一Yaazhini
1.1Yaazhini介绍
Yaazhini是一款针对Android APK和API的免费漏洞扫描工具,这款工具提供了用户友好的操作界面,广大移动端安全研究人员可以在Yaazhini的帮助下,轻松扫描任何Android应用程序的APK文件以及API接口,而且Yaazhini还会给你提供非常丰富的扫描结果数据。
1、 一键即可扫描Android APK文件;
2、 支持扫描Android端应用程序REST API(模拟器或实体设备);
3、 生成格式化扫描报告;
4、 免费使用;
5、 操作简单,界面友好;
Yaazhini-Android端应用程序REST API扫描功能可以帮助我们发现和识别下列攻击形式:
1、 SQL注入
2、 命令注入
3、 Header注入
4、 跨站脚本XSS
5、 安全Header缺失
6、 响应Header中的敏感信息泄露
7、 错误信息中的敏感信息泄露
8、 服务器端输入验证缺失
9、 禁止使用的HTTP方法
10、不正确的HTTP响应等等
1.2 工具下载
windows:https://www.vegabird.com/yaazhini/macOS:https://www.vegabird.com/yaazhini/
1.3系统要求
操作系统:macOS(64位),Windows(64位 & 32位)
运行内存:最小运行内存为4GB,建议运行内存为16GB(针对大型Android项目)
磁盘空间:10GB磁盘空间
依赖组件:Java 1.8
1.4工具使用
1、 开启Yaazhini应用程序;
2、 输入项目名称;
3、 上传需要扫描的APK文件;
5、 扫描完成之后,我们将会查看到漏洞扫描详细报告;
新建任务:
APK信息:
漏洞信息:
源代码反编译:
URL链接发现:
APK权限信息:
二摸瓜
2.1摸瓜介绍
摸瓜网址:https://mogua.co
2.2 摸瓜优势
(1)破解能力强:通过长期技术积累,自研多个高性能分析引擎,APK反编译和破解方面遥遥领先。
(2)自动化程度高:把大量传统apk反编译的人工工作实现机器自动化,普通民众也能轻松分析违法APK。
(3)工具集成化:集成分析工具、数据接口,一键查询域名、ip、服务器等数据,提升安全研究者分析效率。
2.3 摸瓜使用
分析结果页面截图如下,分析结果包括APP信息、线索追踪、专业分析、生成PDF报告四个模块
专业分析模块,针对有安卓apk反编译基础的研究人员,提供Java源代码、Smali源代码、AndroidManifest文件的在线查看功能。同时,还提供了apk签名、apk加壳、敏感字符串、第三方SDK调用、安卓API调用等模块的分析功能。
分析报告,提供PDF导出功能。
三 参考文章
https://mp.weixin.qq.com/s?__biz=MzkxNjIxNDQyMQ==&mid=2247489936&idx=1&sn=e780135bf14c4d5084cf250f9337e178https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650539502&idx=3&sn=02855eeb7eeaff2fea36e31932e52403
