两款免费的Android应用代码安全检测工具

标签: 工具 终端安全 Android 安全检测工具 应用程序 | 发表时间:2015-07-05 12:00 | 作者:空白
出处:http://www.freebuf.com

‍FreeBuf前不久刚刚 报道过,美‍‍图秀秀、gReader、福昕PDF阅读器等14款Android应用易遭中间人攻击。今天,央视《 新闻直播间》也用“黄金三分钟”介绍了安卓手机上存在的名为“寄生兽”的通用型安全漏洞,影响规模达到数以千万级的用户,市面上安卓90%APP都中招。

今年6月Android智能手机在美国的市场份额上升2.8%,达到64.9%。而这带给安卓开发者及用户更多的则是对移动安全及隐私问题的担忧。

‍‍如果你是正在开发手机应用的程序员,那你应该阅读一下 OWASP手机-十大移动威胁。或许你会好奇哪些安全工具可以帮助你解决安卓应用程序日益增长的复杂性难题。嗯,其实是 很多工具的。

这篇文章将介绍两个免费的静态分析工具,可以从集成开发环境(IDE)直接扫描你的代码。‍‍

Android Lint

这是个什么?
这是由IDE 安卓工作室官方提供的一个静态代码分析器。

它有什么用?

检测列表是相当长,而安全检测的数量却十分有限。通常重要的定期检测仍在使用这个工具。

安装包

没有!正如之前提到的,这是IDE 安卓工作时官方的,但是如果你只想要与安全相关的检测,你可以使用这个“ 只要安全”文件。

视频演示

   

FindBugs 与 Find Security Bugs插件

这是个什么?

FindBugs是一款受欢迎的静态分析引擎,广泛用于Java社区。发现安全漏洞( Find Security Bugs)是一该工具的一个插件,为分析提供了安全规范。

它有什么用?

安全插件 FindSecBugs的主要焦点在于标记漏洞,比如应用程序中不安全的通讯、 密码学的误用以及一些 敏感部分

安装包

FindBugs的安装及配置可以通过 几个简单点击就能完成。如果你仍然坚持使用Eclipse(前官方IDE),Eclipse市场中也有一个相同的插件。

视频演示

这里有一个简短的视频,展示了FindBugs在安卓工作室的集成。

   

(注意:这里使用的是Find Security Bugs的一个旧版本)

接下来,我们再聊点什么呢?

不幸的是,程序客户端安全问题仅仅是冰山一角。你的应用程序后端也特别需要注意。毕竟,OWASP十大移动威胁的头号风险便是 薄弱的服务器端控制

另一个不错的建议便是在持续集成环境中将这两种工具结合使用。

BlackHat USA 2015 即将到来

我将在 黑帽大会上展示FindBugs的安全插件,演示IntelliJ和SonarQube的集成。如果你已经使用了该工具,有任何问题都请不要犹豫地反馈给我。

如果你从事的是安卓开发工作,也不要错过在同一时间段的 QARK的展示

如果你有任何可以运用到安卓上的新安全规范,不要犹豫快去GitHub吧。

参考文献

OWASP:Source Code Analysis Tools 静态代码分析工具列表

NIST:Source Code Security Analyzers 另一些不错的按语言分类的工具列表

Android Lint:Android Lint的官方文件

Find Security Bugs:Github网站的FindBugs安全插件

Mobile Security Wiki:一个全面的资源列表,包括用于安卓的工具

*参考来源: blog,转载需注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [免费 android 应用] 推荐:

Android免费?毛

- Ruby - FeedzShare
来自: 36氪 - FeedzShare  . 发布时间:2011年08月17日,  已有 2 人推荐. 微软CEO Steve Ballmer在预测竞争对手产品时通常口无遮拦. 比如他去年抨击Google的Android战略时,很多人都不屑一顾. 接着Android蚕食了微软的地盘,后来又开始侵犯苹果的地盘.

七款免费Android网络电台应用

- kobe - Solidot
Cam Davies 写道 "网络电台是通过互联网提供的音频服务,提供个性化的在线音乐播放,多用于帮助促进唱片销售. 网络电台有两类,一种是传统FM和AM广播网络版;一种是专业或业余的网络电台,可通过SHOUTcast和Icecast等软件收听,其中SHOUTcast收录了全世界大约2.5万个网络电台.

两款免费的Android应用代码安全检测工具

- - FreeBuf.COM | 关注黑客与极客
‍‍FreeBuf前不久刚刚 报道过,美‍‍图秀秀、gReader、福昕PDF阅读器等14款Android应用易遭中间人攻击. 今天,央视《 新闻直播间》也用“黄金三分钟”介绍了安卓手机上存在的名为“寄生兽”的通用型安全漏洞,影响规模达到数以千万级的用户,市面上安卓90%APP都中招. 今年6月Android智能手机在美国的市场份额上升2.8%,达到64.9%.

GetEd2k (Android应用)

- 某牢 - eMule Fans 电骡爱好者
GetEd2k是一个Android应用程序,作者是anacletus. 此应用可以帮助你把网页中的电驴(eDonkey) 链接添加到你个人电脑的电驴客户端里,不过前提是你的客户端开启了用于远程控制的Web interface(Web服务器,网页接口,Web界面),当然,eMule(电骡), MLDonkey 和 aMule 都支持该功能,所以这三种主流电驴客户端的用户都可以使用GetEd2k.

Android 应用程序

- - CSDN博客推荐文章
Android 应用程序由四个模块构造而成:Activity、Intent 、Content Provider 、Service. 下面简单介绍一下如下模块的含义:. 1、Activity  "活动". 一个Activity就是单独的屏幕,每一个活动都被实现为一个独立的类,并且从活动基类中继承而来,活动类将会显示由视图控件组成的用户接口并对事件作出响应.

android应用框架

- - CSDN博客移动开发推荐文章
原文地址:http://developer.android.com/guide/components/fundamentals.html. android应用程序一旦装进设备,每个程序会在它自己安全的沙盒里运行. 1.android操作系统是一个多用户linux系统,每一个应用程序是一个用户. 2.默认情况下,系统会为每个app分配唯一的linux用户id(这个id只会被系统使用,并且只会被这个app知道),系统为每个app的所有文件都设置了权限,只有被分配了这个app用户ID的程序可以访问它.

评论:Android其实不免费

- 貝殼 - cnBeta.COM
搜索引擎最爱说的一点就是自己是免费的,不过看看CCTV2如何把百度玩得欲仙欲死你就知道了,搜索引擎并不免费,用户可以免费搜索是因为有企业买单. 同样,Google也会对外称Android是“免费的、开放的”平台,但我要对此说一句,免个毛线. 这话不是我说的,是微软CEO Steve Ballmer说的.

Android 应用界面设计

- - 互联网的那点事...
与 iOS 相比,Android 系统界面存在各种不协调,应用界面本身缺乏统一的规范. 虽然 Android 的开放性为应用的自主发挥带来了最大的可能性,但如果系统本身能够提供标准的范例,也未必是一件坏事,毕竟许多应用并不一定需要独创的界面. 从 Android 4.0 开始,系统界面在一致性上有了许多改善,那么 Android 应用的界面应该如何设计.