APP漏洞自动化扫描专业评测报告(上篇)

*本文原创作者:Sunnieli,本文属FreeBuf原创奖励计划,未经许可禁止转载

一、前言

随着Android操作系统的快速发展,运行于Android之上的APP如雨后春笋般涌现。由于一些APP的开发者只注重APP业务功能的实现,对APP可能出现安全问题不够重视,使得APP存在较多的安全隐患。 国内一些安全厂商为这些开发者提供了各种各样的安全服务,包括APP的加固、安全漏洞分析等。

目前在业界有很多自动化检测APP安全性的在线扫描平台。为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。

希望此次的调研结果可以为读者提供更加可靠的安全漏洞扫描服务建议。

二、分析对象

这一章主要介绍需要对比的扫描平台和需要测试的APP样本。

2.1 对比平台

扫描平台

网址

阿里聚安全漏洞扫描

http://jaq.alibaba.com/

360APP漏洞扫描

http://dev.360.cn/mod/vulscan

腾讯金刚审计系统

http://service.security.tencent.com/kingkong

百度移动云测试中心

http://mtc.baidu.com/startTest/safe

AppRisk Scanner

https://apprisk.newskysecurity.com

爱加密

http://www.ijiami.cn/

梆梆加固

https://www.bangcle.com/

AppTest掌测

http://www.appstest.cn/

TestIn测试平台

www.testin.cn/

腾讯优测

http://utest.qq.com/

爱内测

http://www.ineice.com/

AppScan

http://www-03.ibm.com/software/products/zh/appscan-mobile-analyzer

Fortify SCA

http://www8.hp.com/us/en/software-solutions/application-security/

对上述扫描平台,我都上传APP进行了测试,简单比较它们的扫描结果。

最后,综合检测结果、它们在漏洞扫描领域的知名度以及它们的用户数量,我选取表中前五个扫描平台,即阿里聚安全、360APP漏洞扫描、金刚、百度和AppRisk进行详细的对比分析;由于金刚和优测都是腾讯旗下的产品,所以我选择了专注于APP审计的金刚审计系统。

爱加密扫描速度很快,但整个漏洞扫描就是为其加密模块做铺垫,扫描项非常简单,没有实际的漏洞扫描,只是简单的字符串匹配,故扫描速度非常快。

梆梆加密扫描速度也比较快,扫描内容比爱加密要丰富,一共14项,包含了一些高危漏洞的扫描,如与WebView相关的一些漏洞等,但是其漏洞扫描模块也是为了给自己的加固服务做铺垫,所以没有选取这两家。

AppTest掌测测试成本太高,每次测试2999元起,所以没有对它进行详细分析。

腾讯优测的扫描结果与金刚非常相似,但没有金刚详细;有时候扫描结果只有漏洞概述,没有漏洞的详细信息,也没有修复建议。

爱内测的扫描结果非常简略,只判断是否存在漏洞,而不统计漏洞的个数以及漏洞位置。

AppScan和Fortify SCA是国外的扫描平台,分别属于IBM和惠普。我分析了它们的扫描结果,AppScan的免费版本检测结果没有多大的参考价值,重要的漏洞信息都没有显示,如果测试时间超过4个小时,则会中断扫描服务。

Fortify SCA的扫描侧重Web应用程序,虽然也可以扫描Android程序,但扫描结果以Web漏洞为主,差强人意,而且在免费试用15天后,每测试一个APP需要花费2000美元,所以我没有详细分析这两个平台。

以下简单统计了各个平台的收费情况,如下表:

扫描平台

是否收费

备注

阿里聚安全漏洞扫描

免费

完全免费

360APP漏洞扫描

免费

完全免费

腾讯金刚审计系统

免费

完全免费

百度移动云测试中心

9.9元/次

新用户可以获得一张9元代金券,只能用百度钱包支付剩余的0.9元

AppRisk Scanner

不详

普通账户可以测试2个app,随后可以通过可以通过邮件联系AppRisk升级账户

爱加密

免费

漏洞扫描主要为其加密服务做推广,扫描能力很差

梆梆加固

免费

漏洞扫描主要为其加密服务做推广,扫描能力较差

AppTest掌测

2999元/次

AppTest掌测还有其他测试服务,收费标准不同,安全测试是2999元/次

TestIn测试平台

2000元/次

安全扫描服务需要填写非常详细的申请表才有机会获得1次试用服务

腾讯优测

200元/次

新用户免费使用一次。通过U币的形式付款,1U币=1元

爱内测

免费

爱内测免费版主要为其定制化检测做广告

AppScan

混合

AppScan将用户分为免费账户和标准账户,免费账户的扫描结果简单;标准账户可以按次收费也可以按月收费

Fortify SCA

2000美元/个

新用户免费试用15天,超过15天后每测试一个APP需要2000美元,一年内可对同一个APP进行多次测试

2.2 测试样本

测试样本:

名称

版本

WiFi万能钥匙

4.0.9

墨迹天气

5.0916.02

新浪微博

6.7.0

测试app

手机百度

7.4

通过上传精心构造的包含各种漏洞的“测试APP”,测试它们的扫描能力,随后上传应用市场中下载量较大的应用程序进行实际测试。

由于受时间和资源的限制,并未大规模上传应用进行测试,也只是详细对比了WiFi万能钥匙的扫描结果。因此扫描结果有些许的片面性,但总体反映各个扫描平台的检测能力。

三、总体能力对比

3.1 扫描时间对比

以下列表各个扫描平台扫描时间的对比,金刚只能检测50M以内的APP,所以没有新浪微博的检测时间,而百度每检测一次收费9.9元,而且没有记录扫描时间;受限于时间和经费,没有再次检测APP以获取扫描时间,单位:分。

阿里聚安全

360

百度

金刚

Apkrisk

WiFi万能钥匙(5.38M)

6

458

1395

3

墨迹天气(14.9M)

16

1256

1577

4

手机百度(36.8M)

21

261

710

7

新浪微博(53.2M)

45

1112

8

补充一下,时间的获取是以扫描界面内对应APP给出的或者是以收到扫描结束通知为依据的。可以看出,阿里聚安全和AppRisk的扫描时间与APP的大小成正比,而360和金刚没有明显的规律。

当用户把APP投入阿里聚安全和AppRisk中扫描时,可以根据APP的大小预测大致的扫描时间;而投入到360和金刚时却无法预测大致的扫描时间。

3.2 漏洞项对比

360将许多类型相同的漏洞分成多个具体的漏洞,我将其合并一下(组件导出归为一类,文件读写归为一类,SQL注入归为一类)。

从具体漏洞个数对比表可以看出,五个产品相同的扫描项有9种,其中四个产品相同的扫描项有7种。总的来说,这五个产品基本覆盖了目前Android应用程序可能出现的所有漏洞。

总体覆盖量排名:阿里聚安全(35个)>360(30个)>百度(26个)>金刚(23个)>Apkrisk(20个)

3.3 扫描能力对比

最后我用自己编写的测试APP测试各个扫描平台的扫描能力。这些扫描能力主要分为静态检测能力和动态检测能力。

静态检测能力包括检测隐藏dex、过程间分析、正向分析、逆向分析;动态测试主要是指测试拒绝服务漏洞的能力,拒绝服务漏洞又可以划分为:空Intent引起的拒绝服务,强制类型转换引起的拒绝服务以及序列化对象导致的拒绝服务。

由于这些检测能力决定了扫描器扫描结果的精度和准度,因此我详细分析了各个扫描平台的扫描能力。

更多精彩内容点击阅读原文可见。由于内容太长,我将扫描能力和扫描结果单独作为下篇分享出来,敬请关注该专题在FreeBuf的下集连载。

*本文原创作者:Sunnieli,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

如何确保uCPE零接触部署

服务提供商正在努力用在通用客户端设备(uCPE)的标准平台上运行的软件来替换客户端设备(CPE)。他们还希望尽量减少在供应链和客户现场建立uCPE所需的步骤。在...

972
来自专栏chenssy

Java必看 | 阿里巴巴总结:Java常见疑惑和陷阱

本文是淘宝 @逾轮 总结的Java常见的疑惑和陷阱。对于文中列举的例子,希望大家都能好好跑一下看看实际结果,然后思考一下为什么是这个结果。相信通过实践,大家能够...

2194
来自专栏沃趣科技

All In One|沃趣QFusion v2.0.0 MySQL私有云平台重磅发布

沃趣科技QFusion v2.0.0 MySQL私有云平台重磅发布,产品不仅具备之前QFusion v1.0.0版本的企业级特性,在此基础之上重构整个IaaS和...

3329
来自专栏云计算D1net

公有云安全:哪个工具可以保证?

尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢? AWS拥有一系列...

4095
来自专栏后端技术探索

Uber工程技术栈(二):看曾经的独角兽背后用了哪些技术

我们的服务彼此交互,还与移动设备进行交互,而那些交互对业务状况(比如动态定价)和内部使用(比如调试)来说都很重要。就日志而言,我们使用了多个Kafka集群,数据...

964
来自专栏程序你好

个人门户系统设计方案

3134
来自专栏架构师小秘圈

揭秘大型网站架构进化之路

丁浪,非著名架构师。关注高并发、高可用的架构设计,对系统服务化、分库分表、性能调优等方面有深入研究和丰富实践经验。热衷于技术研究和分享。 声明:版权归丁浪作者本...

4625
来自专栏程序员互动联盟

【答疑释惑】学嵌入式需要什么样的电脑配置?

毋庸置疑,嵌入式仍旧是一门非常热门的技术,每年依旧有很多同学投入到嵌入式学习的大军中来。从简单的8位单片机,例如51系列,到32位的arm,mips系列,甚至现...

3718
来自专栏智能计算时代

[云计算架构:Dynamics ] 多租户 或多实例 ?

Dynamics 365(在线)为您提供了隔离Dynamics 365数据和用户访问权限的选项。 对于大多数公司而言,在订阅中添加和使用多个实例可提供正确的功能...

2272
来自专栏FreeBuf

四种捕获DDoS攻击的监测工具(含报告)

现在有很多防御或缓解DDoS攻击的服务,但是如何第一时间发现网站被D仍然是个难题。这里我们罗列四个帮助识别DDoS攻击的监测工具和方法。 工具一:内部服务器、网...

4957

扫码关注云+社区

领取腾讯云代金券