背景

在移動(dòng)端開發(fā)和逆向過程中免不了要面對(duì) 安全問題和合規(guī)問題這兩座大山，面對(duì)安全問題這個(gè)不管從攻擊方或防守方來說都是一個(gè)不斷迭代升級(jí)的過程，只有在不斷進(jìn)行安全技術(shù)提升才能更好保障業(yè)務(wù)的發(fā)展。

下面從網(wǎng)絡(luò)上整理了一些移動(dòng)端安全和合規(guī)的開源代碼，可用于移動(dòng)端安全的借鑒和思路的學(xué)習(xí)。

Apkleaks源碼

它是基于jadx進(jìn)行對(duì)app反編譯，用戶掃描APK文件中的 URI、端點(diǎn)和機(jī)密信息。

https://github.com/dwisiswant0/apkleaks

AppInfoScanner源碼

一款適用于在移動(dòng)端(Android、iOS、WEB、H5、靜態(tài)網(wǎng)站)信息收集掃描工具，可以幫助滲透測試工程師、攻擊隊(duì)成員、紅隊(duì)成員快速收集到移動(dòng)端或者靜態(tài)WEB站點(diǎn)中關(guān)鍵的資產(chǎn)信息并提供基本的信息輸出,如：Title、Domain、CDN、指紋信息、狀態(tài)信息等。

https://github.com/kelvinBen/AppInfoScanner

Androwarn源碼

用于惡意 Android 應(yīng)用程序的靜態(tài)代碼分析器，檢測是通過對(duì)應(yīng)用程序的Dalvik字節(jié)碼（表示為Smali）的靜態(tài)分析與androguard庫一起執(zhí)行的

https://github.com/maaaaz/androwarn

quark-engine源碼

它是一個(gè)android惡意軟件評(píng)估和分析的工具，它是結(jié)合靜態(tài)和動(dòng)態(tài)分析的。

https://github.com/quark-engine/quark-engine

Engine源碼

android惡意軟件分析框架，可以是虛擬機(jī)檢測、模擬器檢測、自我證書檢查、管道檢測。跟蹤pid檢查等

https://github.com/droidefense/engine

Adhrit源碼

它用于基于 Ghera 基準(zhǔn)進(jìn)行深入的偵測和靜態(tài)字節(jié)碼分析，它能滿足移動(dòng)安全測試和自動(dòng)化所有需求的高效解決方案

https://github.com/abhi-r3v0/Adhrit

Tai-e源碼

Java靜態(tài)分析框架，它可以說是我們提出的新穎框架和經(jīng)典框架（如煙灰，WALA，Doop和SpotBugs）的“最佳”設(shè)計(jì)。Tai-e易于學(xué)習(xí)，易于使用，高效且高度可擴(kuò)展，可以輕松地在其上開發(fā)新的分析。

https://github.com/pascal-lab/Tai-e

Riskscanner源碼

RiskScanner 是開源的多云安全合規(guī)掃描平臺(tái)，基于 Cloud Custodian 和 Nuclei 引擎，實(shí)現(xiàn)對(duì)主流公(私)有云資源的安全合規(guī)掃描和漏洞掃描。

https://github.com/fit2cloud/riskscanner

bombus源碼

Android中的一個(gè)很不錯(cuò)的安全合規(guī)審計(jì)平臺(tái)

https://github.com/momosecurity/bombus

subDomainsBrute

用于滲透測試器的快速子域暴力工具

https://github.com/lijiejie/subDomainsBrute

Inventus源碼

Inventus它是可以通過抓取特定域及其發(fā)現(xiàn)的任何子域來查找其子域。

https://github.com/nmalcolm/Inventus

Amass源碼

它用于深入的攻擊面映射和資產(chǎn)挖掘

https://github.com/OWASP/Amass

審核編輯：劉清