用什么可以掃描 App 漏洞

以下是幾款可以對APP漏洞進行掃描的工具：

• OWASPZedAttackProxy(ZAP)

  OWASPZAP是目前最流行的免費APP移動安全測試工具，由全球數百個志愿者維護。該工具可以在APP的開發和測試階段自動查找安全漏洞。OWASPZAP同時還是高水平滲透測試專家非常喜愛的手動安全測試工具。

• Quick Android ReviewKit

  QARK是一種Android程序源代碼安全漏洞分析工具。該工具有自己的開發社區，任何人都可以免費使用。QARK還會嘗試提供動態生成的AndroidDebugBridge（ADB）命令來幫助核實潛在漏洞。

• Devknox

  對于使用AndroidStudio開發Android應用程序的開發者來說，Devknox是此類移動安全檢測工具中的佼佼者，Devknox不但能檢測基本的移動安全問題，還能向開發者提供問題修復的實時建議。

• Drozer

  Drozer是一個相當全面的Android安全與攻擊框架，這個移動app安全測試工具能夠通過進程間通訊機制（IPC）與其他Android應用和操作系統互動，這種互動機制使其有別于其他自動化掃描工具。

• MobileSecurityFramework

  MobileSecurityFramework是一個自動化的移動app安全測試工具，支持Android和iOS雙平臺，能夠進行靜態、動態分析以及webAPI測試。MobSF經常被用來對Android或iOSapp進行快速安全分析，支持二進制（APK&IPA）形式以及源代碼的zip壓縮包。

• Mitmproxy

  Mitmproxy是一個免費的開源工具，可以用于攔截、檢測、修改或延遲app與后端服務之間的通訊數據，該工具的名字也可以看出這是一種類似中間人攻擊的測試模式。當然，這也意味著該工具確實可以被黑客利用。

• iMAS

  iMAS也是一個開源移動app安全測試工具，可以幫開發者在開發階段遵守安全開發規則，例如應用數據加密、密碼提示、預防應用程序篡改、在iOS設備中部署企業安全策略等。無論是檢查設備越獄，保護駐內存敏感信息還是防范二進制補丁，iMAS能為你的iOS程序在充滿敵意的環境中提供安全保障。

回答所涉及的環境：聯想天逸510S、Windows 10。