入門安全測試，測試工具要會選！

引言

時間如梭，梭梭催人老。一轉眼，已經好長時間沒有更文了，只因為這段時間，我90%的時間只投入了兩件事：

①產品的安全測試；

②以隊長身份參加我廠組織的安全滲透活動。

最后的比賽結果，當然是不負眾望，在總廠與子廠的18支參賽隊伍(70+人數(shù))中，我榮獲個人第二名，團隊第二的成績。

因為習慣了獲獎的感覺，所以對我來說，相對于獎牌與名次，更喜歡我的Boss們開心的樣子（畢竟月底的KPI、年終總結……）

當然，在參與項目這段時間，我也有了新的成長，對滲透測試也有了新的提升。所以今天，我也準備分享移動APP的安全滲透測試，在這里，你會學到：

①移動APP安全測試的重要性；

②主流的移動APP測試工具；

③從0到1搭建Mobile Security Framework(俗稱MobSF)；

④搭建過程中的避坑指南；

⑤如何使用MobSF；

⑥測試報告總結及分析。

或許你會有疑問：在網上搜索一下，就能知道MobSF的搭建方法，為什么還要分享？

因為網上的那些所謂的教程幾乎很難看到非常詳細的，并且沒有自己從0到1的親自實踐及總結。還有一點，也是我認為要整理并分享的原因，即：如何解決搭建及使用過程中遇到的問題。

看到這里，是不是已經有些期待了呢？別停下，跟著我的思路，開啟今天的課程學習吧。

軟件安全測試

什么是信息安全

關于信息安全，現(xiàn)在的互聯(lián)網時代，無時無刻不被提醒，例如：

移動/聯(lián)調/電信的短信提示

下載軟件時的信息安全提示

你給陌生人轉賬時的信息安全認證

說了這么多，那到底什么是信息安全呢？

引用官方的話：信息安全事關國家生產運行、國家經濟安全和人民生命財產安全，是網絡強國戰(zhàn)略、制造強國戰(zhàn)略的重要支撐內容。

你看，信息安全的重要性，下到我們的個人身份信息， 上到國家信息戰(zhàn)略，所以，這也凸顯出，信息安全的重要性。

既然信息安全這么重要，那如何避免信息威脅呢，信息威脅都有哪些種類呢？我們接著往下看。

信息安全威脅

要想保障信息安全，我們就需要先了解，信息威脅的種類都有哪些，我先上一個表格，這是2021年OWASP TOP 10的安全漏洞：

通過上面的TOP 10的漏洞威脅， 如果不是從事安全工作或者不了解安全信息的同學來說，理解起來有點費勁，但是我舉個例子，你就會知道：

弱密碼

還記得前段時間，新聞報道過，曝出某個國家的國防系統(tǒng)登錄賬號及密碼為 “admin”和“123456”。

這是什么概念呢？我舉個例子：雖然你每天都會鎖門，但是你的鑰匙就放在門邊上。你說，你這門鎖有什么意義呢？

當然，如果對瞎子來說，可能有點費勁，畢竟鑰匙放到哪里，瞎子是看不到的，但是又有哪個瞎子會去陌生人家里 “串門”呢？

安全測試目的

到這里，既然知道信息安全的重要性，以及信息威脅的種類，我們就需要避免這些漏洞就好了。

但是，如何避免，又如何能確定自己開發(fā)的模塊就沒有安全漏洞呢？這個時候就需要安全測試的介入了。

在安全測試介入前，我們需要了解安全測試的目的，只有知道其目的，才能更好進行測試。

我也用一段話來回答：安全測試的目的，就是查找軟件自身程序設計中存在的安全隱患，并檢查應用程序對非法侵入的防范能力， 根據(jù)安全指標不同測試策略也不同，如果遵循相同的原則，去證明軟件的安全性，將有利于軟件安全測試的工作規(guī)范的進行，有利于軟件安全測試工作的發(fā)展。

俗話說，要想徹底打敗”敵人”，除了自己有高超的武藝外，還需要有“武器”的加持。

所以，在了解安全測試目的后，我我們就進入安全測試的下一個階段，即：學習掌握安全測試工具。

安全測試工具介紹

關于移動APP的安全測試工具，有很多，這里，我只介紹3款，即：

Mobsf

QARK

Drozer

我想，做過移動APP安全滲透測試的同學，對這三款工具，應該都不陌生，這三款應該在移動APP的安全測試界的主流了，這里，我也對這三款進行簡單介紹，希望你能對它們有一個初步的認識。

MobSF

Mobsf，全稱為Mobile Security Framework， 是一款自動化移動 App 安全測試工具，適用于 iOS 和Android，可執(zhí)行動態(tài)、靜態(tài)分析和 Web API 測試。

功能：

Mobsf可用于對 Android 和 iOS 應用進行快速安全分析；

支持 binaries（IPA 和 APK）以及 zipped 的源代碼。

特點：

一款開源移動APP安全測試工具；

可以在本地環(huán)境托管，不用擔心信息泄露；

對Android 、IOS、Windows三個平臺的移動APP進行安全性分析。

展示圖：

QARK

QARK 全稱Quick Android Review Kit，由領英(LinkedIn)開發(fā)，是一款靜態(tài)代碼分析工具，可以快速 Android 審查工具包，這個工具可用來檢查 Android 應用的源代碼和打包的 APK 中常見的安全漏洞。

特點：

一款開源移動APP安全測試工具；

能提供詳細的漏洞報告；

能掃描移動 App 中的所有元素，查找安全威脅；

它可以生成 ADB 命令，甚至是功能齊全的 APK，從而將假設的漏洞轉化為有效的 “POC” 漏洞利用。

弊端：

QARK 會將 Android 應用程序反編譯回原始源代碼，這在某些情況下可能屬于違法行為，謹慎使用。

展示圖：

Drozer

Drozer 是由 MWR InfoSecurity 開發(fā)的 App 安全測試框架，分為兩部分，即：

①安裝在PC端的控制臺；

②安裝在終端上的代理APP。

交互：

可以通過與dalivik VM交互、與其他應用程序的IPC端點交互、與底層操作系統(tǒng)的交互，來避免正處于開發(fā)階段或者正處于部署于組織的Android應用程序和設備暴露出安全風險。

特點：

一款開源移動APP安全測試工具；

可以基于真機和模擬器進行測試，不需要USB調試或其他開發(fā)工具即可使用；

可以進行自動擴展，進行app的安全測試。

弊端：

只支持python2.x的版本，不支持python3.x的版本；

PC端與移動端交互時，需要adb命令。

展示圖：

PC端

移動端

我之所以列舉這三款工具：

第一，這三款工具在移動APP的安全測試中還算比較主流，并且使用的人數(shù)也挺可觀；

第二，因為這三款工具有的可以直接分析靜態(tài)代碼和動態(tài)交互，有的可以直接進行在移動APP上進行操作；

第三，這三款工具，測試報告給我的感覺非常的完善；

第四，這三款工具，我使用的經驗比較豐富。

所以本系列我主要介紹Mobsf這款工具（后面的兩篇文章會一一講解如何安裝和使用），至于其他兩款，后面會逐一進行介紹。

最后：在我的V ：atstudy-js，可以免費領取一份10G軟件測試工程師面試寶典文檔資料。以及相對應的視頻學習教程免費分享！其中包括了有基礎知識、Linux必備、Shell、互聯(lián)網程序原理、Mysql數(shù)據(jù)庫、抓包工具專題、接口測試工具、測試進階-Python編程、Web自動化測試、APP自動化測試、接口自動化測試、測試高級持續(xù)集成、測試架構開發(fā)測試框架、性能測試、安全測試等。