背景

在移動端開發(fā)和逆向過程中免不了要面對 安全問題和合規(guī)問題這兩座大山，面對安全問題這個不管從攻擊方或防守方來說都是一個不斷迭代升級的過程，只有在不斷進行安全技術(shù)提升才能更好保障業(yè)務(wù)的發(fā)展。

下面從網(wǎng)絡(luò)上整理了一些移動端安全和合規(guī)的開源代碼，可用于移動端安全的借鑒和思路的學習。

Apkleaks源碼

它是基于jadx進行對app反編譯，用戶掃描APK文件中的 URI、端點和機密信息。

https://github.com/dwisiswant0/apkleaks

AppInfoScanner源碼

一款適用于在移動端(Android、iOS、WEB、H5、靜態(tài)網(wǎng)站)信息收集掃描工具，可以幫助滲透測試工程師、攻擊隊成員、紅隊成員快速收集到移動端或者靜態(tài)WEB站點中關(guān)鍵的資產(chǎn)信息并提供基本的信息輸出,如：Title、Domain、CDN、指紋信息、狀態(tài)信息等。

https://github.com/kelvinBen/AppInfoScanner

Androwarn源碼

用于惡意 Android 應(yīng)用程序的靜態(tài)代碼分析器，檢測是通過對應(yīng)用程序的Dalvik字節(jié)碼（表示為Smali）的靜態(tài)分析與androguard庫一起執(zhí)行的

https://github.com/maaaaz/androwarn

quark-engine源碼

它是一個android惡意軟件評估和分析的工具，它是結(jié)合靜態(tài)和動態(tài)分析的。

https://github.com/quark-engine/quark-engine

Engine源碼

android惡意軟件分析框架，可以是虛擬機檢測、模擬器檢測、自我證書檢查、管道檢測。跟蹤pid檢查等

https://github.com/droidefense/engine

Adhrit源碼

它用于基于 Ghera 基準進行深入的偵測和靜態(tài)字節(jié)碼分析，它能滿足移動安全測試和自動化所有需求的高效解決方案

https://github.com/abhi-r3v0/Adhrit

Tai-e源碼

Java靜態(tài)分析框架，它可以說是我們提出的新穎框架和經(jīng)典框架（如煙灰，WALA，Doop和SpotBugs）的“最佳”設(shè)計。Tai-e易于學習，易于使用，高效且高度可擴展，可以輕松地在其上開發(fā)新的分析。

https://github.com/pascal-lab/Tai-e

Riskscanner源碼

RiskScanner 是開源的多云安全合規(guī)掃描平臺，基于 Cloud Custodian 和 Nuclei 引擎，實現(xiàn)對主流公(私)有云資源的安全合規(guī)掃描和漏洞掃描。

https://github.com/fit2cloud/riskscanner

bombus源碼

Android中的一個很不錯的安全合規(guī)審計平臺

https://github.com/momosecurity/bombus

subDomainsBrute

用于滲透測試器的快速子域暴力工具

https://github.com/lijiejie/subDomainsBrute

Inventus源碼

Inventus它是可以通過抓取特定域及其發(fā)現(xiàn)的任何子域來查找其子域。

https://github.com/nmalcolm/Inventus

Amass源碼

它用于深入的攻擊面映射和資產(chǎn)挖掘

https://github.com/OWASP/Amass

審核編輯：劉清