使用 APKHunt 静态分析 Android 应用程序

APKHunt 是一款构建在 OWASP MASVS 框架之上的开源 Android 应用程序静态分析工具，可帮助开发人员识别和修复应用程序中潜在的安全漏洞，对于安全专家想要查找漏洞也很有用。

​

APKHunt 的突出特点：

扫描范围广：涵盖与 OWASP MASVS 框架的 SAST（静态应用程序安全测试）相关的大部分测试用例。

支持APK文件批量扫描：支持扫描特定路径或文件夹中的多个APK文件。

优化扫描：设计特定规则来检查特定安全漏洞，从而实现几乎 100% 准确的扫描。

误报率低：旨在识别并突出显示源代码中的漏洞位置。

输出格式：结果可以TXT格式查看。

APKHunt 可以执行的一些工作：

扫描 Android 应用程序以识别已知的安全漏洞。

识别应用程序源代码中的潜在问题，例如不安全的编程、不正确的权限使用以及源代码中的硬编码凭据...

从扫描生成详细报告。

帮助开发人员修复源代码中的安全漏洞。

确保开发者的应用程序符合安全标准。

APKHunt 的优点：

尽早识别应用程序中的安全漏洞可以节省时间和金钱，以遵守 OWASP MASVS 等标准。

增强应用程序安全性，以保护用户免受黑客风险或影响应用程序提供商的任何其他安全问题的影响。

APKHunt 的局限性：

像 APKHunt 这样的静态源代码分析工具只能检测应用程序代码中的漏洞；因此，他们无法发现执行过程中造成的漏洞。

该工具不提供全面的安全测试解决方案，因此应与其他测试解决方案（例如动态分析工具）结合使用以获得最佳性能。

APKHunt 仅在 Linux 环境中受支持。

安装：

代码：

git clone https://github.com/Cyber-Buddy/APKHunt.git cd apkhunt go run apkhunt.go

要求设备安装 Git、Golang、JADX、Dex2jar。如果没有，您可以按照以下说明进行安装：

安装 Git： sudo apt-get install git

安装 Golang： sudo apt install golang-go

安装 JADX： sudo apt-get install jadx

安装Dex2jar： sudo apt-get install dex2jar