目地址: https://gitcode.com/Resource-Bundle-Collection/28089 本资源文件...
jenkins拉取android代码超时,Jenkins 集成 Android 代码检查
weixin_34299849的博客
05-26 189
一、 Android lintAndroid lint 是一个静态代码分析工具,通过 lint 工具,你可以不用边运行边调试,或者通过单元测试进行代码检查,可以检测代码中不规范、不和要求的问题,解决一些潜在的 bug。lint 工具可以在命令行上使用,也可以在 Android studio 中使用。是 sdk 自带的一种静态分析工具,在 sdk 目录的 tools 目录下面的 bin 可以找到 l...
Android静态代码扫描效率优化与实践
美团技术团队
11-07 6876
总第366篇2019年 第44篇背景与问题DevOps实践中,我们在CI(Continuous Integration)持续集成过程主要包含了代码提交、静态检测、单元测试、编译打包环节。其中静态代码检测可以在编码规范,代码缺陷,性能等问题上提前预知,从而保证项目的交付质量。Android项目常用的静态扫描工具包括CheckStyle、Lint、FindBugs等,为降低接入成本,美团内部孵化了静态...
android代码分析工具,Android代码分析工具-Method profiling
weixin_42465238的博客
05-26 335
来看一个简单的例子 我们在updateLog方法里模拟了一个耗时操作public class TestActivity extends Activity {private void updateLog() {try {Thread.sleep(1000);} catch (InterruptedException e) {e.printStackTrace();}}@Overrideprotect...
静态代码分析工具大全
BRAVE MAN的博客
12-21 4633
简介 本文是一个静态代码分析工具的清单,但是为公司产品,需要付费使用。共有37个公司,有些公司包含多个工具。其中27个公司有多语言工具,2个公司为.NET工具、1个公司为Ada工具、4个公司为C++工具、1个公司为Java工具、1个公司为PHP工具、1个公司为PL/SQL工具。 1 多语言 1.1 Axivion Bauhaus Suite 软件腐蚀保护解决方案。Axivion Bauha...
静态代码分析工具简介
star的博客
09-25 5824
静态代码分析工具简介 什么是静态代码分析 静态代码分析是指无需运行被测代码,仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,找出代码隐藏的错误和缺陷,如参数不匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。 在软件开发过程中,静态代码分析往往先于动态测试之前进行,同时也可以作为制定动态测试用例的参考。统计证明,在整个软件开发生命周期中,30% 至 70%...
静态代码分析工具
star的博客
09-20 1850
三款主流静态代码安全检测工具比较 Fortify SCA(Source Code Analysis) Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用 安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐...
这5个开源和免费静态代码分析工具,你一个都没有用过吗?不会吧
miaozenn的博客
07-10 2255
如果您是软件开发人员或代码安全分析师,则通常需要分析代码以检测安全漏洞并维护安全的质量代码。但是您的代码中可能存在许多难以手动发现的问题。毕竟,我们仍然是人类,因此即使是最高级的安全分析师也都会错过一些安全漏洞。我们提供了源代码分析工具功能强大工具,可以快速,自动地检查引擎盖下的所有内容,而无需执行代码,并且成为人眼的完美伴侣。 源代码分析工具也称为静态应用程序安全性测试工具或SAST工具,旨在向开发人员提供有关他们可能在代码中引入的问题的即时反馈,这与在软件开发生命周期中后期查找漏洞相比非常
apk静态分析
12-25
一个演示分析apk文件信息的demo,欢迎看相关博客
Android源码分析工具及方法
05-16
Android源码分析工具及方法
apk源码查看工具
03-15
解压开查看说明.txt然后里面还有两个压缩文件,一个是将apk中的java代码反编译成jar的工具,一个是查看jar的工具,绝对好用。
Android 分析工具 APKAnalyser
weixin_30832983的博客
07-30 201
APKAnalyser 是 Android 静态,虚拟分析工具,用来测试和验证 Android 应用的开发工作。ApkAnalyser 是个完整的工具链,可以修改二进制应用。用户可以改装,安装,运行,验证 logcat 的结果。ApkAnalyser 同时支持资源分析,可以解码 XML,查找资源指向和检测应用潜在问题。 ApkAnalyser 是个独立的 J2SE 应用,遵循 Apache 开源...
Android源码分析工具
虎哥LoveDroid
05-19 415
在对 Android 源码进行分析时,如果有得力的工具辅助,会达到事半功倍的效果。 eclipse导入Android源码 http://source.android.com/source/downloading.html 提供了从源码下载到编译运 行的所有步骤。在编译完 Android 源码后,可以将源码导入到 Eclipse 中方便后续的分析,具 体步骤如下: 编译Android源码...
安卓之代码检查工具优劣分析以及应用场景
wlred1980的博客
02-01 1524
代码检查工具Android应用开发中是不可或缺的一部分,它们旨在提高代码质量、强化编程规范、消除潜在bug、提升应用性能和安全性。诸如Checkstyle、FindBugs、Infer、PMD和Android Lint等一系列工具各具特色,应用于不同的开发环节,有助于打造健壮且易于维护的移动应用。 这些工具的技术优势在于能够自动化执行静态分析,提前预防问题的发生,而其局限性则可能体现在误报、漏报以及对特定复杂场景的适应性上。
android代码检测工具,Android开发代码监测超级好工具Lint
weixin_42316286的博客
05-25 432
近来有一个Android小项目需要优化, 包括从AndroidManifest.xml删除不必要的permission(权限)。需要删除的权限有点多, 而我又不是很确定哪些权限对于App是必要的。如果我这样做: 每删除一个权限, 就运行一下App, 看各样功能正常不, 那就太费时间了。或者, 我可以写Android Instrumentation Test测试来检测每一次删除的permission...
android 静态分析工具,APKinspector android静态分析工具
weixin_30845365的博客
05-26 817
上学期一直用androguard生成字节码,根据字节码的特征分析得到函数调用图。以为这是很easy的事,以为就一个深度优先遍历。后来仔细检查一个有源码的camera的例子,发现并不像如此简单。比如这种调用:private voidtakePicture(){if (mCamera01 != null && bIfPreview){//调用takePicture()方法拍照mCame...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

牛马尼格

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值