移動滲透測試需要準備哪些工具

大多數移動應用安全工具也都是免費并且開源的。根據下面所列出的移動平臺可以對移動應用滲透測試工具進行分類。

1.Android

網上已經有很多Android滲透測試工具和虛擬機了。有些工具完全側重于APK代碼的靜態分析，還有些工具則側重于應用運行時的動態分析。已發行的大多數Android滲透測試虛擬機都是免費的，其中包含了測試Android SDK等Android應用所需要的工具。列出了一些Android滲透測試工具，但是依然建議下載與自己的測試需求最為契合的Android滲透測試虛擬機，并在虛擬機中安裝其他用到的滲透測試工具。

在這里，雖然沒有明確要求Android測試工具同本機相互隔離，但是為了確保移動應用測試環境更加穩定，并避免出現文件依賴問題，我們還是建議將Android測試環境同本機隔離起來。

• 發行版Android滲透測試虛擬機：Android SDK、Android Emulator
• Enjarify
• JD-Gui
• Mob-SF
• SQLite Browser
• Burp Suite
• OWASP ZAP

2.iOS

由于iOS平臺比較特殊，因此在開始滲透測試前需要準備好OS X計算機和已越獄的蘋果設備。如果不滿足這兩個前提條件，那么是無法對iOS應用開展滲透測試的。下面是對iOS應用進行滲透測試時用到的部分工具。

• idb
• Xcode Tools
• Class-Dump
• Hopper（可選）
• Mob-SF
• SQLite Browser
• Burp Suite
• OWASP ZAP

回答所涉及的環境：聯想天逸510S、Windows 10。