互联网时代,越来越多的企业允许员工携带自己的设备办公,使用上的便捷性及习惯依赖,致使大多数现代用户都会直接使用自己的智能手机、平板电脑和平板式手机来访问商业和个人数据,然而,这也给企业数据带来了被泄密的风险。如何将这些设备安全地引入网络中,如何保障企业数据、应用和系统的安全至关重要。本文中,笔者就几款常见的移动设备安全测试工具展开介绍,借此为企业在消除安全威胁的工具选择上提供参考。
OWASP Zed Attack Proxy Project
ZAP(OWASP Zed Attack Proxy Project)是一款操作简便的静态安全测试工具,最初被用于Web应用程序的渗透测试中,后来被广泛运用到移动应用安全性的评估上。该工具允许测试人员设计和模拟发送恶意短信,用户可以通过模拟恶意短信攻击服务器端来评估手机应用的安全性,也可以通过逆向工程通信协议来评估应用程序的漏洞。
HP Enterprise Software
HP Enterprise Software可以针对不同的设备,平台和网络来执行应用程序的安全测试。该工具目前支持多种流行的移动平台(iOS,Android,Windows Phone和Blackberry),它还具有促进各种移动应用程序的端-端安全测试的功能。此外,HP Enterprise Software可用于分析应用程序的静态资源,且定期计划动态扫描,模拟真实用户体验,并做到实时检测应用程序中的漏洞。
Smart Phones Dumb Apps
Smart Phones Dumb Apps是一款用perl语言开发的脚本集,支持iOS和Android,并且它也与Google代码存储库相关联。测试人员可以彻底扫描移动应用程序的源代码来评估iOS和Android应用程序安全性,并确定导致应用程序易遭受各种安全攻击的较弱代码段。Smart Phones Dumb Apps也可用于Android应用程序的源代码上进行Fortify SCA扫描。
iPad文件资源管理器(IPad File Explorer)
iPad File Explorer是一款适用于Mac操作系统的软件。它可以查看iPad应用程序文件,同时,该工具也可以将iOS设备当作移动存储盘使用的工具,轻松从磁盘模式访问iOS设备的硬盘文件. 测试人员还可以使用该工具来访问越狱iOS设备的存储文件系统。
ADB(Android Debug Bridge )
adb.exe全称是Android Debug Bridge,它是一款很重要的手机工具,属于android sdk,用adb.exe可以直接操作管理android模拟器或者真实的andriod设备,测试人员可以进一步利用安全测试工具作为Android开发套件的一部分。ADB也可以用作客户端-服务器工具,并且可以连接到各种Android设备和仿真器实例,这使测试人员能够访问Android设备的文件系统,从而更容易识别出导致移动应用程序易遭受恶意攻击的漏洞。